L'affaire Microsoft Exchange est la nouvelle crise de cybersécurité mondiale. Cyberguerre vous donne 4 clés pour comprendre son ampleur.

« Ceci est un hack énormissime. » Voilà comment Chris Krebs, l’ancien M. Cybersécurité du gouvernement américain, désigne la vague de cyberattaques contre les clients de Microsoft Exchange. Et il n’est pas le seul à s’inquiéter : la Maison-Blanche a déjà dû communiquer sur le sujet, tandis que les autorités françaises ont émis un bulletin d’alerte.

Les organisations victimes de la vague de cyberattaques se comptent déjà en dizaines de milliers : les premières estimations fuitées dans la presse américaine évoquent 30 000 victimes, d’autres suggèrent le double. Des institutions, des banques, des collectivités, des associations de tous pays : les victimes sont aussi variées que la clientèle de Microsoft. De son côté l’entreprise refuse pour l’instant de donner le nombre de victimes connues, qu’elle qualifie tout de même de « limité ». À titre d’exemple, l’autorité bancaire européenne a expliqué le 7 mars qu’elle avait subi une cyberattaque contre ses serveurs Microsoft Exchanges. Par mesure de prévention et en attente des résultats de son enquête sur l’incident, elle a coupé son service d’email.

Microsoft accuse la Chine d’avoir attaqué des serveurs Microsoft Exchange. // Source : Flickr / Office of the Secretary of Defence

Les problèmes dans Microsoft Exchange ont été rendus publics le 2 mars, en même temps que les correctifs pour les résoudre. Mais cela ne veut pas dire que la série de cyberattaques est terminée. Non seulement les hackers vont continuer à s’en prendre aux organisations qui n’ont pas déployé les correctifs de Microsoft, mais en plus, d’autres vont se rendre compte que des malfaiteurs les ont infiltrés et vont devoir enquêter sur les dégâts. L’entreprise de cybersécurité Volexity a trouvé des traces de l’attaque dès le 6 janvier 2021, puis a averti Microsoft le 2 février. Autrement dit, les vulnérabilités auraient été exploitées par les hackers pendant au moins deux mois…

Pour y voir un peu plus clair dans cette nouvelle affaire d’ampleur qui touche  gouvernements, entreprises et particulier, Cyberguerre a sélectionné quelques questions.

Pourquoi Microsoft Exchange est un logiciel intéressant pour les hackers ?

Microsoft Exchange est de ces logiciels que beaucoup utilisent sans le savoir. Destiné aux entreprises, il sert à centraliser tous les emails reçus par les membres de l’organisation et à les faire suivre aux destinataires. Ces derniers les recevront sur leur adresse Microsoft Outlook professionnelle, et s’ils ne se plongent pas dans les paramètres de leur compte email, ils ne sauront même pas qu’ils utilisent Microsoft Exchange. Sur le papier, le service proposé par Microsoft Exchange a plusieurs intérêts :

  • Sauvegarder les emails. Lorsque les organisations n’utilisent pas de logiciels centralisateurs comme Exchange, les emails reçus par un employé seront par défaut stockés sur son ordinateur. Résultat, si sa machine est corrompue ou si elle tombe en panne, tout le contenu des communications électroniques sera perdu. Avec Exchange, il existe une trace des emails sur le serveur central, que l’organisation peut récupérer à tout moment.
  • Protéger le réseau de communication de l’organisation. Exchange compte plusieurs protections préinstallées, destinées à filtrer les menaces comme le phishing. On retrouve à la fois des filtres antispam pour écarter les messages frauduleux, et des outils automatiques de détection des malwares possiblement cachés en pièce jointe.
  • Exchange ne sert pas qu’aux emails. Il permet aussi aux employés de gérer leur carnet de contacts et leur agenda avec plusieurs fonctionnalités. Ces informations sont également stockées sur le serveur de l’entreprise.

Dernier détail utile pour comprendre l’affaire : une entreprise peut décider de gérer elle-même son serveur Exchange, ou bien opter pour la version cloud de l’offre, Exchange Online. Dans ce cas, les données de l’entreprise seront stockées dans un serveur à distance, géré par Microsoft. L’entreprise a expliqué dans son communiqué que les clients de Exchange Online n’étaient pas concernés par l’attaque.

