Microsoft affirme que des cyberattaques ont causé Outlook et des pannes de services cloud

Début juin, des interruptions de service sporadiques mais graves ont affecté la suite bureautique phare de Microsoft et la plate-forme de cloud computing. Un groupe hacktiviste ténébreux a revendiqué la responsabilité, affirmant qu’il avait inondé les sites de trafic indésirable lors d’attaques par déni de service distribué (DDoS).

Initialement réticent à nommer la cause, Microsoft a maintenant révélé que les attaques DDoS du sombre parvenu étaient en effet à blâmer.

Mais le géant du logiciel a fourni peu de détails – et n’a pas immédiatement commenté le nombre de clients touchés et si l’impact était mondial.

Une porte-parole a confirmé que le groupe qui se fait appeler Anonymous Sudan était à l’origine des attaques. Il a revendiqué la responsabilité sur sa chaîne de médias sociaux Telegram à l’époque. Certains chercheurs en sécurité pensent que le groupe est russe.

L’explication de Microsoft dans un article de blog faisait suite à une demande de l’Associated Press deux jours plus tôt. Mince sur les détails, le message a déclaré que les attaques “ont temporairement affecté la disponibilité” de certains services.

Il a déclaré que les attaquants se concentraient sur “la perturbation et la publicité” et utilisaient probablement une infrastructure cloud louée et des réseaux privés virtuels pour bombarder les serveurs Microsoft à partir de soi-disant botnets d’ordinateurs zombies dans le monde entier.

Microsoft a déclaré qu’il n’y avait aucune preuve que des données client aient été consultées ou compromises.

Alors que les attaques DDoS sont principalement une nuisance – rendant les sites Web inaccessibles sans les pénétrer – les experts en sécurité disent qu’ils peuvent perturber le travail de millions de personnes s’ils réussissent à interrompre les services d’un géant des services logiciels comme Microsoft dont dépend tant le commerce mondial.

Il n’est pas clair si c’est ce qui s’est passé ici.

“Nous n’avons vraiment aucun moyen de mesurer l’impact si Microsoft ne fournit pas ces informations”, a déclaré Jake Williams, un éminent chercheur en cybersécurité et ancien hacker offensif de la National Security Agency. Williams a déclaré qu’il n’était pas au courant qu’Outlook avait déjà été attaqué à cette échelle.

“Nous savons que certaines ressources étaient inaccessibles pour certains, mais pas pour d’autres. Cela se produit souvent avec les DDoS de systèmes distribués à l’échelle mondiale”, a ajouté Williams.

Il a déclaré que la réticence apparente de Microsoft à fournir une mesure objective de l’impact sur les clients “parle probablement de l’ampleur”.

Microsoft a surnommé les attaquants Storm-1359, en utilisant un désignateur qu’il attribue aux groupes dont il n’a pas encore établi l’affiliation. L’investigation en matière de cybersécurité a tendance à prendre du temps – et même dans ce cas, cela peut être un défi si l’adversaire est qualifié.

Des groupes de piratage pro-russes, dont Killnet – qui, selon la société de cybersécurité Mandiant, est affiliée au Kremlin – ont bombardé le gouvernement et d’autres sites Web des alliés de l’Ukraine avec des attaques DDoS.

En octobre, certains sites aéroportuaires américains ont été touchés. L’analyste Alexander Leslie de la société de cybersécurité Recorded Future a déclaré qu’il était peu probable que Anonymous Sudan se trouve comme il le prétend au Soudan, un pays africain.

Le groupe travaille en étroite collaboration avec Killnet et d’autres groupes pro-Kremlin pour diffuser de la propagande et de la désinformation pro-russes, a-t-il déclaré.

Edward Amoroso, professeur à NYU et PDG de TAG Cyber, a déclaré que l’incident de Microsoft met en évidence à quel point les attaques DDoS restent “un risque important dont nous convenons tous d’éviter d’en parler. Il n’est pas controversé d’appeler cela un problème non résolu”.

Il a déclaré que les difficultés de Microsoft à faire face à cette attaque particulière suggèrent “un point de défaillance unique”. La meilleure défense contre ces attaques est de diffuser massivement un service, sur un réseau de distribution de contenu par exemple.

En effet, les techniques utilisées par les attaquants ne sont pas anciennes, a déclaré le chercheur britannique en sécurité Kevin Beaumont. “L’une remonte à 2009”, a-t-il précisé.

De graves impacts des interruptions de la suite bureautique Microsoft 365 ont été signalés le 5 juin, culminant à 18 000 rapports de pannes et de problèmes sur le tracker Downdetector.

Sur Twitter ce jour-là, Microsoft a déclaré qu’Outlook, Microsoft Teams, SharePoint Online et OneDrive for Business étaient concernés.

Les attaques se sont poursuivies tout au long de la semaine, Microsoft confirmant le 9 juin que sa plateforme de cloud computing Azure avait été affectée.

Le 8 juin, le site d’informations sur la sécurité informatique BleepingComputer.com a signalé que l’hébergement de fichiers OneDrive basé sur le cloud était en panne à l’échelle mondiale pendant un certain temps. Microsoft a déclaré à l’époque que les clients de bureau OneDrive n’étaient pas affectés, a rapporté BleepingComputer.