Imaginez une passoire géante avec ses centaines de minuscules trous. Imaginez maintenant que vous cherchiez sans cesse à combler ces trous pour retenir l’eau dans cette passoire. Imaginez aussi, que pour limiter les fuites, vous ajoutez à cette passoire une nouvelle passoire censée disposer de moins de trous. Imaginez encore, que malgré l’aide de plusieurs proches, vous ne parveniez pas à combler tous ces orifices.
C’est exactement le problème auquel MicrosoftMicrosoft est confronté depuis des décennies avec à peu près l’ensemble de ses logiciels. Et cela explique en partie pourquoi les logiciels les plus populaires de la firme sont très régulièrement ciblés par des cyberattaques d’ampleur.
Celle en cours depuis la semaine dernière est massive et peut concerner tous les utilisateurs de SharePoint, un logiciel serveur Microsoft largement utilisé. De très nombreuses institutions l’utilisent : les agences gouvernementales, les industriels, les universités ou encore les entreprises gérant les infrastructures critiques.
SharePoint sert à partager des documents entre les collaborateurs d’une structure. Une vulnérabilité dite « zero-day », c’est-à-dire inconnue jusqu’à maintenant, a été exploitée par des pirates pour accéder aux réseaux et aux données internes des organismes. La vulnérabilité est donc mondiale et l’agence française de la sécurité des réseaux, l’ANSSI, a émis une alerte et une fiche technique pour la décrire et délivre aussi quelques recommandations.
Microsoft a déployé des correctifs pour colmater la brèche, mais le mal est déjà fait pour les victimes des pirates. Le plus problématique, c’est que l’attaque concerne les serveurs hébergés au sein d’une organisation, et non pas ceux hébergés dans le cloud. Autrement dit, les brèches de cet outil de Microsoft permettent aux cybercriminels de s’attaquer directement aux contenus des serveurs des organisations qui l’utilisent. Un « détail » qui rappelle que miser sur un stockage souverain ou de proximité pour plus de maîtrise ne protège en rien d’une fuite de données vers l’étranger lorsque la faille provient d’un logiciel tiers comme ceux de Microsoft.
Passons outre les explications techniques sur les manœuvres des attaquants, qui ont été décrites à maintes reprises dans les médias depuis le 18 juillet, date de la révélation de cette vulnérabilité baptisée ToolShell.
La question est plutôt pourquoi ce type de faille, notamment chez Microsoft, est-il courant et pourquoi ces vulnérabilité peuvent-elles avoir des conséquences dramatiques pour toute la planète ?
À force de faire du neuf avec du vieux, on récupère les brèches de ce dernier. C’est le cas pour SharePoint. En raison de la vulnérabilité, les attaquants ont pu récupérer les clés de chiffrement du serveur encapsulées dans une technologie (.NET) datant d’il y a 25 ans. Avec ces clés, les cybercriminels pouvaient exécuter du code à distance, sur le serveur, même après l’installation des correctifs. © SB, ChatGPT
Des vulnérabilités intrinsèques et inévitables
Les solutions proposées par Microsoft sont parfois utilisées par les entreprises depuis des décennies. Lorsque Microsoft fait évoluer un de ses produits, il ne repart jamais de zéro car il faut faire en sorte que les anciennes applicationsapplications ou documents fonctionnent dans les nouvelles versions. Lorsqu’une entreprise a développé ses outils avec Microsoft, elle souhaite que cela puisse continuer à fonctionner.
C’est pour cela que de larges portions du code source (souvent très ancien) sont conservées, modifiées ou encapsulées pour être compatibles avec de nouvelles fonctionnalités. Avec cette succession de couches prévues pour moderniser le logiciel, il se complexifie. Les anciennes fonctionnalités, moins sécurisées, sont mixées avec plusieurs autres générations et cela transforme l’ensemble en cette fameuse « passoire ».
À titre d’exemple, dans le cas de SharePoint Server 2025, des composants .NET issus des années 2000 sont toujours présents. On trouve les mêmes mécanismes d’authentification et d’exécution qu’il y a 25 ans. C’est justement ce qui explique certaines failles persistantes (comme celle exploitée dans l’attaque ToolShell). C’est donc cette absence de refonte totale qui explique la multiplication de ces vulnérabilités.
Microsoft qui met pourtant énormément de moyens sur la cybersécurité reste structurellement vulnérable à ces failles puisque son écosystèmeécosystème doit pouvoir fonctionner avec tout et n’importe quelle génération de fichiers en entreprise. D’ailleurs, ce déploiement de ressources pour la cybersécurité est finalement une sorte d’aveu d’impuissance face à ces vulnérabilités structurelles.
Qui est l’auteur de l’attaque ?
Maintenant reste à savoir qui est à l’origine de cette cyberattaque. Sur ce point précis, comme toujours, il est difficile de se prononcer clairement. Certaines sociétés de cybersécurité ont cependant évoqué plusieurs noms de groupes, dont Silk Typhoon (APT41), un groupe d’espionnage chinois connu, expert des failles logicielles. On parle aussi de Black Basta (Storm-0506) d’origine russe, mais dont l’affiliationaffiliation n’est pas clairement étatique. Le niveau de sophistication de l’attaque suggère quand même qu’il s’agit d’un acte piloté par un État-nation, comme la Chine et la Russie.
Dans tous les cas, les attaquants semblaient vouloir disposer d’un accès durable et discret aux serveurs locaux, puisque les premières infiltrations ont été menées à partir du 7 juillet, selon l’enquête de Check Point Research. C’est au moment où des tentatives d’exploitation ciblant un important gouvernement occidental et des entreprises du secteur des télécommunications que le lièvre a été levé. L’activité s’est réellement intensifiée à partir du 18 juillet. Autant d’éléments qui pointent vers des acteurs étatiques.
Cela reste toutefois étrange, car cette vulnérabilité touche également l’infrastructure de ces pays, dont les grandes entreprises utilisent SharePoint. Des groupes de cybercriminels très qualifiés et spécialisés dans le vol de données sensibles, leur chiffrementchiffrement contre rançon ou la revente d’accès à des serveurs pourraient aussi être à l’origine de cette attaque massive. Enfin, l’auteur de l’attaque, peut également être n’importe qui, puisque cette vulnérabilité zéro-day avait été dévoilée lors d’une conférence de hackers en mai dernier à Berlin, lors du Pwn2own.
Microsoft n’a, semble-t-il, pas été pressé de s’en inquiéter, ni de la corriger avant la catastrophe. Il y avait peut-être d’autres trous à combler dans la passoire…