Avec une part de marché importante, il est tout à fait naturel que Microsoft ait subi d'importantes violations de données. Voici quelques-uns de ses hacks les plus impactants.
Microsoft est sans aucun doute devenu un nom connu depuis sa création, mais son histoire n’est pas parfaitement claire. Au fil des années, Microsoft a subi une longue liste d’incidents de sécurité, dont beaucoup ont mis en péril les données des utilisateurs. Alors, quels sont les plus gros hacks Microsoft du 21e siècle? Et ce géant de la technologie a-t-il besoin d’une meilleure sécurité ?
1. La faille du serveur Exchange 2021
Au tout début de l'année 2021, le 3 janvier, les serveurs de la plateforme Exchange de Microsoft ont commencé à être compromis par quatre vulnérabilités logicielles zero-day.
Ce n'est qu'en mars de la même année que l'ampleur de l'attaque est devenue évidente, avec plus de 30 000 organisations basées aux États-Unis attaquées via ces failles logicielles présentes dans le code de Microsoft Exchange. Au total, plus de 250 000 serveurs Exchange individuels ont été piratés, dont 7 000 basés au Royaume-Uni. D'autres pays, dont la Norvège et le Chili, ont également été touchés.
Les données volées lors de cette attaque comprenaient les adresses e-mail et les mots de passe des utilisateurs du serveur. De plus, les attaquants pourraient ajouter davantage de portes dérobées pour de futurs exploits.
Il n'a pas fallu longtemps à Microsoft pour publier les correctifs nécessaires, mais cette attaque a mis en évidence à quel point les vulnérabilités peuvent facilement conduire à d'énormes campagnes de piratage.
2. La fuite de 250 millions de dossiers clients
Début 2020, il a été découvert que Microsoft avait accidentellement divulgué plus de 250 millions de dossiers clients. Cette énorme exposition est le résultat d’une base de données qui n’était pas protégée par mot de passe.
Une grande partie des données exposées consistaient en des conversations entre utilisateurs et représentants du support client, qui ont eu lieu entre 2005 et 2019. Cependant, des informations plus sensibles ont été divulguées dans certains cas, notamment les adresses IP et e-mail des clients.
Il n’a fallu que 24 heures à Microsoft pour sécuriser la base de données, mais il était déjà trop tard à ce stade.
3. La fuite des identifiants Hotmail de 2016
En mai 2016, de nombreux médias ont commencé à signaler un énorme piratage ayant entraîné la fuite des informations d'identification des utilisateurs de Google, Yahoo et Microsoft. Plus de 270 millions d’identifiants de compte ont été volés et mis en vente sur des marchés russes illicites. Parmi eux, 33 millions étaient des identifiants Hotmail, un service de messagerie racheté par Microsoft en 1997.
Heureusement, le pirate informatique qui était initialement en possession des informations d'identification les a vendues à une société de sécurité déguisée, au lieu qu'un autre individu malveillant cherche à les exploiter.
4. La violation de données Lapsu$ 2022
En mars 2022, Microsoft a confirmé avoir été attaqué par un groupe de hackers bien connu appelé "Lapsu$". Ce syndicat international de hackers s’est fait un nom en ciblant de nombreux grands noms, dont Nvidia et Samsung.
Alors que Lapsu$ ciblait auparavant des organisations en Amérique du Sud et au Royaume-Uni, elle a depuis jeté son dévolu sur de nouvelles victimes, notamment aux États-Unis. Ce groupe de piratage effronté s’est tourné vers Microsoft début 2022.
Dans ce cas, Lapsu$ (connu officiellement par Microsoft sous le nom de « DEV-0537 ») a réussi à compromettre un seul compte d'employé Microsoft et à accéder à des parties du code source de Bing, Bing Maps et Cortana.
La confirmation de Microsoft est intervenue après que Lapsu$ a publié ce code source volé dans un fichier torrent. Cependant, Microsoft a allégué dans un article de blog concernant l'incident, le vol et la fuite du code source ne présentent pas de risque de sécurité pour l'entreprise ou ses utilisateurs.
5. La violation du jour zéro en 2010
Fin 2009, Microsoft a pris conscience d'un problème critique vulnérabilité de sécurité Zero Day. L'entreprise n'a pris aucune mesure jusqu'à l'année suivante, lorsque des sociétés comme Google et Adobe ont commencé à être ciblées par les cybercriminels via cette vulnérabilité.
Cette faille permettait à des acteurs malveillants de déployer des logiciels malveillants sur les appareils des employés des entreprises cibles. Le logiciel malveillant serait ensuite exploité pour accéder aux informations privées de Google et Gmail.
Cette violation a donné à Microsoft une image particulièrement mauvaise en raison de la manière dont l'entreprise a géré la délivrance d'un recours. Ce n'est qu'en janvier 2010, trois mois après avoir pris connaissance de la vulnérabilité, que Microsoft a publié un correctif. Le pire, c'est que Microsoft avait initialement prévu de publier le correctif un mois plus tard, en février.
6. L’attaque Storm0558 de 2023
En 2023, environ 25 organisations, dont des agences gouvernementales, ont été attaquées via deux failles de sécurité Microsoft. L'acteur malveillant, basé en Chine et connu sous le nom de Storm0558, a réussi à voler les données des clients qui utilisent Outlook Web Access et Exchange Online.
Microsoft a déclaré que l'on pensait que l'auteur de la menace avait des objectifs d'espionnage. La société a en outre confirmé que l'attaquant avait acquis une clé de signature client MSA pour mener l'attaque.
Selon un Enquête de magicien, Outlook Web Access et Exchange Online ne sont pas les seuls à être concernés par le piratage. Wiz a signalé que d'autres services Microsoft, notamment Teams, OneDrive et SharePoint, pourraient également être exploités à l'aide de la clé MSA compromise.
Microsoft a-t-il besoin d’une meilleure sécurité?
Microsoft n'est en aucun cas laxiste en termes de sécurité. L'entreprise garantit que ses produits bénéficient d'un solide niveau de protection des utilisateurs, notamment authentification à deux facteurs, cryptage, filtres anti-spam, pare-feu et alertes de connexion.
Bien entendu, la présence de ces fonctionnalités dépendra du produit Microsoft que vous utilisez. Par exemple, les systèmes d'exploitation Windows sont livrés avec un logiciel antivirus par défaut, mais pas Outlook.
La majorité des attaques répertoriées ci-dessus résultent d'une vulnérabilité logicielle. Il semble donc que davantage d'audits de code pourraient être la réponse pour Microsoft. L'entreprise fait déjà l'objet d'audits, qu'il s'agisse de ses logiciels ou de ses pratiques commerciales, mais il semble qu'un grand nombre de vulnérabilités passent encore entre les mailles du filet.
Publier des correctifs de sécurité dès que des vulnérabilités sont identifiées peut également être judicieux, même si la vulnérabilité n'a pas encore été exploitée. Cela élimine le risque que Microsoft ou ses utilisateurs soient victimes d'attaques causées par des exploits logiciels.
Cependant, ces pratiques nécessiteraient beaucoup de personnel et de ressources, car Microsoft propose aujourd'hui près de 400 produits logiciels.
Microsoft ne sera jamais insensible aux piratages
Même si Microsoft parvenait à doubler sa sécurité, il ne serait toujours pas à l’abri à 100 % des cyberattaques. Malheureusement, aucun logiciel, périphérique ou composant n'est totalement à l'abri d'une exploitation d'une manière ou d'une autre, que ce soit par le biais de vulnérabilités, de logiciels malveillants ou d'autres moyens.