En quoi consistent les cyberattaques ?

Les hackers exploitent une chaîne de quatre vulnérabilités jusqu’ici inconnues — on parle dans le jargon de « zero-day » — dans Microsoft Exchange. Une vulnérabilité est un bug, une faiblesse du logiciel, qui peut être exploitée à des fins malveillantes.

Les hackers vont exploiter les vulnérabilités pour installer un « webshell », une interface qui leur permet de prendre contrôle du serveur à distance. Imaginez ce webshell comme un panneau de commande alternatif au véritable centre de commande d’Exchange, dont les victimes ne connaîtraient pas l’existence.

Dans le détail, chacune des « zero-day » a une tâche bien précise. Par exemple, l’une sert à outrepasser certaines barrières d’authentification, l’autre à obtenir le rang d’administrateur — le plus haut niveau de pouvoir — sur le réseau de la victime. Mais c’est bien bout à bout qu’elles prennent tout leur intérêt.

Pourquoi les cyberattaques sont-elles dangereuses ?

L’attaque offre aux hackers une mainmise sur le serveur chargé de centraliser les emails, les carnets de contact, et les agendas de l’entreprise. Avec ce niveau de contrôle, ils peuvent s’atteler à plusieurs tâches, à distance :

  • Exporter le contenu des boîtes email et des carnets d’adresses.
  • Diffuser des malwares dans le réseau de l’entreprise en abaissant les protections.
  • Usurper l’identité d’employés de l’entreprise pour contaminer d’autres victimes.

La bonne nouvelle, c’est que Microsoft a publié des correctifs pour refermer les vulnérabilités, ainsi que des outils pour détecter les webshell et permettre aux entreprises de savoir si elles sont infectées. Reste que certaines victimes — notamment les plus petites — n’ont pas forcément les moyens de déployer correctement ces protections.

La mauvaise nouvelle, c’est que les attaquants ont mis les bouchées doubles pour lancer des attaques. Maintenant que leur couverture et leur discrétion ont été compromises, ils passent à l’action. Une course à la montre est donc enclenchée entre les organisations qui doivent déployer les correctifs et les hackers qui veulent s’en prendre aux cibles vulnérables.

Ensuite, chez les victimes de l’attaque, un travail de nettoyage extrêmement complexe va démarrer. À partir du webshell, les hackers ont pu déployer d’autres programmes malveillants qu’il faudra détecter et supprimer.

Qui est derrière l’attaque ?

Dans son communiqué, Microsoft accuse frontalement Hafnium, un groupe de hacker affilié au gouvernement chinois, d’être à l’origine de l’attaque. Hafnium rentre dans la catégorie des « advanced persistent threats » (APT). Ces groupes ne dépendent pas directement d’un État, mais ils reçoivent un financement en échange de certaines opérations. Là où les cybercriminels cherchent le profit financier avant tout dans leurs attaques, les APT ont des objectifs géopolitiques : espionnage industriel ou politique, manœuvre de dissuasion ou encore destruction de fichiers.

Le lien entre un APT et un État est dur à prouver, à la fois d’un point de vue technique, et d’un point de vue diplomatique. C’est d’ailleurs pour ces avantages que certains pays passent par des APT plutôt que de lancer leurs manœuvres d’espionnage directement via leurs services de renseignement. Interrogé par le New York Times sur la responsabilité du gouvernement chinois dans la vague d’attaques, le porte-parole du ministère des Affaires étrangères Wang Wenbin botte en touche : « la Chine a réitéré à de multiples occasions qu’étant donnés la nature virtuelle du cyberespace et le fait qu’il y a toutes sortes d’acteurs qui sont difficiles à tracer, tracer la source des cyberattaques est un problème complexe. C’est aussi un problème politique hautement sensible d’attribuer une cyberattaque à un certain gouvernement. »

Si Hafnium est à l’origine de la découverte des vulnérabilités, il ne va pas être le seul à les exploiter. Et c’est un problème : d’autres types de hackers malveillants, comme les gangs de rançongiciel pourraient aussi s’y mettre. Avec d’autres conséquences — paralysie de la production, pertes financières — pour les victimes.

Crédit photo de la une : Black Hat (2O14)

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux