Microsoft dit qu’il est en train d’enquêter sur une éventuelle violation de ses référentiels de code source AzureDevOps. L’information, gracieuseté de Bip Cordinateurvient chaud dans les talons d’un message Telegram (partagé plus tard sur Twitter) par le tristement célèbre groupe de piratage Lapsus$ – une seule capture d’écran où les référentiels de l’assistant numérique de Microsoft Cortana et divers projets Bing peuvent être vus. Le groupe a fait plusieurs gros titres au cours des derniers mois après des hacks très médiatisés de Nvidia, Samsung, Vodafone et Ubisoft, entre autres.
Microsoft a déjà souligné qu’une fuite de code source n’augmente pas le risque de sécurité de ses produits. Le modèle de sécurité de l’entreprise suppose déjà que les acteurs malveillants ont un accès complet au code source des produits, que ce soit via des fuites précédentes ou des menaces de fuite actuelles.
Cependant, l’accès au code source permet aux acteurs malveillants d’inspecter plus facilement les produits Microsoft à la recherche de vulnérabilités exploitables. Il y a aussi le fait que les référentiels tels que celui-ci contiennent également généralement des jetons d’accès, des informations d’identification, des clés API et même des certificats de signature de code. Le risque est accru puisque ces données peuvent être militarisées par quiconque y a accès, pas seulement en piratant le groupe Lapsus$ lui-même. En fait, les certificats de signature de pilotes de Nvidia ont déjà été utilisés par des acteurs malveillants pour tenter de dissimuler des infiltrations de logiciels malveillants. Ces certificats indiquent aux solutions de cybersécurité que le package exécutable a été développé par un tiers de confiance et qu’il n’a pas été falsifié, jetant une clé proverbiale à de nombreux algorithmes de détection de logiciels malveillants.
Fait intéressant, Lapsus$ a apparemment supprimé la capture d’écran de sa chaîne Telegram peu de temps après l’avoir partagée. La capture d’écran elle-même montrait toujours des détails sur le compte (prétendument) utilisé pour naviguer dans le référentiel Azure DevOps – les initiales « IS » étaient à la vue de tous, y compris les propres équipes de sécurité de Microsoft. C’est peut-être l’explication d’Occam’s Razor pour la suppression de l’image : rien d’autre qu’un « léger » faux pas de Lapsus$.
Un autre élément à considérer est que Lapsus$ a montré un comportement quelque peu erratique lorsqu’il s’agit d’interagir avec des entreprises qu’il a violées. Après une tentative d’extorsion avec Nvidia, le groupe présumé basé en Amérique du Sud a ensuite modifié ses exigences, exigeant que Nvidia lève son BIOS LHR (Lite Hash Rate) et la limitation des pilotes pour l’extraction de crypto-monnaie avant d’exposer sans cérémonie environ 71 000 informations d’identification d’employés de Nvidia pour faire bonne mesure.
On ne sait pas si Lapsus $ a réellement réussi à infiltrer les systèmes de Microsoft ou si le groupe ne fait que narguer Microsoft. En tout cas, Microsoft lui-même n’a annoncé aucune tentative de contact de la part du groupe et n’a pas encore confirmé la violation. Restez à l’affût des mises à jour à mesure que cela évolue.