Depuis que Microsoft a publié un correctif pour une série de quatre vulnérabilités dans son logiciel Microsoft Exchange, les hackers s’intéressent plus que jamais à ces failles. C’est un paradoxe habituel dans la cybersécurité. Les éditeurs de logiciel doivent réparer les vulnérabilités lorsqu’elles sont exploitées, ou pour éviter qu’elles ne le soient. Mais ce faisant, elles alertent sur l’existence des failles. Le message sera reçu par les utilisateurs, mais aussi par les cybercriminels. En conséquence, une course contre-la-montre est engagée entre les organisations qui doivent patcher leur logiciel et les malfaiteurs qui veulent créer des outils pour exploiter les vulnérabilités.
Si vous n’avez pas suivi le début de l’affaire, Exchange est un service utilisé par les organisations pour gérer les adresses email, les carnets de contact et les agendas de leurs employés. La chaîne de vulnérabilité, désormais connue sous le nom de ProxyLogon, permet de mettre la main sur toutes les communications de la victime, et de se servir de son service d’email comme moyen de propagation d’autres malwares. De quoi attirer les convoitises.
« Au moins 10 » groupes de hackers avancés attaquent les utilisateurs de Microsoft Exchange
Lorsque Microsoft a publié ses correctifs, il accusait Hafnium, un groupe de hackers affilié à la Chine, d’avoir exploité la faille. Hafnium est un APT (advanced persistent threat), un type de groupe d’élite financé par un État. La finalité de ses opérations s’approche de celle d’une agence de renseignement (espionnage, dissuasion…) là où les groupes de cybercriminels cherchent avant tout le profit financier. Si Hafnium semble avoir découvert ProxyLogon en premier et l’a exploité dès janvier 2021, « au moins 10 APT » prennent désormais d’assaut les serveurs non patchés de Microsoft Exchange, estiment les chercheurs de ESET le 10 mars 2021.
Les APT ont de nombreuses cibles à disposition : selon les estimations, plusieurs dizaines de milliers de serveurs sont encore vulnérables. Déployer un patch n’est pas une tâche très difficile, mais elle reste plus complexe qu’une simple mise à jour de Windows ou macOS sur votre ordinateur. Certaines organisations, plus petites ou moins bien financées, n’ont pas forcément les compétences ou les outils en interne pour réagir rapidement.
Et ce n’est pas tout. Comme si la situation n’était pas assez critique, des chercheurs en cybersécurité peu précautionneux commencent à donner de plus amples détails sur les vulnérabilités. Un chercheur vietnamien a même publié sur GitHub une preuve de concept (PoC) de l’attaque. Autrement dit, il démontre comment exploiter ProxyLogon. The Record a interrogé plusieurs experts sur la qualité de son outil : tous expliquent qu’ils ont dû l’ajuster, mais qu’il fonctionne. C’est un vrai problème : même si le chercheur n’a pas de mauvaise intention, les « méchants hackers » lisent autant ce genre de publications que les « gentils hackers ». En présentant son PoC, il donne des armes aux cybercriminels qui n’avaient pas suffisamment de compétences pour les créer eux-mêmes.
La crainte rançongiciel
Justement, les chercheurs craignent qu’en plus des APT, des cybercriminels moins experts commencent à exploiter la faille. Ils songent notamment aux opérateurs de rançongiciels, qui pourraient utiliser ProxyLogon comme point d’entrée sur les réseaux de leurs victimes, avant de déployer leurs malwares capables de paralyser toute l’organisation. Mais pour l’instant, ces craintes ne se sont pas réalisées. C’est tout juste si Dave Kennedy fondateur de TrustedSec, affirme avoir détecté que des malfaiteurs utilisent la vulnérabilité pour installer des malwares de minages de cryptomonnaies. Ces logiciels malveillants exploitent la puissance de calcul des machines de la victime pour participer à la blockchain et ainsi récolter des cryptomonnaies sans frais.
Pour l’instant les victimes de l’attaque se murent pour la plupart dans le silence. Le parlement norvégien fait partie des exceptions : il a affirmé le 10 mars que des hackers étaient parvenus à exploiter les vulnérabilités pour s’introduire dans son réseau informatique, et voler des données. Il pourrait être le premier d’une longue série.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !