Hack de Microsoft : « Ces attaques sont dangereuses car menées à un moment où aucune protection n’est possible »

Presque oublié comme un bug au démarrage de Windows, le piratage aux conséquences mondiales de Microsoft Exchange a discrètement ressurgi dans les échanges parlementaires. Le Premier ministre a souligné la gravité de ce genre de cyberattaque tout en nuançant les retombées pour la Belgique.

Début mars, le Centre pour la cybersécurité en Belgique (CCB) avait sonné l’alerte quant à une vague de cyberattaques liées au piratage massif du logiciel des serveurs de messagerie Exchange de Microsoft.

Un événement tout sauf anodin pour cette solution du géant informatique américain, mondialement utilisée par des organisations, des entreprises mais également des services gouvernementaux. Et notre petit pays ne faisait certainement pas exception. L’État belge étant un bon client de Microsoft.

Du SPF Intérieur à celui de la Mobilité, en passant par la police fédérale, les systèmes informatiques en Belgique intègrent à tous niveaux des produits du géant de Redmond. Business AM avait appris que Microsoft avait immédiatement contacté l’armée belge pour protéger les serveurs concernés de la Défense.

Une réponse du Premier ministre Alexander De Croo (Open VLD) à une question parlementaire écrite du député Steven Matheï (CD&V) a apporté un semblant de contenance à ce sujet sensible peu discuté par les dirigeants politiques jusqu’ici.

À l’insu de Microsoft (et de la Belgique) pendant des mois

Microsoft a officialisé l’exploitation de vulnérabilités sur ses serveurs Exchange le 2 mars dernier. Cela confirmait que des hackeurs avaient pénétré dans de nombreux systèmes de sociétés et autres institutions publiques à travers le monde. Depuis janvier.

« C’est ce que l’on appelle une attaque zero day: des pirates informatiques exploitent une faille dans un logiciel avant que le développeur du logiciel n’en ait connaissance et ne puisse la corriger (patch ou correctif). L’intervalle entre le moment où la vulnérabilité est connue et celui où le correctif est développé, dans le cas qui nous occupe, courait de janvier à mars 2021. Ces attaques sont dangereuses, car elles sont menées à un moment où aucune protection n’est possible », a exposé le Premier ministre.

Au total, le CCB a pu avertir plus de 1000 entreprises belges utilisant des serveurs Microsoft Exchange et plus de 90 % de ces entreprises ont pris des mesures nécessaires.

« À partir des listes de serveurs vulnérables, le CCB a également pu détecter 370 systèmes sur lesquels une forme d’intrusion avait eu lieu. En d’autres termes, des acteurs malveillants ont pénétré dans ces systèmes et s’apprêtaient à mener d’autres attaques ultérieurement grâce un accès et un contrôle à distance via un serveur en ligne, par exemple avec des ransomwares », précise Alexander De Croo.

Flambée incalculable des cyberattaques

En outre, il semble que le nombre total de rapports de cyberattaques continue d’augmenter. Alors que CERT.be, le service opérationnel du CCB, a reçu 1600 rapports en 2018, il y en avait déjà 4484 en 2019 et 7433 en 2020. Il est possible que le nombre réel soit encore plus élevé. Excepté pour quelques opérateurs de services essentiels et fournisseurs de services numériques légalement désignés, il n’est pas obligatoire de signaler les cyberincidents.

« Il est néanmoins important que les personnes concernées les signalent », nous indique Steven Matheï, « le CERT.be peut jouer un rôle majeur dans les cyberattaques ».

Selon le député fédéral également bourgmestre de Peer une commune proche d’Hasselt, la cyberattaque via Microsoft Exchange montre qu’il faut accorder une attention suffisante à la résilience numérique des collectivités locales. « Les grandes entreprises ne sont pas les seules à être confrontées aux cyberattaques, les collectivités locales peuvent également en être victimes. »

Le CCB, en collaboration avec l’Union des villes et communes de Wallonie (UVCW) et l’Association flamande des villes et communes (VVSG), élabore une campagne de sensibilisation annuelle et a commencé à envoyer des alertes ciblées aux autorités locales lorsque des vulnérabilités sont détectées sur leur infrastructure.

« Il est important de continuer à travailler sur ce sujet, car une attaque numérique contre une municipalité est une attaque contre nous tous », conclut le député CD&V.

Pour aller plus loin:

Plus