Vendredi derniers, certains utilisateurs d’Outlook.com/Hotmail/MSN Mail ont reçu un courrier électronique de Microsoft indiquant qu’un tiers non autorisé avait obtenu un accès limité à leurs comptes et pouvait lire, entre autres, les objets des courriers électroniques (mais pas leurs corps ou pièces jointes, ni leurs mots de passe de compte), entre le 1er janvier et le 28 mars de cette année. Voici le courriel entier de Microsoft :
« Microsoft s'engage à fournir à ses clients une transparence. Afin de maintenir cette confiance et cet engagement envers vous, nous vous informons d'un événement récent qui a affecté votre compte de messagerie géré par Microsoft.
« Nous avons constaté que les informations d'identification d'un agent de support technique Microsoft étaient compromises, permettant ainsi à des personnes extérieures à Microsoft d'accéder aux informations de votre compte de messagerie Microsoft. Cet accès non autorisé aurait pu permettre à des tiers non autorisés d'accéder et/ou de voir des informations relatives à votre compte de messagerie (telles que votre adresse de messagerie, les noms de dossiers, les lignes d'objet des e-mails et les noms d'autres adresses e-mail auxquelles vous communiquer avec), mais pas le contenu de courriels ou de pièces jointes, entre le 1er janvier 2019 et le 28 mars 2019.
« Dès qu'il a pris connaissance de ce problème, Microsoft a immédiatement désactivé les informations d'identification compromises, interdisant leur utilisation pour tout autre accès non autorisé. Nos données indiquent que les informations relatives au compte (mais pas le contenu des courriers électroniques) auraient pu être consultées, mais Microsoft ne sait pas pourquoi ces informations ont été consultées ni comment elles ont pu être utilisées. Par conséquent, vous pouvez recevoir des courriels de phishing ou d’autres spams. Soyez prudent lorsque vous recevez des e-mails provenant d'un nom de domaine trompeur, d'un e-mail demandant des informations personnelles ou un paiement, ou toute demande non sollicitée émanant d'une source non fiable.
« Il est important de noter que vos identifiants de connexion de courrier électronique n'ont pas été directement affectés par cet incident. Cependant, par prudence, vous devez réinitialiser votre mot de passe pour votre compte ».
Certains contenus de courriels auraient été consultés
Une source, qui a « assisté à l’attaque en action et l’a décrite avant la déclaration de Microsoft », a contesté ce que Microsoft a déclaré dans le courriel envoyé aux utilisateurs. Elle a assuré à MotherBoard que les hackers étaient en mesure d’accéder au contenu des courriels et avait d’ailleurs montré des copies de capture d’écran pour prouver son propos. Elle a également affirmé que le piratage a duré au moins six mois, ce qui double la période de vulnérabilité revendiquée par Microsoft.
« En mars, avant que Microsoft ne confirme publiquement le piratage informatique, la source a indiqué à MotherBoard que cet abus du portail de support client permettait aux pirates informatiques d’avoir accès à n’importe quel compte de messagerie tant qu’il ne s’agissait pas d’un compte de niveau professionnel. Cela signifie que, tandis que les comptes payants d’entreprise n’ont pas été affectés, les comptes de consommateurs normaux l’ont été. La source a décrit l’attaque, y compris la manière dont elle s’est fondée sur l’utilisation abusive de l’outil de support client de Microsoft. Dimanche, la source a réitéré ces détails et a fourni des informations supplémentaires et des captures d'écran de l'accès des pirates à MotherBoard ».
Dans son e-mail de notification, Microsoft indiquait que les pirates ne pouvaient pas accéder au contenu ou aux pièces jointes des e-mails, puis dans une autre section, que les données de l'entreprise « indiquent que » les contenus des e-mails n'ont pas pu être visionnés.
Microsoft confirme, mais assure que cela était vrai pour 6% des clients concernés
La source de MotherBoard, cependant, a déclaré que la technique permettait un accès complet au contenu du courrier électronique. Dimanche, la source a fourni une autre capture d'écran d'une autre page du panneau, avec le libellé « Corps de l'e-mail » et le corps d'un e-mail rédigé par la source. Elle a déclaré que le compte d'assistance de Microsoft utilisé appartenait à un utilisateur bénéficiant de privilèges élevés, ce qui signifie qu'ils ont probablement davantage accès à des ressources que d'autres employés.
Lorsque cette capture d’écran lui a été présentée, Microsoft a confirmé qu’il avait également envoyé des courriers électroniques de notification de violation à certains utilisateurs, affirmant que le contenu du courrier électronique du client avait été affecté. Microsoft a déclaré que cela s’appliquait à environ 6% d’un petit nombre de clients touchés, sans toutefois préciser le nombre total de clients : « Nous avons résolu ce problème, qui affectait un sous-ensemble limité de comptes consommateurs, en désactivant les informations d'identification compromises et en bloquant l'accès des auteurs », a déclaré un porte-parole de Microsoft. Toutefois, Microsoft recommande toujours aux utilisateurs concernés de changer leur mot de passe.
Six mois ou trois mois ?
La source a déclaré que Microsoft avait remarqué l'attaque à la fin du mois de mars et que les pirates informatiques y avaient accès pendant au moins six mois. Cependant, la société continue à affirmer que le piratage n’a duré que trois mois, dans une période allant du 1er janvier au 28 mars.
Le caractère général de l’attaque n’est pas contesté. L’accès aux comptes clients s'est fait par la compromission des informations d'identification d'un agent de support. Avec ces informations d'identification, les pirates peuvent utiliser le portail de support client interne de Microsoft, qui offre aux agents de support un certain niveau d'accès aux comptes Outlook.com. La source de MotherBoard a supposé que le compte compromis qui a permis d’accéder au contenu des courriels appartenait à un utilisateur hautement privilégié. Le compte compromis a par la suite été verrouillé pour éviter tout autre abus.
Le compte de support n'aurait également accès qu'aux comptes gratuits Outlook.com/Hotmail/MSN-branded et non à la messagerie Office 365 payante.
Sources : courriel envoyé par Microsoft, MB
Et vous ?
Utilisez-vous un ou plusieurs de ces services (Outlook, MSN, Hotmail) ? Est-ce un compte d'entreprise ou un compte particulier ? Avez-vous été concerné par cette faille ? Que pensez-vous de cette situation ?Voir aussi :
Au grand regret d'Oracle, le ministère américain de la défense a choisi Microsoft et Amazon comme finalistes dans le projet militaire JEDI Cloud Google présente Cloud SQL pour Microsoft SQL Server, un service entièrement géré qui sera proposé aux clients de Google Cloud Platform Microsoft annonce ML.NET 1.0 RC, la dernière version Preview de son framework d'apprentissage machine, avec prise en charge des modèles TensorFlow