Microsoft a déployé un patch pour réparer quatre vulnérabilités de Exchange, son service d'email destiné aux entreprises. Un groupe de hacker financé par la Chine aurait exploité ces failles pour siphonner les emails d'entreprises américaines.

D’après Microsoft, Exchange, son service d’email et de calendrier dédié aux entreprises, serait la cible d’un groupe de hackers affiliés à la Chine. Nommé Hafnium, il est ce qu’on appelle un APT (pour advanced persistent threat). Les APT ont pour particularité d’être soutenus financièrement — et donc en partie commandités — par un ou plusieurs États. La sophistication de leurs attaques est au-dessus de la norme, et leurs opérations servent des objectifs géopolitiques, là où les autres cybercriminels vont chercher le profit avant tout.

Hafnium aurait exploité pas moins de quatre vulnérabilités inconnues de Exchange pour s’introduire sur des serveurs de clients Microsoft. En cybersécurité, on parle d’une «  zero-day » pour désigner ce genre de vulnérabilité rare, inconnue de l’éditeur du logiciel lui-même. Le fait que Hafnium en a découvert quatre en même temps prouve qu’il a passé au crible le fonctionnement du service d’email professionnel de Microsoft.

On parle d’une vulnérabilité zero day quand elle n’est pas connue de l’éditeur du logiciel concerné. // Source : CCO/Pixabay

Les clients d’Exchange se comptent en dizaines de milliers, et tous ceux qui ont installé le logiciel sur leurs propres serveurs sont concernés — les clients de la version Online seraient quant à eux épargnés. D’après TechCrunch, l’APT avait pour but de voler les échanges confidentiels d’entreprises américaines, notamment dans les domaines juridiques et militaires. Hafnium a également visé auparavant des chercheurs spécialisés dans les maladies infectieuses ou encore des think tanks politiques. Bref, le groupe de hacker picore des informations dans tous les secteurs.

La gravité de l’incident reste à déterminer

Concrètement, les quatre « zero-day » permettent de mettre en place une chaîne d’attaque capable d’outrepasser les procédures d’authentification, d’obtenir un rang d’administrateur sur le réseau de la victime, puis d’installer un webshell, une interface qui permet aux hackers de prendre le contrôle du serveur à distance. Ils peuvent ensuite s’en servir pour exporter le contenu des boîtes email et des carnets d’adresses, mais aussi pour y déposer des malwares. Puisque les serveurs Exchange centralisent les envois d’email, ce sont des points de départ idéaux pour répandre un logiciel malveillant.

La campagne d’espionnage industriel est-elle aussi critique qu’elle en a l’air ? Pas vraiment, d’après les premiers propos de Microsoft. L’entreprise refuse de communiquer le nombre d’attaques réussies, mais le qualifie tout de même de « limité ». Surtout, elle précise que ces « zero-day » ne sont exploitables qu’une fois que les hackers se sont introduits sur un serveur. Autrement dit, il leur faut trouver un moyen de démarrer la chaîne d’attaque avant même d’utiliser les nouvelles vulnérabilités. Pour y parvenir, ils peuvent corrompre des employés, réussir des campagnes de phishing ou encore profiter d’anciennes vulnérabilités qui n’auraient pas été réparées. Les entreprises ont donc des outils pour se défendre.

Si Microsoft parle de ces vulnérabilités, c’est parce qu’il vient de publier des patchs afin de les refermer. Ce faisant, il donne le top départ de la course habituelle entre cybercriminels et responsables de réseaux informatiques. Certains réseaux sont tellement complexes qu’une mise à jour devient un processus long et laborieux. Les cybercriminels, quant à eux organisés en petites structures, vont pouvoir agir plus rapidement et profiter de leur avance pour exploiter les vulnérabilités avant qu’elles ne soient réparées. Et d’ailleurs, ils n’ont pas forcément besoin de cette avance : certaines entreprises, encore trop nombreuses, ne tiennent pas leurs logiciels à jour. Autrement dit, la panoplie d’outils de Hafnium pourrait encore faire des dégâts, même si Microsoft a trouvé des parades.

Crédit photo de la une : Flickr / Office of the Secretary of Defence

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux