L’Agence américaine de cybersécurité et de sécurité des infrastructures a confirmé que des pirates informatiques soutenus par le gouvernement russe ont volé des courriels de plusieurs agences fédérales américaines à la suite d’une cyberattaque en cours, contre Microsoft.
Des comptes Microsoft compromis
Dans un communiqué publié jeudi, l’agence américaine de cybersécurité a déclaré que la cyberattaque, initialement divulguée par Microsoft en janvier, avait permis aux pirates informatiques de voler les courriels du gouvernement fédéral « grâce à une compromission réussie des comptes de messagerie d’entreprise de Microsoft ».
Les pirates, que Microsoft appelle « Midnight Blizzard », également connus sous le nom d’APT29, sont largement soupçonnés de travailler pour le service russe de renseignement extérieur.
« La compromission réussie des comptes de messagerie d’entreprise Microsoft par Midnight Blizzard et l’exfiltration de la correspondance entre les agences et Microsoft présentent un risque grave et inacceptable pour les agences », a déclaré l’agence.
Une nouvelle directive d’urgence
L’agence fédérale de cybersécurité a déclaré avoir publié le 2 avril une nouvelle directive d’urgence ordonnant aux agences gouvernementales civiles de prendre des mesures pour sécuriser leurs comptes de messagerie, sur la base de nouvelles informations selon lesquelles les pirates informatiques russes intensifiaient leurs intrusions. La CISA a rendu publics les détails de la directive d’urgence jeudi après avoir donné une semaine aux agences fédérales concernées pour réinitialiser les mots de passe et sécuriser les systèmes concernés.
La directive d’urgence intervient alors que Microsoft fait face à une surveillance croissante de ses pratiques de sécurité après une vague d’intrusions de pirates informatiques de pays adversaires. Le gouvernement américain dépend fortement du géant du logiciel pour héberger les comptes de messagerie gouvernementaux.
Des agences gouvernementales américaines prises pour cible
Microsoft a été rendu public en janvier après avoir identifié que le groupe de piratage russe s’était introduit dans certains systèmes de messagerie d’entreprise, y compris les comptes de messagerie de « l’équipe de direction et des employés de fonctions de cybersécurité, juridiques et autres ».
Microsoft a déclaré que les pirates russes recherchaient des informations sur ce que Microsoft et ses équipes de sécurité savaient sur les pirates eux-mêmes. Plus tard, le géant de la technologie a déclaré que les pirates avaient également ciblé d’autres organisations en dehors de Microsoft.
On sait désormais que certaines des organisations concernées comprenaient des agences gouvernementales américaines.
En mars, Microsoft a déclaré qu’il poursuivait ses efforts pour expulser les pirates informatiques russes de ses systèmes, dans le cadre de ce que la société a décrit comme une « attaque en cours ». Dans un article de blog, la société a déclaré que les pirates tentaient d’utiliser des « secrets » qu’ils avaient initialement volés afin d’accéder à d’autres systèmes internes de Microsoft et d’exfiltrer davantage de données, telles que le code source.
En février, le ministère américain de la défense a informé 20 000 personnes que leurs informations personnelles avaient été exposées sur internet après qu’un serveur de messagerie cloud hébergé par Microsoft soit resté sans mot de passe pendant plusieurs semaines en 2023.