On apprenait hier que le groupe de pirates avait probablement réussi à obtenir des données confidentielles chez Microsoft, plus précisément du code source liés à des produits comme Bing et Cortana.
Selon Cyber Kendra, Lapsus a publié momentanément un fichier torrent contenant 37 Go d’informations liées à 258 projets, dont Bing et Bing Maps.
Dans une fiche technique publiée hier, Microsoft confirme le piratage : « Notre enquête a montré qu’un seul compte avait été compromis, n’offrant qu’un accès limité. Notre équipe […] a rapidement réparé le compte et prévenu toute activité ultérieure. Microsoft ne s’appuie pas sur le secret du code en tant que mesure de sécurité, voir le code source ne mène pas à une élévation des risques ».
L’éditeur assure qu’aucune information liée à des utilisateurs n’a été dérobée. L’article offre également un résumé intéressant sur les tactiques utilisées par Lapsus, que Microsoft nomme DEV-0537.
Le groupe utiliserait fréquemment l’ingénierie sociale, le SIM-swapping, l’extorsion d’identifiants, l’achat d’identifiants déjà volés sur des forums criminels, les menaces aux employés pour qu’ils servent de maillon dans l’authentification à facteurs multiples, l’installation de programmes dérobant les mots de passe.
Une fois qu’un accès a été obtenu, Lapsus se sert d’AD Explorer pour créer une liste des utilisateurs dans l’organisation ciblée. Le groupe navigue alors dans les plateformes de collaboration comme Slack, SharePoint, Teams, GitLab, Jira, et Confluence pour y récolter un maximum d’informations, idéalement sensibles.
Lapsus se sert également de vulnérabilités dans la plateforme visée pour obtenir une escalade des privilèges. Il lui arrive même d’appeler le service client de l’entreprise visée pour… demander une réinitialisation du mot de passe, en se faisant passer pour un compte spécifique qui l’intéresse car disposant des privilèges recherchés.
Sur ce point, Microsoft indique que la personne au téléphone parlait un anglais impeccable et était capable de répondre aux questions visant à prouver son identité, signe d’une grande préparation.
L’éditeur n’indique pas cependant quelles techniques ont été utilisées dans l’attaque contre ses propres infrastructures. Elle ne confirme pas non plus les chiffres avancés par Cyber Kendra ni ne donne de détails sur les données dérobées.
Microsoft indique que ce type d’opération ne peut être contrecarré qu’avec des mécanismes MFA plus forts, des terminaux de confiance, une sensibilisation des employés à l’ingénierie sociale, une surveillance des moyens de cybersécurité mis en oeuvre et l’utilisation d’options d’authentification modernes pour les VPN.
Bien entendu, il devient un peu plus compliqué de donner une leçon de sécurité quand on vient soi-même d’être attaqué, avec dégâts confirmés. Mais comme la campagne actuelle de Lapsus a le mérite de le prouver, aucune société ne peut se prévaloir d’une sécurité à toute épreuve, même les plus importantes.
Introduction La cybersécurité est devenue une priorité stratégique pour toutes les entreprises, grandes ou petites.…
Cybersécurité : les établissements de santé renforcent leur défense grâce aux exercices de crise Face…
La transformation numérique du secteur financier n'a pas que du bon : elle augmente aussi…
L'IA : opportunité ou menace ? Les DSI de la finance s'interrogent Alors que l'intelligence…
Telegram envisage de quitter la France : le chiffrement de bout en bout au cœur…
Sécurité des identités : un pilier essentiel pour la conformité au règlement DORA dans le…
This website uses cookies.