La « compromission réussie des comptes de messagerie d’entreprise de Microsoft et l’exfiltration de la correspondance entre les agences et Microsoft présentent un risque grave et inacceptable pour les agences », a écrit la CISA. «Cette directive d’urgence oblige les agences à analyser le contenu des e-mails exfiltrés, à réinitialiser les informations d’identification compromises et à prendre des mesures supplémentaires pour garantir la sécurité des outils d’authentification pour les comptes Microsoft Azure privilégiés.»
Le système d’exploitation Windows de Microsoft, la messagerie Outlook et d’autres logiciels sont utilisés dans tout le gouvernement américain, ce qui confère à l’entreprise basée à Redmond, dans l’État de Washington, une énorme responsabilité en matière de cybersécurité des employés fédéraux et de leur travail. Mais cette relation de longue date montre des signes de plus en plus tendus.
L’avertissement de mardi étend les conséquences possibles d’une violation que Microsoft a divulguée en janvier au gouvernement ainsi qu’à de grandes entreprises clientes, y compris certaines qui revendent des produits Microsoft à d’autres. Le géant du logiciel dit il y a un mois, les pirates pourraient s’en prendre à ceux avec qui ils envoyaient des e-mails.
Les responsables de la CISA ont déclaré aux journalistes qu’il n’était pas clair jusqu’à présent si les pirates informatiques, associés à l’agence de renseignement militaire russe SVR, avaient obtenu quoi que ce soit des agences exposées. Microsoft appelle le groupe de piratage Midnight Blizzard, tandis que d’autres experts en sécurité l’appellent Cozy Bear ou APT29.
Les responsables ont refusé de préciser combien d’agences avaient reçu l’avertissement, notant que l’entreprise était encore en train de déterminer ce qui s’était passé et qu’elle pourrait trouver d’autres cibles gouvernementales.
La CISA n’a pas précisé l’étendue des risques pour les intérêts nationaux. Mais Eric Goldstein, directeur adjoint exécutif pour la cybersécurité, a déclaré que « le potentiel de divulgation des informations d’authentification fédérales à l’acteur de Midnight Blizzard pose un risque urgent pour l’entreprise fédérale, d’où la nécessité de cette directive et des actions qu’elle contient ».
L’équipe SVR considérée comme responsable de la violation est l’un des groupes de piratage informatique les plus redoutables au monde et mène souvent des pénétrations sophistiquées et à long terme de cibles stratégiques. Il était responsable de la attaque qui a détourné le logiciel réseau de SolarWinds en 2020, permettant à ses pirates de s’infiltrer dans neuf agences fédérales, et aurait été l’une des entités russes à l’origine du piratage des ordinateurs du Comité national démocrate lors de la campagne présidentielle de 2016.
On ne sait toujours pas comment les pirates ont pu accéder aux comptes de messagerie des cadres supérieurs de Microsoft. Mais cette violation est l’une des rares intrusions graves dans l’entreprise qui ont exposé de nombreuses autres entreprises ailleurs à un piratage potentiel.
Un autre de ces incidents – au cours duquel des pirates informatiques du gouvernement chinois ont piraté la sécurité des offres de logiciels cloud de Microsoft pour voler des courriers électroniques à des responsables du Département d’État et du Département du commerce – a déclenché un examen fédéral majeur la semaine dernière. appelé l’entreprise à remanier sa culture, que le Cyber Safety Review Board a citée comme permettant une « cascade d’erreurs évitables ».