Affaire Solorigate : Microsoft précise à quels codes sources les pirates ont eu accès

Par:
fredericmazue

ven, 19/02/2021 - 15:15

En décembre 2020, un des produits de SolarWinds, Orion, a servi de vecteur pour une cyber attaque à grande échelle aux Etats-Unis. De nombreux services d’état ont ainsi été touchés. La cyber-attaque aurait été perpétrée par les services de renseignements russes selon de nombreux avis, dont celui du Secrétaire d’Etat des Etats-Unis. De nombreuses sociétés informatiques ont aussi été victimes de l'attaque parmi lesquelles Mimecast, Palo Alto Networks, Qualys, Malwarebytes, et Microsoft. Cette dernière ayant à l'époque baptisé l'affaire Solorigate et communiqué sur ce sujet. sans toutefois préciser auxquels de ses codes sources les pirates ont eu accès. Dans un nouveau billet, Microsoft apporte ces précisions :

Comme nous l'avons indiqué précédemment, nous avons détecté une activité inhabituelle en décembre et avons pris des mesures pour sécuriser nos systèmes. Notre analyse montre que la première consultation d'un fichier dans un référentiel source a eu lieu fin novembre et s'est terminée lorsque nous avons sécurisé les comptes concernés. Nous avons continué à voir des tentatives d'accès infructueuses de la part de l'acteur jusqu'au début de janvier 2021, lorsque les tentatives se sont arrêtées.

Il n'y a eu aucun cas où tous les référentiels liés à un seul produit ou service ont été consultés. Il n'y avait pas d'accès à la grande majorité du code source. Pour presque tous les référentiels de code consultés, seuls quelques fichiers individuels ont été visualisés à la suite d'une recherche dans le référentiel.

Pour un petit nombre de référentiels, il y avait un accès supplémentaire, y compris dans certains cas, le téléchargement du code source des composants. Ces référentiels contenaient du code pour:

  • un petit sous-ensemble de composants Azure (sous-ensembles de service, sécurité, identité)
  • un petit sous-ensemble de composants Intune
  • un petit sous-ensemble de composants Exchange

Microsoft précise que les pirates étaient à la recherche de secrets dans le code, mais qu'ils ont fait chou blanc à ce niveau car sa politique de développement interdit les secrets dans le code et la société utilise des outils automatisés pour vérifier la conformité du code à cette politique.