Cyberattaques invisibles : Microsoft déjoue une menace furtive ayant causé d’importants dégâts

Microsoft a mis fin à une opération sournoise qui sévissait depuis plus d’un an. Des pirates ont détourné un service cloud pour faire passer leurs virus pour des applications légitimes. Le résultat ? Une vague d’infections massives, particulièrement en France, qui aurait pu coûter des millions.

Une attaque camouflée par des certificats officiels Microsoft

Les cybercriminels ont exploité Azure Artifact Signing, un service qui signe numériquement les logiciels. Ce service est censé rassurer Windows et son antivirus sur la légitimité d’un programme. En détournant cette fonction, les hackers ont pu faire certifier des malwares comme s’ils étaient sûrs !

La signature digitale est un gage de confiance essentiel dans la chaîne logicielle. Sans elle, un antivirus bloque ou alerte souvent. Avec Fox Tempest, nom donné à cette plateforme malveillante, ce repère fondamental bascule. Plus de 1 000 certificats frauduleux et plusieurs centaines de faux comptes ont été utilisés.

Fox Tempest, un abonnement pour rendre indétectable n’importe quel malware

Plus qu’une simple astuce, Fox Tempest est devenu un business bien rôdé. Les pirates proposent un abonnement, facturé plusieurs milliers de dollars en Bitcoin, pour accéder à la signature légale de leurs codes malveillants. C’est une vraie usine à malware !

Les certificats émis n’étaient valables que 72 heures. Ce délai court visait à échapper à la détection. Malgré cela, la plateforme a généré des millions de dollars de bénéfices en vendant « l’impunité » aux hackers.

Les conséquences lourdes pour les entreprises et institutions

Les victimes sont nombreuses et variées, avec des attaques ciblant hôpitaux, universités, administrations et services financiers. En France, particulièrement touchée, ces cyberattaques ont causé des fuites massives de données et des pertes financières conséquentes.

Le malware Oyster, protégé par un fausse signature, s’installait discrètement. Il servait de porte d’entrée à un ransomware, Rhysida, qui chiffrerait les fichiers et demanderait une rançon, souvent en cryptomonnaie. Ce double effet a rendu les opérations difficilement traçables et destructrices.

Pourquoi la France est devenue une cible privilégiée ?

La France figure parmi les pays européens les plus touchés par les ransomwares. Secteurs publics, éducatifs et financiers sont des cibles de choix. Plusieurs raisons expliquent cela : volume important de données sensibles, digitalisation accélérée et insuffisance d’anticipation face aux menaces.

Cette faiblesse invite les groupes criminels à frapper fort sur le territoire. Le rapport annuel de l’ANSSI souligne que ces attaques ne sont plus ponctuelles, mais souvent coordonnées et continues.

Une riposte musclée sous coordination internationale

Microsoft, épaulé par le FBI et Europol, a lancé une contre-offensive drastique. Plus de 1 000 certificats ont été révoqués, des centaines de machines virtuelles désactivées et des domaines saisis. Cette action a remis en cause la crédibilité de la plateforme Fox Tempest.

Par ailleurs, une plainte a été déposée contre les administrateurs de Fox Tempest et un gang nommé Vanilla Tempest, principal bénéficiaire du service. Cette opération illustre l’importance de la coopération mondiale face à des cybermenaces transversales.

Comprendre les implications techniques

Les attaques par certificats frauduleux sont particulièrement dangereuses. Elles exploitent la confiance intrinsèque du système d’exploitation dans ses propres signatures numériques. Sans une surveillance constante et des réponses adaptées, ces méthodes deviennent rapidement hors de contrôle.

Cette affaire met en lumière l’impérieuse nécessité d’audits rigoureux, de surveillance continue et de plans de reprise éprouvés. La résilience d’une infrastructure ne tient pas qu’à sa capacité de détection, mais à la rapidité et au sérieux de la réaction.

Source: www.01net.com