L’ABE est la première grande victime européenne connue de cette brèche majeure, rendue publique une semaine plus tôt par Microsoft.
L’Autorité bancaire européenne (ABE) a été victime d’une cyberattaque qui a permis à des pirates d’accéder illégalement à son service de messagerie interne, a déclaré l’institution dimanche 7 mars dans un communiqué.
Tous les serveurs d’e-mails de l’ABE ont été mis hors service par précaution, afin de déterminer l’ampleur de l’intrusion, mais l’autorité estime que « des données personnelles contenues dans des e-mails ont potentiellement été obtenues par l’attaquant ». L’enquête est toujours en cours pour découvrir quelles données ont été ou non compromises et consultées par les pirates.
L’ABE est la première grande victime européenne connue de cette brèche majeure rendue publique une semaine plus tôt. Le 2 mars, Microsoft révélait que plusieurs failles de sécurité avaient été découvertes dans Microsoft Exchange Servers, un outil de messagerie commercialisé dans le monde entier, à destination notamment des entreprises et des administrations.
Plus précisément, quatre vulnérabilités dites « zero day » (soit le nom donné à des failles jusqu’alors inconnues et qui n’ont pas encore été réparées grâce à une mise à jour) avaient été découvertes par une équipe de chercheurs en sécurité informatique, qui a alors prévenu Microsoft. Ces failles permettaient non seulement d’obtenir subrepticement les courriels hébergés sur le serveur, mais aussi d’infiltrer le réseau pour y implanter du code malveillant. Selon les chercheurs de l’entreprise Volexity, ces failles pouvaient également être utilisées pour se déplacer latéralement dans le réseau et compromettre d’autres serveurs appartenant aux entreprises ciblées.
Un groupe de hackeurs nommé « Hafnium »
Les « cyberpompiers » français, l’Agence nationale de sécurité des systèmes d’information (Anssi), a publié dès le 3 mars une notice à destination des entreprises et administrations qui utilisent un serveur e-mail Microsoft Exchange, et notamment les versions concernées par les failles (2010, 2013, 2016 et 2019). L’Anssi appelle les administrateurs de réseaux informatiques à mettre à jour leurs outils de courriels. Microsoft a également publié un outil qui permet aux administrateurs de détecter si leur système a été compromis au moyen de ces failles.
Selon les analyses de Microsoft, ces failles ont été utilisées par un groupe baptisé « Hafnium ». Selon le journaliste indépendant Brian Krebs, pas moins de 30 000 organisations américaines ont été victimes de l’utilisation de ces failles de sécurité.
Microsoft estime que le groupe « Hafnium » opère essentiellement en utilisant des serveurs virtuels américains, mais serait situé en Chine. Cet « acteur hautement qualifié et sophistiqué », selon le géant de l’informatique, a par le passé déjà ciblé des entreprises aux Etats-Unis – notamment dans le domaine de la recherche sur les maladies infectieuses –, des cabinets d’avocats, des universités, des entreprises de défense, des groupes de réflexion et des ONG.
Pour en savoir plus: