Sécurité

Une faille dans les serveurs Microsoft Exchange exploitée dans une cyberattaque de masse

Faille Microsoft

Revue de l'article

Cet article est extrait de
Revue Banque n°855

Banque de détail : la crise accélère une transformation nécessaire

Le début de mars 2021 a été difficile pour le cloud français. Outre l’incendie des locaux d’OVH qui a touché une bonne partie des sites et entreprises français, 600 000 sociétés à travers le monde, dont l’ABE (Autorité bancaire européenne), ont été victime d’un piratage exploitant une faille de leurs serveurs de messagerie Microsoft. L’ABE a mis sa messagerie hors ligne dimanche 7 mars avant de la rétablir dès le lendemain : « À ce stade, l’infrastructure de courriers électroniques de l’ABE a été sécurisée, et nos analyses suggèrent qu’aucune extraction de données n’a été réalisée, et nous n’avons pas d’indication que la brèche ait été au-delà de nos serveurs d’e-mails », a précisé l’Autorité ce jour-là sur son site. Selon une source du journal Les Échos, des banques européennes ont pu être touchées, mais pas davantage ou plus gravement que les attaques subies quotidiennement par le secteur.
Que s’est-il passé ? Tout a commencé fin février quand Microsoft a partagé une partie de son code avec ses partenaires dans le cadre du Microsoft Active Protections Program (MAPP). Certains de ces partenaires, chinois selon la firme et les autorités américaines, auraient fait fuiter quatre des failles indiquées ce jour-là pour permettre rapidement le piratage des serveurs Exchange malgré la diffusion en urgence d’une rustine dès le 4 mars. Dans un premier temps, le groupe de pirate Hafnium a été montré du doigt. À l’heure où nous écrivons ces lignes, près de trois semaines après le début de l’affaire, les attaques continuent et 125 000 serveurs dans le monde sont toujours impactés. Que faire ? Comme toujours dans ce type d’affaires, les entreprises doivent vérifier si elles ont des serveurs qui peuvent être concernés par ces failles, les mettre à jour au plus tôt si ce n’est déjà fait et lancer un audit pour s’assurer qu’elles n’ont pas été piratées. Si elles l’ont été, elles doivent prévenir au plus vite partenaire et client pour limiter la propagation des attaques.

 

Sur le même sujet