Microsoft a enfin révélé vendredi dernier que les pannes de ses services 365 et du portail Azure Cloud début juin avaient été causées par une attaque par déni de service distribué (DDoS). La firme de Redmond affirme n’avoir trouvé « aucune preuve que les données de ses clients aient été consultées ou compromises ».
Au moment des attaques, Microsoft ne confirmait pas le lien entre les pannes et des attaques DDoS. Le géant logiciel se contentait d’une déclaration vague : « Nous sommes conscients de ces allégations et enquêtons. Nous prenons les mesures nécessaires pour protéger les clients et assurer la stabilité de nos services ».
En revanche, le site BleepingComputer précisait déjà qu’un acteur de la menace connu sous le nom de « Anonymous Sudan » revendiquait mener ces attaques contre Microsoft afin de dénoncer l’interventionnisme des États-Unis au Soudan. Le site spécialisé en cybersécurité estimait alors qu’il pouvait s’agir d’un « faux drapeau » pour masquer des acteurs liés à la Russie.
L’agence de presse AP rapporte à présent : « Au début du mois de juin 2023, Microsoft a identifié des hausses de trafic contre certains services qui ont temporairement affecté leur disponibilité. Microsoft a rapidement ouvert une enquête et a commencé à suivre l’activité DDoS en cours de l’acteur de la menace que Microsoft suit sous le nom de Storm-1359 ». Et d’ajouter : « Cette récente activité DDoS a ciblé la couche 7 plutôt que les couches 3 ou 4. Microsoft a renforcé les protections de la couche 7, notamment en ajustant Azure Web Application Firewall (WAF) pour mieux protéger les clients contre l’impact d’attaques DDoS similaires ».
The Register estime que Microsoft a essayé de minimiser la publicité autour de cette attaque en évitant de lier « Storm-1359 » à un attaquant en particulier : « Le géant technologique se targue en effet d’exceller en matière de sécurité et de résilience cloud ».