Microsoft répond au piratage du code source de Cortana et Bing
Un groupe de piratage a frappé Microsoft, pénétrant dans les référentiels de code source Azure DevOps et divulguant le code source de Cortana et de plusieurs autres projets Microsoft. Il s'agit de la dernière série d'attaques du groupe du nom de "LAPSUS$", qui a également ciblé avec succès Nvidia, Ubisoft et d'autres grands géants de la technologie.
La dernière mise à jour du groupe, à venir le 22 mars, inclut le partage d'une archive de 9 Go, qui contient le code source de 250 projets Microsoft. Parmi ceux-ci, le groupe prétend avoir 90% du code source de Bing et 45% du code source de Bing Maps et Cortana. Ce ne sont que quelques-unes des données piratées, l'archive complète contenant 37 Go de code source Microsoft.
Le code source de Windows et Office n'est pas inclus dans la fuite, selon Bleeping Computer , qui estime que les fichiers divulgués sont authentiques. Les fichiers sont plutôt liés à des applications mobiles ou à des sites Web et contiennent des e-mails et d'autres documents utilisés en interne par les ingénieurs Microsoft qui ont travaillé sur les projets.
Microsoft a confirmé le piratage dans un article de blog , qui détaille les actions du groupe LAPSUS$ qu'il suit en tant que DEV-0537. Dans le message, Microsoft a déclaré que les pirates avaient un "accès limité" au code source puisqu'un seul compte avait été compromis. Microsoft a poursuivi en expliquant qu'aucun code ou donnée client n'était impliqué dans les activités.
"Notre enquête a révélé qu'un seul compte avait été compromis, accordant un accès limité. Nos équipes d'intervention en matière de cybersécurité se sont rapidement engagées pour remédier au compte compromis et empêcher toute nouvelle activité », a déclaré Microsoft.
La société a également mentionné qu'elle ne s'appuie pas sur le secret du code comme mesure de sécurité et que la visualisation du code source n'entraîne pas d'augmentation des risques. Ceci est similaire à ce que Microsoft a expliqué lors de l' enquête Solarigate , où un compte compromis avait été utilisé pour afficher le code source, bien qu'il n'ait pas l'autorisation de modifier les systèmes d'ingénierie.
"Notre équipe enquêtait déjà sur le compte compromis sur la base de renseignements sur les menaces lorsque l'acteur a révélé publiquement son intrusion. Cette divulgation publique a intensifié notre action, permettant à notre équipe d'intervenir et d'interrompre l'acteur en cours d'opération, limitant ainsi un impact plus large », a expliqué Microsoft.
Aussi dangereux que cela puisse paraître, le groupe de piratage LAPSUS$ n'est pas typique. Le groupe est plus intéressé à détenir la rançon du code source pour les géants de la technologie afin de réaliser un profit. En effet, les référentiels de code source peuvent également avoir des clés API et des certificats de signature de code. LAPSUS$ l'a fait avec Nvidia lorsqu'il a volé du code DLSS et a exigé que le fabricant de GPU "complètement open source (et distribue sous une licence FOSS) [ses] pilotes GPU".
Article mis à jour le 23 mars avec la réponse de Microsoft au piratage LAPSUS$.