Une dernière mauvaise nouvelle pour 2020 et la cybersécurité

Spread the love
  • Yum

Pour 2021, Internet va devoir mettre les bouchées doubles pour serrer la vis de la cybersécurité. À l’aube de la nouvelle année, une dernière mise à jour au sujet de la gigantesque cyberattaque de SolarWinds a été publiée par Microsoft. Un dernier coup dur qui, on l’espère, restera enfermé dans les dossiers de 2020.

Code source de Microsoft

Jeudi, alors que le monde se préparait à dire adieu à « la pire année de l’histoire » selon le magazine Time, Microsoft a publié un communiqué de presse dans lequel il revenait sur la cyberattaque de la plateforme de gestion informatique SolarWinds. Après avoir touché des agences gouvernementales et des entreprises parmi les plus grosses de la planète, les hackers derrière les malwares de SolarWinds auraient réussi à accéder au code source des logiciels de Microsoft.

Il n’est pas avancé l’idée que les personnes malveillantes auraient pu modifier quoi que ce soit de ce dernier, mais les profils utilisateurs par lesquels ils seraient passés leur aurait permis d’accéder au cœur des logiciels du géant informatique, un coup d’œil très difficile en vue de la protection de ces informations.

Microsoft a directement voulu rassurer en indiquant : « nous ne comptons pas sur le secret du code source pour la sécurité des produits, et nos modèles de menaces supposent que les attaquants ont connaissance du code source. Ainsi, la visualisation du code source n’est pas liée à une augmentation du risque ». Ce n’est pas la première fois que Microsoft rencontre un problème avec son code source, alors que bon nombre de ses systèmes d’exploitation avaient connu de telles mésaventures.

Inquiétude chez les experts

L’attitude de Microsoft n’a pas rassuré les experts, qui, pour certains, l’attaque de SolarWinds et l’accès au code source des logiciels de Microsoft pourraient entraîner à davantage de problèmes à l’avenir. L’annonce survient deux semaines après les premières révélations sur l’attaque, mais l’entreprise n’a pas précisé quels étaient les codes sources impactés, autrement dit quels logiciels étaient concernés.

Selon Reuters, d’ailleurs, Microsoft aurait été conscient de cette pénétration dans son cœur depuis « des jours », comme l’agence le rapporte de trois sources « informées sur la question ».

Dans la même dépêche, une entreprise experte en code source israélienne, du nom de Cycode, faisait part de ses inquiétudes. « Le code source est le modèle architectural de la façon dont le logiciel est construit », expliquait Andrew Fife de Cycode, « si vous avez le plan entier, il est beaucoup plus facile de concevoir des attaques. […] Pour moi, la plus grande question est : ‘était-ce une simple reconnaissance pour la prochaine grande opération ?’ ».

 Avec l’essor du télétravail et le virage du numérique, jamais il n’a été aussi important de se protéger sur internet, choisir un antivirus pour son ordinateur, ou encore faire attention aux newsletters et formulaires de commandes où l’on doit rentrer nos coordonnées. En décembre dernier, une autre cyberattaque de grande ampleur a touché la startup française Ledger, hackée en juin dernier, et auquel les informations confidentielles de centaines de milliers de clients ont fuité gratuitement et librement sur internet.

Leave a Reply

%d bloggers like this: