Microsoft Les pannes du début de juin étaient dues à des cyberattaques

(Boston) Début juin, des interruptions de service sporadiques, mais sérieuses ont affecté la suite bureautique phare de Microsoft – y compris les applications de messagerie Outlook et de partage de fichiers OneDrive – ainsi que la plateforme pour gérer le nuage numérique. Un groupe cyberactiviste a revendiqué la responsabilité, affirmant qu’il avait inondé les sites de trafic indésirable d’attaques par déni de service distribuées (DDoS).

Initialement réticent à nommer la cause, Microsoft a maintenant révélé que les attaques DDoS menées par ce groupe étaient en effet à blâmer.

Mais le géant du logiciel a fourni peu de détails – et n’a pas immédiatement indiqué le nombre de clients touchés et si l’impact était mondial.

Une porte-parole a confirmé que le groupe qui se fait appeler « Anonymous Sudan » était à l’origine des attaques. Il a revendiqué la responsabilité sur sa chaîne de la plateforme Telegram à l’époque. Certains chercheurs en sécurité pensent que le groupe est russe.

L’explication de Microsoft dans un billet de blogue vendredi soir faisait suite à une demande de l’Associated Press deux jours plus tôt. Mince sur les détails, le message a spécifié que les attaques « ont temporairement affecté la disponibilité » de certains services. On y apprend que les attaquants se concentraient sur « la perturbation et la publicité » et utilisaient probablement une infrastructure de nuage informatique louée et des réseaux privés virtuels pour bombarder les serveurs Microsoft à partir de soi-disant réseaux de robots d’ordinateurs zombies dans le monde entier.

Microsoft a déclaré qu’il n’y avait aucune preuve que des données client ont été consultées ou compromises.

Alors que les attaques DDoS sont principalement une nuisance – rendant les sites web inaccessibles sans les pénétrer – les experts en sécurité disent qu’ils peuvent perturber le travail de millions de personnes s’ils réussissent à interrompre les services d’un géant des services logiciels comme Microsoft dont dépend tant le commerce mondial.

Il n’est pas clair toutefois si c’est ce qui s’est passé ici.

« Nous n’avons vraiment aucun moyen de mesurer l’impact si Microsoft ne fournit pas ces informations », a déclaré Jake Williams, un réputé chercheur en cybersécurité et ancien pirate informatique de la National Security Agency. M. Williams a dit qu’il n’était pas au courant qu’Outlook avait déjà été attaqué à cette échelle.

« Nous savons que certaines ressources étaient inaccessibles pour certains, mais pas pour d’autres. Cela se produit souvent avec les DDoS de systèmes distribués à l’échelle mondiale », a ajouté Jake Williams. Selon lui, la réticence apparente de Microsoft à fournir une mesure objective de l’impact sur les clients montre « probablement l’ampleur ».

Microsoft a surnommé les attaquants Storm-1359, en utilisant un désignateur qu’il attribue aux groupes dont il n’a pas encore établi l’affiliation. L’investigation en matière de cybersécurité a tendance à prendre du temps – et même dans ce cas, cela peut être un défi si l’adversaire est qualifié.

Les alliés de l’Ukraine visés

Des groupes de piratage prorusses, dont Killnet – qui, selon la société de cybersécurité Mandiant, est affiliée au Kremlin – ont bombardé le gouvernement et d’autres sites web des alliés de l’Ukraine avec des attaques DDoS. En octobre, certains sites aéroportuaires américains ont été touchés.

L’analyste Alexander Leslie de la société de cybersécurité Recorded Future a expliqué qu’il était peu probable que « Anonymous Sudan » se trouve comme il le prétend au Soudan, un pays africain. Le groupe travaille en étroite collaboration avec Killnet et d’autres groupes pro-Kremlin pour diffuser de la propagande et de la désinformation prorusses, a-t-il affirmé.

Edward Amoroso, professeur à l’Université de New York et président-directeur général de TAG Cyber, a déclaré que l’incident de Microsoft met en évidence à quel point les attaques DDoS restent « un risque important dont nous convenons tous d’éviter de parler ». Ce n’est pas une controverse d’appeler cela un problème non résolu.

Il estime que les difficultés de Microsoft à repousser cette attaque particulière suggèrent « un point de défaillance unique ». La meilleure défense contre ces attaques est de diffuser massivement un service, sur un réseau de distribution de contenu par exemple.

En effet, les techniques utilisées par les attaquants ne sont pas anciennes, a souligné le chercheur en sécurité britannique Kevin Beaumont. « L’une remonte à 2009 », a-t-il précisé.

De graves impacts des interruptions de la suite bureautique Microsoft 365 ont été signalés le 5 juin dernier, culminant à 18 000 pannes et rapports de problèmes sur le système de détection « Downdetector » peu après 11 heures.

Sur Twitter ce jour-là, Microsoft a écrit qu’Outlook, Microsoft Teams, SharePoint Online et OneDrive for Business étaient concernés.

Les attaques se sont poursuivies tout au long de la semaine, Microsoft confirmant le 9 juin que sa plateforme de nuage numérique Azure avait été affectée.

Le 8 juin, le site d’informations sur la sécurité informatique BleepingComputer.com a signalé que l’hébergement de fichiers OneDrive basé sur le nuage était en panne à l’échelle mondiale pendant un certain temps.

Microsoft a déclaré à l’époque que les clients de bureau OneDrive n’étaient pas affectés, a rapporté BleepingComputer.