Dans un document déposé à la SEC, HPE a signalé une violation de données. « Sur la base de notre enquête, nous pensons désormais qu’un acteur malveillant a accédé et exfiltré des données à partir de mai 2023 depuis quelques boîtes aux lettres de HPE appartenant à des personnes travaillant dans les secteurs de la cybersécurité, du commerce et d'autres fonctions », a déclaré la firme américaine.
Elle précise avoir été informée, en juin 2023, d'un accès non autorisé à des fichiers SharePoint datant de mai 2023 par un pirate, elle a mené une enquête avec des experts externes en cybersécurité et a pris des mesures de confinement. « Nous avons déterminé que cette activité n'a pas eu d'impact matériel sur la société », a-t-elle conclu. En 2018, des pirates chinois travaillant pour le ministère de la Sécurité d'État, avaient déjà infiltré les réseaux de HPE et d'IBM et avaient ensuite utilisé cet accès pour lancer des cyberattaques.
Lien avec l'attaque de Microsoft
Cette violation des boîtes aux lettres de HPE survient quelques jours après l’annonce par Microsoft de la compromission de comptes de messagerie de ses dirigeants par un groupe russe identifié comme étant Midnight Blizzard. On ne sait pas s'il s'agit d'une campagne coordonnée visant les géants américains IT, ou s'il s'agit de factions distinctes au sein de Midnight Blizzard ou de Cozy Bear travaillant sur des missions uniques.
« À partir de la fin novembre 2023, cet acteur a utilisé une attaque par pulvérisation de mot de passe, ou Password Spraying, pour compromettre un compte de test et prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d'entreprise Microsoft, y compris ceux des membres de notre équipe de direction et des employés travaillant à des postes de cybersécurité, juridiques et autres, et a exfiltré des courriels et des documents joints », a déclaré Microsoft dans un billet de blog divulguant l'attaque.
La sécurité de Microsoft critiquée
La pulvérisation de mots de passe est une cyberattaque par force brute dans laquelle les attaquants utilisent un mot de passe commun pour plusieurs comptes afin de contourner les politiques de verrouillage. « La récente violation et divulgation de Microsoft met en évidence deux défis : personne (même les entreprises internationales) n'est à l'abri des acteurs de la menace, et en tant qu’entreprise, il faudra du temps pour mettre en place des correctifs », a déclaré Ravi Srinivasan, CEO de l'entreprise de cybersécurité Votiro. « Chaque fois qu'une menace est détectée, il est coûteux et long d'y remédier. L'authentification à deux facteurs (2FA) atténue les attaques par pulvérisation de mot de passe en ajoutant une couche de sécurité supplémentaire au-delà du simple mot de passe », a-t-il ajouté.
« L’attaque en elle-même était assez simple, et elle aurait pu être évitée par l'authentification à deux facteurs. Microsoft n'appliquait pas ses propres politiques sur certains systèmes », a déclaré Alex Stamos, cadre chez SentinelOne et ancien directeur de la sécurité de Facebook, à CNBC. « Microsoft s'est débarrassée de cette affaire en signalant l’évènement à la SEC un vendredi et en diffusant un petit communiqué de presse. L’entreprise a clairement essayé de passer l’intrusion sous silence », a-t-il poursuivi.