Microsoft a admis jeudi 31 décembre que les pirates du groupe APT29, lié aux services secrets russes, s’étaient introduits bien plus profondément dans ses systèmes qu’il ne l’avait craint au départ, jusqu’à accéder à son code source. « Notre enquête a révélé des tentatives d’activités allant au-delà de la simple présence de code SolarWinds malveillant dans notre environnement », a expliqué l’éditeur dans un billet de blog. « Nous avons détecté une activité inhabituelle avec un petit nombre de comptes internes et après examen, nous avons découvert qu’un compte avait été utilisé pour afficher le code source dans un certain nombre de référentiels de code source ».
Microsoft précise néanmoins que ces accès non désirés l’ont été sans dommages apparents. « Le compte n’avait pas l’autorisation de modifier le code ou les systèmes d’ingénierie et notre enquête a confirmé qu’aucune modification n’avait été apportée. Ces comptes ont été étudiés et corrigés. » Microsoft précise également n’avoir « trouvé aucune preuve d’accès aux services de production ou aux données clients [de même qu’] aucune indication que nos systèmes ont été utilisés pour attaquer d’autres personnes. »
Microsoft n’a pas divulgué quel code source a été visualisé mais indique que la visualisation de son code source n’implique pas une élévation du risque pour l’éditeur. « Nous ne comptons pas sur le secret du code source pour la sécurité des produits, et nos modèles de menaces supposent que les attaquants ont connaissance du code source », souligne Microsoft.
Mi-décembre, Solarwinds révélait que des hackers travaillant probablement pour la Russie avaient pénétré son système et intégré une porte dérobée commandée à distance dans la dernière mise à jour de sa plateforme logicielle de surveillance et de gestion centralisée Orion. Cette porte dérobée leur avait permis de s’introduire dans les réseaux de nombreuses entreprises – dont plus de 40 clients Microsoft – et organisations gouvernementales américaines, dont le Trésor, le Pentagone, le Département d’État, les instituts nationaux de la santé et de la sécurité intérieure. Les pirates ont aussi vraisemblablement utilisé Orion pour s’introduire dans le réseau de FireEye – justement très impliqué dans la lutte contre le hacking d’État – qui avait révélé son piratage quelques jours auparavant.