Il n’y a pas qu’un groupe d’hackers qui abuse de la faille dans Microsoft Exchange, mais au moins dix, avertit l’entreprise de sécurité ESET, et ils sont actifs depuis plus longtemps que la semaine dernière.
L’importance de la vulnérabilité dans Exchange croît chaque jour davantage. Le Parlement norvégien notamment déclare que des données y ont été dérobées à cause de cette faille. Deux autorités fédérales allemandes (non nommément citées) seraient également touchées. En Belgique, aucun nom n’a été mentionné, mais selon le CCB, il y a au minimum trois entreprises compromises.
Il ne semble cependant pas que tout cela soit le fait d’un seul groupe de hackers. La firme de sécurité ESET a en effet déclaré à l’agence Reuters que dix groupes de pirates seraient à coup sûr actifs. FireEye signale elle aussi que plusieurs groupes abusent de la brèche dans Exchange.
Actifs avant l’annonce publique
Mais ce qui est d’autant plus inhabituel, c’est que plusieurs d’entre eux étaient déjà actifs, avant que Microsoft ait averti du problème le 2 mars. Cela signifie soit que l’information sur la faille a pris la clé des champs, soit qu’à la même époque, la brèche ait été découverte par un acteur externe, qui l’a ensuite transmise à divers groupes de hackers.
Sur le plan technique, les deux scénarios ne sont pas exclus. L’incident avait été signalé le 5 janvier déjà à Microsoft par des chercheurs en sécurité taïwanais et vu la popularité d’Exchange, il est possible que des hackers tentent régulièrement de compromettre le logiciel.
Généralement, une faille de ce genre n’est rendue publique qu’après quelques mois, lorsque l’éditeur du logiciel en a terminé avec un patch, comme c’est le cas à présent. Le fait que des pirates découvrent la même faille ou mettent la main sur de l’information la concernant, n’est donc pas unique. Mais il est extrêmement rare que plusieurs groupes le fassent.
Dans le cas présent, l’objectif principal de la plupart des groupes de hackers semble être d’accéder à des réseaux et d’y dérober des renseignements et ce, même s’il en existe un qui paraît vouloir se concentrer sur l’utilisation d’ordinateurs piratés à des fins d’extraction de crypto-monnaie.
Même si les correctifs (patchs) sont d’une importance cruciale, il est important aussi que les gestionnaires de serveurs exécutent des contrôles supplémentaires. Si des hackers sont entrés dans un réseau avant que le patch ne soit installé, ils continueront en effet d’y avoir accès.
