Microsoft a confirmé que les attaquants à l'origine de la cyberattaque SolarWinds ont accédé au code source de l'entreprise après avoir compromis des comptes internes disposant d'un accès direct.
Microsoft estime que cet accès ne crée pas de vulnérabilités dans ses applications ni dans Windows 10, et a détaillé l'incident dans un billet de blog officiel.
Ce communiqué du Microsoft Security Response Center constitue une mise à jour supplémentaire sur la cyberattaque SolarWinds, baptisée "Solorigate" par Microsoft.
Notre enquête sur notre propre environnement n'a trouvé aucune preuve d'accès aux services de production ou aux données client. L'enquête en cours n'a pas non plus détecté d'utilisation de nos systèmes pour attaquer d'autres entités.
Cependant, un petit nombre de comptes internes ont été compromis. L'un d'eux a permis d'afficher le code source dans plusieurs milliers de référentiels.
Ce compte n'ayant pas d'autorisation de modification, Microsoft est convaincu qu'aucune altération n'a eu lieu.
Cet accès représente un risque sérieux, mais Microsoft applique une philosophie de "présomption de violation", traitant le code source comme potentiellement exposé.
De plus, l'entreprise adopte une approche "open source" interne : le code est visible au sein de Microsoft, renforçant la sécurité par conception plutôt que par secret.
Avec les fuites récentes de code source de produits Microsoft, cette stratégie est plus pertinente que jamais.
Microsoft se distingue par sa transparence exemplaire sur l'attaque et ses impacts.
Cela n'exclut pas d'autres victimes : Cisco, Intel, Nvidia, Belkin et VMware ont détecté le malware sur leurs réseaux.
CrowdStrike a repoussé une tentative d'intrusion, tandis que FireEye a signalé le vol de ses outils offensifs par un acteur sophistiqué.
La principale différence réside dans la communication. Avec jusqu'à 18 000 clients SolarWinds Orion potentiellement affectés, le bilan des victimes pourrait s'alourdir.
[]