Des hackers qui seraient soutenus par le gouvernement iranien ont récemment tenté de pirater les comptes de messagerie utilisés par la campagne d'un candidat à la présidence des États-Unis, a annoncé Tom Burt, Corporate Vice President Customer Security & Trust chez Microsoft.
Selon Microsoft, ce sont des hackers appartenant au groupe Phosphorous qui ciblé la campagne d'un candidat à la présidentielle américaine 2020, dont le nom n'a pas été révélé, en tentant d’accéder aux comptes de messagerie de son personnel de campagne sur les services cloud Microsoft. Plutôt que de s’appuyer sur des logiciels malveillants ou d’exploiter des vulnérabilités logicielles, les attaquants ont travaillé sans relâche pour collecter des informations pouvant être utilisées pour activer la réinitialisation de mot de passe et d’autres services de récupération de compte fournis par Microsoft. Tom Burt a expliqué :
« Nous partageons aujourd’hui le fait que nous avons récemment assisté à une cyberactivité importante de la part d’un groupe de menaces appelé Phosphorus qui, selon nous, provient d’Iran et est lié au gouvernement iranien. Nous partageons cela pour deux raisons. Premièrement, il est important que nous tous, gouvernements et secteur privé, soyons de plus en plus transparents face aux attaques d’États-nations et aux efforts visant à perturber les processus démocratiques. Deuxièmement, bien que nous ayons des processus pour informer les clients sur les activités des États-nations et que AccountGuard surveille les comptes des campagnes et autres organisations associées liées aux processus électoraux dans les démocraties du monde entier, la publication de ces informations devrait aider les autres à être plus vigilants et à prendre des mesures pour se protéger .
« Pendant une période de 30 jours entre août et septembre, le Microsoft Threat Intelligence Center (MSTIC) a observé que Phosphorus avait tenté plus de 2 700 tentatives d'identification de comptes de messagerie grand public appartenant à des clients Microsoft spécifiques, puis a décidé d'attaquer 241 de ces comptes. Les comptes ciblés sont associés à une campagne présidentielle américaine, à des fonctionnaires actuels et anciens du gouvernement américain, à des journalistes couvrant la politique mondiale et à d’importants Iraniens vivant en dehors de l’Iran. Quatre comptes ont été compromis à la suite de ces tentatives; ces quatre comptes n’étaient pas associés à la campagne présidentielle américaine ni à des fonctionnaires américains actuels ou anciens. Microsoft a informé les clients liés à ces enquêtes et menaces et a travaillé comme demandé avec ceux dont les comptes avaient été compromis pour les sécuriser.
« Phosphorus a utilisé les informations recueillies lors de la recherche de leurs cibles ou d'autres moyens pour modifier les fonctions de réinitialisation de mot de passe ou de récupération de compte et tenter de prendre en charge certains comptes ciblés. Par exemple, ils chercheraient à accéder à un compte de messagerie secondaire lié au compte Microsoft d’un utilisateur, puis tenteraient d’accéder au compte Microsoft d’un utilisateur par le biais de la vérification envoyée au compte secondaire. Dans certains cas, ils ont recueilli les numéros de téléphone appartenant à leurs cibles et les ont utilisés pour aider à l'authentification des réinitialisations de mot de passe.
« Bien que les attaques que nous révélons aujourd’hui ne soient pas sophistiquées sur le plan technique, elles ont tenté d’utiliser une quantité importante d’informations personnelles à la fois pour identifier les comptes appartenant à la cible visée et, dans quelques cas, pour tenter de les attaquer. Cet effort suggère que Phosphorus est très motivé et disposé à investir beaucoup de temps et de ressources dans la recherche et d'autres moyens de collecte d'informations. MSTIC travaille tous les jours pour suivre les groupes de menaces, y compris Phosphorus, de manière à pouvoir informer les clients lorsqu'ils font face à des menaces ou à des compromis et pour pouvoir construire nos produits afin de mieux se défendre contre ces menaces »
En juillet, Microsoft a déclaré qu'au cours des 12 derniers mois, elle avait informé près de 10 000 clients qu'ils avaient été ciblés ou compromis par des hackers soutenus par un État.
Burt a appelé vendredi les clients de Microsoft à activer la vérification en 2 étapes pour protéger leurs comptes. La forme la plus robuste de cette vérification nécessite que les utilisateurs disposent d'une clé de sécurité physique telle qu'un Yubikey de Yubico. Avant de pouvoir accéder à un compte depuis un nouvel ordinateur ou téléphone, l'utilisateur doit brancher la clé dans un port USB ou se connecter au périphérique via NFC ou Bluetooth Low Energy. Une forme utile, mais moins efficace de cette vérification nécessite des mots de passe à usage unique, de courte durée, fournis par une application d’authentification installée sur le téléphone d’un utilisateur.
Burt a également rappelé aux utilisateurs de vérifier périodiquement l'historique de connexion de leurs comptes. S'il existe des connexions depuis des périphériques d'adresses IP non reconnues, vous pouvez en informer Microsoft en cliquant sur le lien « Sécuriser votre compte ». Les fonctionnalités de l'historique de la vérification en deux étapes ainsi que de l'historique de connexion sont accessibles dans les paramètres de sécurité du compte.
Les comptes faisant partie d'une campagne politique, d'un comité de parti politique, d'une organisation non gouvernementale ou d'un groupe de réflexion lié à la démocratie sont éligibles pour AccountGuard. La fonctionnalité fournit une surveillance et un service unifié de notification des menaces pour tous les comptes Office 365, pour un usage professionnel ou personnel. Plus de 60 000 comptes dans 26 pays sont actuellement inscrits. À ce jour, Microsoft a envoyé plus de 800 notifications de tentatives d’attaques d’États-nations aux membres de AccountGuard, contre 781 en juillet.
Source : Microsoft
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
GitHub confirme avoir bloqué les développeurs en Iran, en Syrie et en Crimée le blocage s'étend désormais au Cuba et à la Corée du Nord
GitHub bloque les utilisateurs de Crimée et d'Iran à cause des sanctions US, l'open source doit-il souffrir de la politique de Trump ?
Les USA ont lancé des cyberattaques ciblées qui ont endommagé le réseau informatique militaire iranien utilisé pour contrôler les tirs de missiles
Les États-Unis accusent Huawei d'avoir volé la technologie de test de téléphone portable de T-Mobile, et vendu de la technologie américaine à l'Iran
Microsoft a déclaré qu'un groupe de hackers soutenus par l'Iran a essayé de pirater
Un candidat à la présidentielle américaine de 2020
Microsoft a déclaré qu'un groupe de hackers soutenus par l'Iran a essayé de pirater
Un candidat à la présidentielle américaine de 2020
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !