Des failles de sécurité sont exploitées depuis plus d’une semaine par des pirates pour cibler des serveurs SharePoint, un service de Microsoft utilisé dans le monde entier pour partager des fichiers au sein d’une entreprise ou d’une organisation. Alors que la société américaine a publié plusieurs correctifs, le flou persiste autour du nombre réel de victimes.

L’alerte a été donnée dès le samedi 19 juillet par Microsoft. Le groupe a révélé l’existence d’une faille de sécurité permettant à quiconque d’exécuter du code malveillant sur un serveur SharePoint, une vulnérabilité critique ouvrant notamment la porte au vol de données ou à des campagnes d’espionnage. Surtout, cette faille a déjà été exploitée par des attaquants, avertit Microsoft.

Des correctifs sont aujourd’hui disponibles pour cette faille de sécurité, ainsi que d’autres identifiées par la suite. Mais les experts cherchent à présent à déterminer qui sont les pirates ayant réussi à l’exploiter ou cherchant encore aujourd’hui des serveurs vulnérables. A ce jour, les équipes de sécurité ont identifié au moins trois acteurs attaquant des instances SharePoint, tous soupçonnés d’opérer de la Chine.

Parmi eux, deux sont considérés comme des groupes étatiques : Violet Typhoon, plus connu sous le nom d’APT 31 et soupçonné de nombreuses campagnes d’espionnage en ligne pour le compte des autorités chinoises depuis une dizaine d’années. L’autre groupe vraisemblablement proche du gouvernement chinois est APT 27, ici désigné sous le nom de Linen Typhoon. Récemment visé par un acte d’inculpation américain, il est accusé d’avoir orchestré des campagnes d’espionnage consistant à voler des données puis à les revendre par la suite. Le troisième groupe, dont les contours sont encore flous, est soupçonné pour sa part de s’appuyer sur les vulnérabilités de SharePoint pour déployer des rançongiciels, des outils malveillants conçus pour paralyser des ordinateurs et des réseaux.

La plus grande zone d’ombre concerne, à ce stade, l’identité des victimes de ces piratages. Contacté par l’agence de presse Bloomberg, le département de l’énergie américain a confirmé qu’un « petit nombre de systèmes » avait été touché. Pour l’heure, le seul bilan global émane d’une entreprise spécialisée en sécurité informatique, Eye Security, qui a publié son analyse de cette campagne dès le 19 juillet : elle fait état de 400 serveurs compromis au cours de trois vagues successibles de cyberattaques.