Les pirates du service de renseignement extérieur russe SVR ont utilisé les données obtenues lors de l’intrusion, divulguées à la mi-janvier, pour compromettre certains référentiels de codes sources et systèmes internes, a déclaré le géant du logiciel dans un blog et un dossier réglementaire.

Un porte-parole de l’entreprise n’a pas précisé quel code source a été consulté ni quelle capacité les pirates ont acquis pour compromettre davantage les systèmes des clients et de Microsoft. Microsoft a déclaré vendredi que les pirates avaient volé des « secrets » dans les communications par courrier électronique entre l’entreprise et des clients non spécifiés – des secrets cryptographiques tels que des mots de passe, des certificats et des clés d’authentification – et qu’ils les contactaient « pour les aider à prendre des mesures d’atténuation ».

La société de cloud computing Hewlett Packard Enterprise a révélé le 24 janvier qu’elle aussi avait été victime d’un piratage SVR et qu’elle avait été informée de la violation – par qui elle ne voulait pas le dire – deux semaines plus tôt, coïncidant avec la découverte par Microsoft qu’elle avait été piraté.

“L’attaque en cours de l’acteur malveillant se caractérise par un engagement soutenu et significatif de ses ressources, de sa coordination et de sa concentration”, a déclaré Microsoft vendredi, ajoutant qu’il pourrait utiliser les données obtenues “pour accumuler une image des zones à attaquer et améliorer sa stratégie”. capacité de le faire. » Les experts en cybersécurité ont déclaré que l’aveu de Microsoft selon lequel le piratage du SVR n’avait pas été maîtrisé révèle les dangers de la forte dépendance du gouvernement et des entreprises à l’égard de la monoculture logicielle de l’entreprise de Redmond, dans l’État de Washington, et le fait qu’un si grand nombre de ses clients sont liés via son réseau cloud mondial. .

“Cela a d’énormes implications sur la sécurité nationale”, a déclaré Tom Kellermann de la société de cybersécurité Contrast Security. “Les Russes peuvent désormais exploiter les attaques contre les chaînes d’approvisionnement contre les clients de Microsoft.”

Amit Yoran, PDG de Tenable, a également publié une déclaration exprimant à la fois son inquiétude et sa consternation. Il fait partie des professionnels de la sécurité qui trouvent Microsoft trop discret sur ses vulnérabilités et sur la manière dont il gère les piratages.

« Nous devrions tous être furieux que cela continue à se produire », a déclaré Yoran. “Ces violations ne sont pas isolées les unes des autres et les pratiques de sécurité douteuses et les déclarations trompeuses de Microsoft obscurcissent délibérément toute la vérité.”

Microsoft a déclaré qu’il n’avait pas encore déterminé si l’incident était susceptible d’avoir un impact important sur ses finances. Il a également déclaré que l’entêtement de l’intrusion « reflète ce qui est devenu plus largement un paysage mondial de menaces sans précédent, notamment en termes d’attaques sophistiquées contre des États-nations ».

Les pirates, connus sous le nom de Cozy Bear, sont la même équipe de piratage derrière la faille SolarWinds.

Lors de l’annonce initiale du piratage, Microsoft a déclaré que l’unité SVR s’était introduite dans son système de messagerie d’entreprise et avait accédé aux comptes de certains cadres supérieurs ainsi que d’employés de ses équipes de cybersécurité et juridiques. Il ne dirait pas combien de comptes ont été compromis.

À l’époque, Microsoft avait déclaré qu’il était en mesure de supprimer l’accès des pirates aux comptes compromis vers le 13 janvier. Mais à ce moment-là, ils avaient clairement pris pied.

Il a déclaré qu’ils étaient entrés en compromettant les informations d’identification sur un compte de test « ancien », mais n’a jamais donné plus de détails.

La dernière divulgation de Microsoft intervient trois mois après l’entrée en vigueur d’une nouvelle règle de la Securities and Exchange Commission des États-Unis qui oblige les sociétés cotées en bourse à divulguer les violations qui pourraient avoir un impact négatif sur leurs activités.