Un groupe de pirates lié aux autorités russes s’en est pris à des dizaines de firmes internationales, afin d’y dérober des données de connexion via Teams. Voilà ce que prétendent des chercheurs de Microsoft.

Des collaborateurs de ces firmes ont reçu des invitations de clavardage (chat) dans Microsoft Teams, et les agresseurs se sont fait passer pour du personnel de support technique. Ces attaques d’ingénierie sociale ‘très ciblées’ ont touché depuis mai ‘moins de 40 organisations mondiales’, selon les chercheurs de Microsoft sur un blog. Microsoft renvoie en l’occurrence explicitement à Midnight Blizzard, connu également sous les appellations Nobelium ou APT29: un groupe russe de hackers qualifié par les Etats-Unis et la Grande-Bretagne de service de renseignements étranger de la Fédération russe. En d’autres mots: des hackers d’Etat donc. Midnight Blizzard cible essentiellement des gouvernements, instances diplomatiques, organisations non-gouvernementales (ONG) et des fournisseurs de services IT, surtout aux Etats-Unis et en Europe.

Les pirates ont créé des domaines et des comptes à l’aspect d’un support technique et ont ensuite tenté d’attirer des utilisateurs de Teams dans des chats en les invitant à faire agréer leur multifactor authentication (MFA), selon les chercheurs. Chez Microsoft, on déclare qu’on a entre-temps entamé une enquête approfondie. Midnight Blizzard est en train de lancer de manière très active des cyberattaques ciblées depuis à coup sûr 2018 déjà.