Microsoft crache le morceau sur le piratage de messageries par Storm-0558

On en sait enfin un peu plus sur la très inquiétante opération d’espionnage attribuée par Microsoft à un groupe de hackers chinois, baptisé Storm-0558. L’éditeur américain avait dénoncé au début du mois de juillet une campagne malveillante sophistiquée, qui avait duré environ un mois, du 15 mai au 16 juin.

Les hackers avaient pu accéder aux comptes de messagerie de 25 organisations en utilisant des jetons d'authentification, sans avoir besoin de voler les mots de passe des messageries. Parmi les cibles, selon la presse américaine, la secrétaire au commerce des Etats-Unis, Gina Raimondo, ou encore l’ambassadeur de ce même pays en Chine, Nicholas Burns.

Explications attendues 

Ce piratage de haut vol, visant des personnalités sensibles, avait suscité des interrogations sur la sécurité du service de messagerie de l’entreprise. Les hackers avaient en effet réussi à mettre la main sur une clé de signature grand public Microsoft (MSA), le premier sésame qui leur avait ouvert d'autres portes. Les explications très attendues de la firme de Redmond ont finalement été dévoilées ce 6 septembre.

Selon les experts de Microsoft, la campagne d’espionnage est l’aboutissement de plusieurs événements distincts. A défaut d’avoir des preuves précises, l’entreprise estime qu’il s’agit de l’enchaînement le plus probable. Tout aurait ainsi commencé en avril 2021, avec le crash d’un système de signature bien trop bavard. Le “crash dump”, ce vidage de mémoire après incident, contient en effet, alors qu’il ne le devrait pas, la clé de signature volé par la suite, un problème depuis résolu, signale Microsoft.

Piratage du compte d'un ingénieur 

Dans le même temps, les hackers de Storm-0558 réussissent - on ignore les détails précis - à compromettre le compte d’un ingénieur de Microsoft. Or ce dernier a accès à l’environnement de débogage et au rapport de vidage de mémoire après incident qui a enregistré à tort la clé de signature.

Cette clé de signature permet ensuite aux attaquants - on ne sait pas s'ils avaient repéré le problème ou s'ils sont tombés dessus en explorant le compte de l'ingénieur - d’obtenir frauduleusement des jetons d’authentification pour accéder à des comptes de messagerie Outlook et aux services de cloud Azur. Microsoft affirme désormais avoir corrigé les failles exploitées par les pirates informatiques.