Plus de 15 000 serveurs français ont été exposés au piratage de Microsoft Exchange selon l’Anssi. Le responsable de l’attaque serait Hafnium, un groupe de pirates informatiques chinois. Le Royaume-Uni et l’Allemagne sont également touchés.

Selon l’Agence nationale de la sécurité des systèmes d’informations 15 000 serveurs français ont été exposés suite au piratage de Microsoft Exchange, contre 8 000 au Royaume-Uni et 60 000 en Allemagne. Cela ne signifie pas pour autant que ces serveurs aient été piratés. Guillaume Poupard, patron de l’Anssi, a déclaré que pour le moment nous avons assez peu de victimes avérées. Parmi ces dernières on compte toutefois des banques, des écoles, des agences gouvernementales et notamment l’Autorité bancaire européenne. Cette dernière a rapidement désactivé son système de messagerie afin de stopper l’hémorragie et d’évaluer les dégâts.

À l’origine de cette attaque, le groupe de pirates informatiques chinois Hafnium. Ces derniers s’attaqueraient à Microsoft Exchange depuis janvier dernier. En effet, selon un rapport de KrebsOnSecurity, les premières failles exploitées remontent au 5 janvier 2021. L’Anssi estime que les failles exposées par Hafnium sont désormais exploitées par une dizaine d’autres groupes de cybercriminels.

Si l’on pensait initialement que l’attaque se limitait aux États-Unis, il est désormais avéré que l’Europe est également affectée. L’Anssi conseille donc aux administrateurs des serveurs concernés de rapidement les mettre à jour afin de colmater les failles. 

De leur côté, les États-Unis sont évidemment furieux. Cette attaque intervient quelques mois seulement après que soit découvert la cyberattaque de SolarWinds, soupconnée d’être d’origine russe. La Maison Blanche a déjà communiqué sa volonté de riposter contre ces deux nations. Selon le New York Times, le gouvernement américain se préparerait à lancer des actions sur les réseaux chinois et russes afin de déstabiliser leurs gouvernements respectifs. 

Microsoft tient évidemment sa part de responsabilité dans cette affaire. L’entreprise a été avertie par un premier chercheur en cyber-sécurité employée par Devcore de l’existence d’une faille dans son système de sécurité le 5 janvier 2021. Le 6 janvier une autre entreprise, Volexity, a alerté Microsoft. Le 8 janvier, Devocre a déclaré que Microsoft a pris en compte son signalement. Par la suite, Dubex a également alerté Microsoft le 27 janvier puis le 29 janvier, c'est Trend Micro qui a publié un article sur son site à propos de la faille. Le 2 février, Volexity est revenu vers Microsoft afin de l’alerter d’attaques actives sur des vulnérabilités jusqu’alors inconnues. Le 8 février, Microsoft a indiqué avoir parcouru le rapport de Dubex. 

Le 18 février, Microsoft a trouvé un accord avec Devcore pour publier des mises à jour de sécurité le 9 mars, soit plus d’un mois après que la faille ait été découverte. Cela aura été trop long, les 26 et 27 février l’attaque devenait mondiale. Microsoft a donc accéléré la publication des mises à jour de sécurité au 2 mars. Le 5 mars, d’après KrebsOnSecurity, 30 000 organisations américaines et plusieurs centaines de millions à travers le monde ont été affectées par cette attaque.