Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Atténuation pour la Chine
11 juillet 2023 | Charlie Bell - Vice-président exécutif, sécurité Microsoft
Microsoft et d'autres acteurs du secteur ont appelé à la transparence en matière de cyberincidents afin que nous puissions apprendre et nous améliorer. Comme nous l’avons dit précédemment, nous ne pouvons ignorer l’augmentation exponentielle et la fréquence des attaques sophistiquées. Les défis croissants auxquels nous sommes confrontés ne font que renforcer notre engagement en faveur d’un plus grand partage d’informations et d’un plus grand partenariat industriel.
Aujourd'hui, nous publions les détails de l'activité d'un acteur basé en Chine que Microsoft suit sous le nom de Storm-0558 et qui a eu accès à des comptes de messagerie affectant environ 25 organisations, y compris des agences gouvernementales, ainsi qu'à des comptes de consommateurs associés d'individus probablement associés à ces organisations. Nous avons travaillé avec les clients concernés et les avons informés avant de rendre public plus de détails. À ce stade – et en coordination avec les clients – nous partageons les détails de l’incident et de l’acteur menaçant au profit de l’industrie.
Les cyberattaques continuent de gagner en sophistication et en fréquence
Les auteurs de menaces motivés continuent de se concentrer sur la compromission des systèmes informatiques. Ces adversaires dotés de ressources suffisantes ne font aucune distinction entre tenter de compromettre des comptes professionnels ou personnels associés à des organisations ciblées, puisqu'il suffit d'une seule connexion à un compte compromis avec succès pour obtenir un accès persistant, exfiltrer des informations et atteindre leurs objectifs d'espionnage. L'acteur menaçant que Microsoft associe à cet incident est un adversaire basé en Chine que Microsoft appelle Storm-0558. Nous estimons que cet adversaire se concentre sur l'espionnage, comme l'accès aux systèmes de messagerie électronique pour la collecte de renseignements. Ce type d’adversaire motivé par l’espionnage cherche à abuser des informations d’identification et à accéder aux données résidant dans des systèmes sensibles.
Atténuation terminée pour tous les clients
Le 16 juin 2023, sur la base des informations signalées par les clients, Microsoft a ouvert une enquête sur une activité de messagerie anormale. Au cours des semaines suivantes, notre enquête a révélé qu'à partir du 15 mai 2023, Storm-0558 a eu accès aux données de courrier électronique d'environ 25 organisations, ainsi qu'à un petit nombre de comptes consommateurs associés d'individus probablement associés à ces organisations. Pour ce faire, ils ont utilisé de faux jetons d'authentification pour accéder au courrier électronique des utilisateurs à l'aide d'une clé de signature de consommateur de compte Microsoft (MSA) acquise. Microsoft a terminé l'atténuation de cette attaque pour tous les clients.
Nous avons ajouté d'importantes détections automatisées pour les indicateurs connus de compromission associés à cette attaque afin de renforcer les défenses et les environnements clients, et nous n'avons trouvé aucune preuve d'accès ultérieur.
Une réponse coordonnée est la clé d’une atténuation rapide
L'enquête en temps réel de Microsoft et la collaboration avec les clients nous permettent d'appliquer des protections dans le Microsoft Cloud pour protéger nos clients contre les tentatives d'intrusion de Storm-0558. Nous avons atténué l'attaque et contacté les clients concernés. Nous travaillons également en partenariat avec des agences gouvernementales compétentes telles que le DHS CISA. Nous sommes reconnaissants qu'eux et d'autres travaillent avec nous pour aider à protéger les clients concernés et à résoudre le problème. Nous sommes reconnaissants envers notre communauté pour sa réponse rapide, forte et coordonnée.
Plus de détails pour soutenir nos clients et la communauté des défenseurs peuvent être trouvés ici.
La responsabilité commence avec nous
La responsabilité commence ici même chez Microsoft. Nous restons fidèles à notre engagement à assurer la sécurité de nos clients. Nous nous auto-évaluons continuellement, apprenons des incidents et renforçons nos plateformes d'identité/d'accès pour gérer l'évolution des risques liés aux clés et aux jetons.
Nous devons continuer à repousser les limites en matière de sécurité afin d'être prêts à faire face à tout ce qui pourrait nous arriver. Nous continuerons à travailler avec nos clients et notre communauté pour partager des informations et renforcer nos défenses collectives.