Recevez chaque jour toute l'actualité du numérique

x

Le FBI a pénétré des systèmes pour y supprimer les backdoors issues du piratage de Microsoft Exchange

Plusieurs mois après le piratage de Microsoft Exchange par le groupe Halfnium, le FBI a infiltré plusieurs entreprises par le biais des backdoors installées par les hackers, et ce, pour les supprimer. L'opération n'a pas permis de corriger les vulnérabilités zero day utilisées par les pirates ni d'identifier d'autres malwares. Le FBI tente désormais d'informer les propriétaires des serveurs infectés par e-mail.
Twitter Facebook Linkedin Flipboard Email
×

Le FBI a pénétré des systèmes pour y supprimer les backdoors issues du piratage de Microsoft Exchange
Le FBI a pénétré des systèmes pour y supprimer les backdoors issues du piratage de Microsoft Exchange © Solo - Flickr - C.C.

Le FBI a secrètement infiltré les ordinateurs infectés par le groupe Hafnium avec ses propres outils de piratage afin de protéger des centaines d’ordinateurs infectés, selon un communiqué publié par le département de justice américain le 13 avril. Une opération que l’agence qualifie de succès.

L'agence fédérale indique qu'elle tente maintenant d'informer par courrier électronique les propriétaires des serveurs dont il a supprimé les "backdoors", ou portes dérobées.

le groupe halfnium avait placé des portes dérobées
En janvier et février 2021, certains groupes criminels ont exploité des vulnérabilités de type "zero day" (c'est-à-dire n'ayant jamais été répertoriées) dans le logiciel Microsoft Exchange pour accéder à des comptes de messagerie et placer des portes dérobées sur les serveurs. Ce n’est que le 2 mars que Microsoft a confirmé l'opération de hacking avait été menée par un groupe de hackers affilié à l’Etat chinois nommé Halfnium. 

Les quatre vulnérabilités découvertes par les hackers permettaient aux pirates de s'introduire dans un serveur Exchange et d'en voler le contenu. Les jours qui suivirent, d’autres groupes de pirates ont également utilisé ces vulnérabilités pour installer des ransomwares. Les entreprises utilisant Microsoft 365 (avec messagerie hébergée dans le cloud) n'ont pas été touchées.

LE FBI, une solution de DERNIER RECOURS
Durant le mois de mars, Microsoft a publié des outils de détection et des correctifs pour ces quatre vulnérabilités afin que les victimes puissent identifier et maîtriser la menace. Cependant, malgré les solutions mises en place, des centaines de backdoors subsistaient dans divers entreprises.

L’opération menée par le FBI s’est concentrée sur la suppression des backdoors restantes, mais n’a pas permis de corriger les vulnérabilités exploitées par Halfnium. Elle n’a pas non plus permis de rechercher ou de supprimer d’autres malwares ou outils de piratage. Une action proactive certes destiné à protéger les victimes malgré leur inaction, mais dont l'exécution en secret avec une "tentative de contact" après coup peut laisser dubitatif.

"Le FBI a procédé à la suppression en envoyant une commande au serveur par l'intermédiaire des portes dérobées, conçue pour que le serveur supprime uniquement les portes-dérobées (identifiées par le chemin d'accès unique du fichier)", explique le ministère américain de la justice dans le communiqué du 13 avril.

LE FBI SOUTENU PAR LE GOUVERNEMENT américain
Le FBI a été soutenu par l’ensemble du gouvernement américain dans cette opération. Il a agit sous un mandat du Tribunal de Houston au Texas l’autorisant à "copier et supprimer" les portes dérobées des serveurs infectés. "La lutte contre les cybermenaces nécessite des partenariats avec des collègues du secteur privé et du gouvernement", a déclaré Jennifer B. Lowery, procureur américain par intérim du sud du Texas.

En 2016, la Cour suprême avait autorisé les juges américains à délivrer des mandats de perquisition et de saisie en dehors de leur État. Des critiques ont alors émergées arguant que le FBI pourrait demander à un tribunal enclin à l'aider d'autoriser des cyberopérations n'importe où dans le monde. Dans le cadre de l'affaire Microsoft, il semblerait que le FBI ait pour la première fois nettoyé des serveurs privés à la suite d'une cyberattaque avant de communiquer publiquement sur son opération.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.