Morceaux de code source Bing et Cortana piraté

microsoft

Le collectif de hackers Lapsus$ affirme avoir volé 37 Go de données, dont des morceaux du code source de Bing, Cortana et Bing Maps.

Lapsus$ a piraté Microsoft et volé des données de l’entreprise via un compte corrompu. Le groupe de pirates a fait les gros titres à plusieurs reprises ces dernières semaines en piratant avec succès et en vidant parfois des centaines de gigaoctets d’informations sensibles chez NvidiaSamsung, Microsoft et Ubisoft. Okta a été la dernière victime après Microsoft, même si le premier affirme qu’aucune donnée n’a été volée.

Chez Microsoft, il a pu compromettre un compte et voler 37 gigaoctets de données. Selon Lapsus$, il s’agit notamment de morceaux de code source pour Bing (45%), Cortana (45%) et Bing Maps (90%). Ces deux derniers ne sont pas les cibles les plus importantes, mais il est possible que Microsoft soit particulièrement préoccupé par le fait que le code source expose des vulnérabilités.

L’année dernière, les pirates à l’origine de l’attaque massive de SolarWinds ont également volé le code source de Microsoft. À l’époque, ils ont pu capturer les composants du code source d’Azure, Intune et Exchange. Microsoft a également souligné à l’époque que, dans chaque cas, seule une partie du code est pertinente pour les produits.

Données des utilisateurs préservées

Dans un article de blog, Microsoft affirme qu’elle poursuit les pirates depuis des semaines. Selon eux, l’objectif de Lapsus$ était d’obtenir un accès accru aux systèmes internes via des données de compte volées. Le but ultime est l’exploitation. Elle passe par le vol de données et les attaques destructives.

Le géant informatique affirme que les pirates n’ont volé aucune donnée utilisateur. L’accès à un compte ne permettait qu’un accès limité aux systèmes et l’équipe de cybersécurité a réagi rapidement pour remédier au compte compromis. Selon l’entreprise de Redmond, la fuite de code n’est pas suffisamment dangereuse pour déclarer un état de risque élevé et souligne que l’équipe de sécurité a arrêté les pirates au milieu de leur opération.

Finalement, Microsoft répète que chaque organisation doit faire un effort maximal en matière de cybersécurité et insiste sur la vérification en deux étapes (2FA) sans utiliser les options plus faibles comme le courrier électronique ou les SMS. Il faut rappeler régulièrement aux employés les dangers des attaques d’ingénierie sociale (« social engineering »). Microsoft garde déjà un œil sur les actions de Lapsus$ dans la période à venir afin de prévenir ses propres clients à temps.

lire aussi

Xiaomi-12-20x-zoom-h

newsletter

Abonnez-vous gratuitement à ITdaily !
Category(Required)
Consent(Required)
This field is for validation purposes and should be left unchanged.
retour à la maison