Microsoft enquête sur les allégations de référentiels de code source piratés

  • Principal
  • Nouvelles
  • Microsoft enquête sur les allégations de référentiels de code source piratés

Microsoft dit qu'ils enquêtent sur les allégations selon lesquelles le groupe de piratage d'extorsion de données Lapsus $ a violé ses référentiels de code source Azure DevOps internes et volé des données.

Contrairement à de nombreux groupes d'extorsion dont nous avons entendu parler aujourd'hui, Lapsus$ ne déploie pas de ransomware sur les appareils de ses victimes.

Au lieu de cela, ils ciblent les référentiels de code source des grandes entreprises, volent leurs données propriétaires, puis tentent de rançonner ces données à l'entreprise pour des millions de dollars.

Bien que l'on ne sache pas si le groupe d'extorsion a réussi à sauver les données volées, Lapsus a acquis une notoriété ces derniers mois pour ses attaques confirmées contre NVIDIA, Samsung, Vodafone, Ubisoft et Mercado Libre.

Lapsus$ prétend avoir violé Microsoft

Tôt dimanche matin, le gang Lapsus$ a indiqué qu'il avait piraté le serveur Azure DevOps de Microsoft en publiant une capture d'écran sur Telegram de prétendus référentiels de code source interne.

Cette capture d'écran, illustrée ci-dessous, concerne un référentiel Azure DevOps qui contient le code source de Cortana et plusieurs projets Bing, nommés « Bing_STC-SV », « Bing_Test_Agile » et « Bing_UX ».

Capture d'écran de Microsoft's Azure DevOps account leaked by Lapsus$

Capture d'écran du compte Azure DevOps de Microsoft divulgué par Lapsus$
Police de caractère: tom malka

La capture d'écran montre également d'autres référentiels de code source, mais leur contenu est inconnu.

Étrangement, le gang d'extorsion a laissé les initiales de l'utilisateur connecté, 'IS', sur la capture d'écran, permettant potentiellement à Microsoft d'identifier et de sécuriser le compte compromis.

Initiales du compte utilisé pour accéder à Azure DevOps

Initiales du compte utilisé pour accéder à Azure DevOps

Inclure les initiales peut également signifier qu'ils n'ont plus accès au référentiel ou se moquent simplement de Microsoft, ce que le gang d'extorsion a fait avec d'anciennes victimes.

Lapsus$ se moque de NVIDIA
La source: BleepingComputer

Peu de temps après avoir publié la capture d'écran, le gang Lapsus $ a supprimé son message et l'a remplacé par un message qui disait : 'Supprimé pour l'instant, republiera plus tard'. Néanmoins, chercheurs en sécurité il avait déjà pris la capture d'écran et l'avait partagée sur Twitter à l'époque.

Message supprimé de Telegram
La source: BleepingComputer

Bien que Microsoft n'ait pas confirmé si leur compte Azure DevOps avait été piraté, ils ont déclaré à BleepingComputer qu'ils étaient au courant des réclamations et qu'ils enquêtaient sur celles-ci.

Malheureusement, Lapsus$ a de bons antécédents et ses allégations d'attaques contre d'autres sociétés ont été confirmées par la suite.

Les fuites de code source sont-elles mauvaises ?

Bien que la fuite de code source facilite la recherche de vulnérabilités dans les logiciels d'une entreprise, Microsoft a précédemment déclaré que la fuite de code source ne crée pas une élévation du risque.

Microsoft affirme que son modèle de menace suppose que les acteurs de la menace comprennent déjà le fonctionnement de leur logiciel, soit par ingénierie inverse, soit par des fuites de code source antérieures.

'Chez Microsoft, nous avons une approche de source interne - utilisant les meilleures pratiques de développement de logiciels open source et une culture de type open source - pour rendre le code source visible au sein de Microsoft. Cela signifie que nous ne nous appuyons pas sur le secret du code source pour la sécurité des produits, et nos modèles de menace supposent que les attaquants connaissent le code source », a expliqué Microsoft dans un article de blog sur les attaquants SolarWinds accédant à votre code source.

'Ainsi, la visualisation du code source n'est pas liée à un risque accru.'

Cependant, les référentiels de code source contiennent également souvent des jetons d'accès, des informations d'identification, des clés API et même des certificats de signature de code.

Lorsque Lapsus$ a violé NVIDIA et publié ses données, il a également inclus des certificats de signature de code qui ont été rapidement utilisés par d'autres acteurs de la menace pour signer leurs logiciels malveillants. L'utilisation du certificat de signature de code NVIDIA peut amener les moteurs antivirus à faire confiance à l'exécutable et à ne pas le détecter comme malveillant.

Quasar RAT signé par un certificat NVIDIA volé
La source: BleepingComputer

Microsoft a précédemment déclaré avoir une politique de développement qui interdit l'inclusion de 'secrets' tels que les clés API, les informations d'identification ou les jetons d'accès dans leurs référentiels de code source.

Même si c'est le cas, cela ne signifie pas qu'il n'y a pas d'autres données précieuses incluses dans le code source, comme une clé de chiffrement privée ou d'autres outils propriétaires.

Le contenu de ces référentiels est inconnu, mais comme cela a été fait avec les victimes précédentes, ce n'est qu'une question de temps avant que Lapsus$ ne divulgue les données volées qu'ils prétendent avoir obtenues.

Qu'est-ce que tu penses?