En mars, Microsoft a confirmé que des pirates informatiques du gouvernement russe connus sous le nom de Midnight Blizzard (ou APT29) s’étaient introduits dans ses systèmes dans le but de voler divers types d’informations, y compris des données sur les clients de Microsoft.

Des mois plus tard, Microsoft est toujours en train d’informer ses clients concernés, et il semble que le processus ne se déroule pas très bien, les experts critiquant Microsoft pour l’envoi d’e-mails qui ressemblent à du spam, voire à des tentatives de phishing.

Kevin Beaumont, un ancien employé de Microsoft et maintenant chercheur en cybersécurité qui suit de près l’entreprise, a averti les entreprises de garder un œil sur ces e-mails Microsoft.

« Microsoft a été victime d’une violation par la Russie qui a eu un impact sur les données des clients et n’a pas suivi le processus de violation des données des clients de Microsoft 365. Les notifications ne sont pas dans le portail, ils ont envoyé un e-mail aux administrateurs de locataires à la place. Beaumont a écrit sur son compte LinkedIn. « Les e-mails peuvent aller dans les spams – et les comptes d’administrateur de locataires sont censés être des comptes sécurisés sans e-mail. Ils n’ont pas non plus informé les organisations par l’intermédiaire des gestionnaires de compte. Vous souhaitez vérifier tous les e-mails remontant à juin. C’est répandu.

L’un des principaux problèmes avec l’e-mail de notification de Microsoft est qu’il comprend un « lien sécurisé » vers un domaine qui n’a aucun lien apparent avec Microsoft. Au lieu de cela, l’e-mail comprend un lien vers : « purviewcustomer.powerappsportals.com ».

« En gros, l’alerte critique ressemble à une attaque de phishing », une personne a écrit sur X.

Ce lien a été soumis à urlscan.io, un site qui peut aider à repérer les liens malveillants, plus d’une centaine de fois. Cela suggère qu’il y a beaucoup d’organisations qui ont vu cet e-mail officiel légitime de Microsoft et ont pensé qu’il était malveillant.

Les soumissions de urlscan.io suggèrent également qu’au moins une centaine d’entreprises ont été touchées par le piratage de Microsoft par le gouvernement russe. L’agence américaine de cybersécurité CISA a précédemment déclaré que les pirates russes avaient également volé des e-mails de plusieurs agences fédérales.

En dehors des avertissements de Beaumont, il existe des preuves que les clients de Microsoft sont légitimement confus. Dans un portail de support Microsoft, un client partagé l’e-mail reçu par leur organisation. dans le but d’obtenir des éclaircissements sur la question de savoir s’il s’agissait d’un véritable e-mail Microsoft.

« Cet e-mail a plusieurs drapeaux rouges pour moi, la demande de TenantID et essentiellement des adresses e-mail d’administrateur ou de haut niveau, la page powerapps étant dépouillée, et quelques recherches rapides sur google ne trouvant rien en rapport avec le titre de cet e-mail ou de son [sic] contenu », a écrit la personne. « Quelqu’un peut-il confirmer qu’il s’agit d’une demande d’e-mail Microsoft légitime ? »

Commentant le post LinkedIn de Beaumont, un consultant en cybersécurité dit que « plusieurs » de ses clients ont reçu l’e-mail et que « tous craignaient qu’il s’agisse d’hameçonnage ».

« À première vue, cela n’a pas inspiré confiance aux destinataires, qui ont commencé à demander dans les forums ou à contacter les gestionnaires de compte Microsoft pour finalement confirmer que l’e-mail était légitime… une façon étrange pour un fournisseur comme celui-ci de communiquer un problème important aux clients potentiellement touchés », a écrit le consultant.

Les porte-parole de Microsoft n’ont pas répondu lorsque fr.techtribune.neta demandé combien d’organisations avaient été informées ou si l’entreprise prévoyait de changer la façon dont elle informe les clients concernés.