Depuis le mois de mai, une vingtaine d’agences gouvernementales européennes et américaines ont été infiltrées par des cyberespions chinois. La cyberattaque de grande ampleur a ciblé la messagerie du personnel de ces institutions, en utilisant des jetons d’authentification falsifiés. Les équipes de Microsoft ont finalement pu contenir la menace, selon un communiqué officiel.
Les services de renseignement chinois ont piraté les comptes de messagerie Microsoft de 25 agences gouvernementales, aux États-Unis et en Europe occidentale. Il s’agit de la seconde cyberattaque chinoise connue dont l’Occident a été victime cette année. Portant le nom de code Storm-0558, les espions ont également infiltré les comptes personnels des employés associés aux agences.
L’intrusion a été signalée à Microsoft à la mi-juin 2023. Sur la base des informations fournies par les victimes, Storm-0558 se serait concentré sur l’espionnage, le vol de données et l’accès aux informations d’identification. Après enquêtes, les équipes de Microsoft ont découvert que l’infiltration — catégorisée en tant que violation significative — remontait au 15 mai de cette année.
« Pendant des années, la Chine a mené des cyber-opérations agressives pour voler la propriété intellectuelle et les données sensibles d’organisations du monde entier », a déclaré dans un communiqué Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency des États-Unis (CISA).
Utilisation de jetons d’authentification falsifiés
Les pirates informatiques chinois se sont introduits dans les systèmes de messagerie des agences gouvernementales en utilisant des jetons d’authentification falsifiés. Ces jetons ont été conçus à partir d’une clé de signature de compte de services administrés (MSA) acquise. Un compte MSA est un service Microsoft permettant la gestion automatique des mots de passe, la gestion simplifiée des noms principaux des services et la décentralisation de la gestion vers d’autres administrateurs.
Le service de Microsoft dédié à la gestion des identités et des accès au cloud est Azure Active Directory (Azure AD). Pour les entreprises et institutions, il permet aux équipes d’accéder à des ressources ou applications externes, telles que Microsoft 365. Il permet également d’accéder aux ressources internes, telles que les applications enregistrées en interne ou exclusives à l’organisation.
Pour s’introduire dans les systèmes, les espions ont exploité une ouverture créée par un problème de validation de jeton. Cette ouverture leur a permis de se faire passer pour un utilisateur autorisé de l’environnement Azure AD et d’accéder aux courriers des agences. En effet, les clés MSA et les clés Azure AD sont gérées par des systèmes distincts et ne sont valides que pour leurs systèmes respectifs.
D’après Charles Carmakal, directeur technique et vice-président de Mandiant (de Google Cloud), « il s’agit d’une technique très avancée utilisée par l’acteur de la menace contre un nombre limité de cibles de grande valeur. Chaque fois que la technique était utilisée, elle augmentait les chances que l’acteur de la menace se fasse prendre ».
D’après le CISA, les pirates informatiques chinois ont pour habitude d’utiliser des techniques leur permettant de se fondre dans la masse. Pour ce faire, ils utilisent des outils d’administration réseau légitimes et s’intègrent très discrètement dans les activités normales des institutions concernées. Cependant, la fréquence d’utilisation de la clé MSA « volée » a probablement réveillé les soupçons, pour Storm-0558.
Les enquêtes de Microsoft ont révélé que Storm-0558 a eu accès aux comptes des agents gouvernementaux, en passant par Outlook Web Access de Exchange Online (OWA) et Outlook.com. Heureusement, il s’agirait des seuls services pour lesquels l’utilisation de jetons falsifiés a été retracée, « forgés » à partir de la clé MSA.
Pour contre-attaquer, les ingénieurs de Microsoft ont bloqué l’utilisation sur OWA des jetons portant la signature de la clé MSA volée. Les copies des jetons utilisés par les clients grand public concernés ont également été bloquées. Ils ont ensuite remplacé la clé afin d’empêcher la conception de nouveaux jetons. Aux dernières nouvelles, l’accès de Storm-0558 aux courriers des victimes a été complètement bloqué.
Bien que les gouvernements n’ont pas indiqué exactement quelles agences ont été victimes du piratage, les cyberattaques chinoises semblent cibler des infrastructures stratégiques (civiles et militaires). La précédente attaque visait par exemple les systèmes de communication d’une base navale à Guam, qui est une pièce maîtresse de l’armement américain en cas d’invasion de Taïwan. D’après Microsoft, les dispositifs populaires de cybersécurité tels que FortiGuard sont particulièrement vulnérables au piratage.