Piratage de Microsoft Exchange : comment cela a été possible et comment l'éviter.
Le piratage de Microsoft Exchange est l'un des pires piratages de l'histoire, mais ce n'est certainement pas le dernier.
Le piratage de Microsoft Exchange
En quoi consistait le piratage de Microsoft Exchange ?
En janvier 2021, plusieurs exploits de type “zero-day” ont été signalés à Microsoft, permettant à des attaquants malveillants d’accéder à distance aux serveurs Microsoft Exchange. Le 2 mars, Microsoft a publié un correctif pour combler ces vulnérabilités. Cependant, à ce jour, tous les serveurs Exchange n’ont pas été corrigés et les attaques se poursuivent.
Comment le piratage de Microsoft Exchange a-t-il été possible ?
Les vulnérabilités de type “zero day” sont des vulnérabilités de logiciels informatiques qui sont inconnues du vendeur d’un logiciel. Dans le cas de Microsoft Exchange, les vulnérabilités existaient très probablement depuis 2010. Les serveurs Exchange utilisés par des dizaines de milliers d’entreprises, d’autorités publiques et d’autres organisations exécutaient les logiciels concernés sur leurs serveurs Exchange hébergés localement.
Le nombre considérable de serveurs Exchange utilisés et le temps nécessaire à chaque organisation pour appliquer un correctif à ses serveurs ont permis à des attaquants malveillants d’exploiter ces vulnérabilités, même après la mise à disposition du correctif.
Rien qu’aux États-Unis, au moins 30 000 organisations ont été attaquées.
Chronologie
Janvier
La vulnérabilité de Microsoft Exchange, qui permet à un attaquant de contourner l’authentification et de se faire passer pour l’administrateur du serveur, a été signalée pour la première fois par un chercheur principal en sécurité de la société de tests de sécurité DEVCORE, connu sous le nom d’Orange Tsai.
Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate😝
— Orange Tsai 🍊 (@orange_8361) January 5, 2021
Plus tard dans le mois, la société de sécurité Dubex alerte Microsoft au sujet d’attaques sur une nouvelle faille d’Exchange.
Février
Début février, la société de sécurité Volexity avertit Microsoft d’attaques actives sur des failles Exchange précédemment inconnues.
Le 8 février, Microsoft indique à Dubex qu’elle a “remonté” son rapport en interne.
Mars
Le 2 mars, Microsoft publie des mises à jour pour corriger quatre failles de type “zero-day” dans Exchange.
Cependant, l’exploitation massive et ciblée de ces vulnérabilités a déjà commencé le 28 février.
Le 12 mars, Microsoft indique qu’il y a encore 82 000 serveurs non corrigés exposés.
À ce jour, de nombreux serveurs Microsoft Exchange hébergés localement ne sont toujours pas corrigés et sont toujours vulnérables à ces exploits.
Les attaquants
Microsoft a déclaré que l’attaque a été initialement commise par HAFNIUM, un groupe de pirates informatiques parrainé par l’État chinois. Microsoft a identifié HAFNIUM comme étant “un acteur hautement qualifié et sophistiqué”. Les systèmes de messagerie de l’entreprise ont été ciblés pour exfiltrer “des informations provenant d’un certain nombre de secteurs industriels, notamment des chercheurs en maladies infectieuses, des cabinets d’avocats, des établissements d’enseignement supérieur, des entrepreneurs de la défense, des groupes de réflexion politique et des ONG” Selon Microsoft, c’était “la huitième fois au cours des 12 derniers mois que Microsoft divulguait publiquement des groupes d’États-nations ciblant des institutions essentielles à la société civile” Plus tard, les vulnérabilités ont également été exploitées par d’autres attaquants.
Ce que nous pouvons faire pour protéger nos données
Tout d’abord, il faut reconnaître que la sécurité en ligne est une tâche difficile. Si la plupart des fournisseurs d’hébergement sont très efficaces pour corriger immédiatement les vulnérabilités, la sécurité de nombreuses entreprises est également une question de confiance.
La confiance est la principale raison pour laquelle les entreprises, notamment en Allemagne, préfèrent encore héberger leurs données en interne. C’est tout à fait compréhensible : Si vous savez où se trouve le serveur, si vous savez qui a accès aux serveurs, vous êtes sûr que les données sur ces serveurs sont sécurisées.
L’autre solution - l’hébergement des données de votre entreprise dans le “nuage”, en d’autres termes, sur les serveurs d’autres personnes - semble beaucoup plus risquée et peu fiable. En réalité, ces entreprises ont raison : si vous hébergez vos données dans le nuage, vous devez être sûr que le fournisseur d’hébergement assure la sécurité des données par tous les moyens. Cela signifie également que le fournisseur doit protéger les données de ses propres employés, ce qui est pratiquement impossible. Une récente enquête de Bellingcat a montré à quel point il peut être facile d’obtenir des données personnelles sensibles de la part des employés.
Le cryptage est inévitable
La confiance peut toutefois être établie en ajoutant un autre niveau de sécurité : le cryptage de bout en bout.
Toute donnée chiffrée de bout en bout reste inaccessible par le fournisseur de services. Tutanota, par exemple, est un service qui crypte autant de données que possible de bout en bout.
Par conséquent, Tutanota et tous ses employés n’ont aucun accès aux données cryptées des clients. En outre, si un attaquant malveillant parvenait à accéder aux serveurs, il n’aurait également accès qu’aux données cryptées, ce qui rend les données inutilisables pour l’espionnage industriel par des acteurs étatiques étrangers.
Les fournisseurs de services en nuage accordent généralement une attention particulière à la sécurité. Après tout, il est de leur responsabilité de corriger rapidement les vulnérabilités. Les entreprises qui hébergent leurs données chez un fournisseur de services en nuage sont ainsi libérées de la tâche de mettre à jour manuellement leurs serveurs. Il faut en outre que le fournisseur de services en nuage applique également un cryptage de bout en bout aux données des clients.
Bien gérer la sécurité
Les piratages de Microsoft Exchange montrent qu’il n’est pas facile d’assurer correctement la sécurité.
C’est particulièrement difficile pour les petites et moyennes entreprises, ce qui est souligné par le fait qu’à ce jour, des milliers de serveurs Exchange ne sont toujours pas corrigés.
Le cryptage de bout en bout étant disponible dans de plus en plus de services tels que Tutanota, il est temps de reconnaître que l’hébergement crypté des données dans le nuage peut être une alternative fiable pour de nombreuses entreprises.