Le vol présumé d’une clé de sécurité de Microsoft pourrait avoir permis à des espions liés à Pékin de violer bien plus que les comptes de messagerie Outlook et Exchange Online.

Dans une révélation choquante qui mérite plus d’attention, une clé cryptographique privée interne appartenant à Microsoft – utilisée pour signer numériquement les jetons d’accès à ses services en ligne – a été, d’une manière ou d’une autre, obtenue par quelqu’un. Les espions ont fabriqué des jetons à l’aide de cette clé, ce qui leur a permis d’accéder aux systèmes de messagerie électronique des clients de Microsoft. Cela a donné l’impression que Microsoft avait légitimement émis les jetons.

En possession de ces précieux jetons, les infiltrés, qui seraient basés en Chine, ont pu accéder aux comptes de messagerie Microsoft Cloud de fonctionnaires américains, dont la secrétaire d’État au commerce, Gina Raimondo. Une agence du gouvernement fédéral a détecté la cyber-intrusion et a donné l’alerte.

La manière dont cette puissante clé de signature privée a été acquise reste un mystère pour Microsoft. Pour autant que nous le sachions, ils n’ont pas encore trouvé la solution, ou du moins ils ne l’ont pas encore rendue publique. Microsoft a révoqué cette clé particulière. Les espions portent le nom de code Storm-0558. 

La clé privée aurait pu permettre d’accéder à d’autres comptes que ceux d’Outlook et d’Exchange Online, comme on nous l’a dit. Microsoft conteste toutefois cette affirmation.

Lire aussi : “Les performances de l’IA de ChatGPT : Au-delà du test de Turing ou pas tout à fait ?”

En outre, elle s’applique aux applications appartenant aux clients qui prennent en charge la fonction “login with Microsoft” et aux applications multi-locataires configurées pour utiliser le point de terminaison des clés v2.0 “commun” par opposition au point de terminaison “organisations”. Les applications utilisant OpenID v1.0 restent sécurisées.

Bien que Microsoft ait invalidé la clé de chiffrement compromise et partagé une liste d’indicateurs de compromission pour ceux qui se demandent si Storm-0558 les a également ciblés, Wiz soutient qu’il pourrait être difficile pour les clients de Microsoft d’identifier si les escrocs ont utilisé de faux jetons pour extraire des données de leurs applications. Tamari attribue cette situation à la nécessité de disposer d’un plus grand nombre de journaux liés à la vérification des jetons.

Sous la pression du gouvernement américain, Redmond a accepté de donner à tous ses clients un accès gratuit aux registres de sécurité du cloud – un service généralement réservé aux clients premium – mais seulement à partir de septembre.

Microsoft a signalé l’ attaque le 11 juillet. Le géant Azure a déclaré à l’époque, et dans une mise à jour du 14 juillet, que les espions avaient utilisé des jetons d’authentification contrefaits pour s’introduire dans les comptes de courrier électronique d’agences gouvernementales à des fins d’espionnage.

Le Wall Street Journal a rapporté jeudi que des espions chinois avaient également accédé aux boîtes de réception de l’ambassadeur américain en Chine, Nicholas Burns, et de Daniel Kritenbrink, secrétaire d’État adjoint pour l’Asie de l’Est.

La manière dont les espions ont obtenu la clé de chiffrement privée reste une énigme. Selon l’équipe de sécurité de Wiz, le groupe basé en Chine semble avoir sécurisé l’une des clés utilisées pour vérifier les jetons d’accès à Azure Active Directory (AAD), ce qui lui permet de signer n’importe quel jeton d’accès OpenID v2.0 pour les comptes personnels et les applications AAD multi-tenant et à compte personnel en tant que Microsoft.

Bien que Microsoft ait mis hors service la clé compromise, qui ne peut donc plus être utilisée pour fabriquer des jetons et accéder aux applications AAD, il est possible que, lors de sessions antérieures, les attaquants aient utilisé cet accès pour installer des portes dérobées ou établir une persistance.

“Un exemple frappant est la façon dont, avant l’intervention de Microsoft, Storm-0558 a émis des jetons d’accès valides à Exchange Online en falsifiant des jetons d’accès à Outlook Web Access (OWA)”, a écrit M. Tamari.