Microsoft affirme que des pirates chinois ont utilisé une faille de code pour voler des e-mails à des agences américaines – Sécurité

Microsoft a déclaré que des pirates chinois avaient détourné l’une de ses clés numériques et utilisé une faille dans le code de l’entreprise pour voler des e-mails d’agences gouvernementales américaines et d’autres clients.

La société a déclaré dans un article de blog que les pirates ont pu utiliser la clé – qu’ils ont acquise dans des circonstances non divulguées – et profiter “d’une erreur de validation dans le code Microsoft” pour mener à bien leur campagne de cyberespionnage.

Le blog a fourni l’explication la plus complète à ce jour pour un piratage qui a secoué à la fois l’industrie de la cybersécurité et les relations sino-américaines.

Pékin a nié toute implication dans l’espionnage.

Microsoft et des responsables américains ont déclaré la semaine dernière que des pirates informatiques chinois liés à l’État accédaient secrètement depuis mai aux comptes de messagerie d’environ 25 organisations.

Les responsables américains ont déclaré que ceux-ci comprenaient au moins deux agences gouvernementales: les départements d’État et du commerce.

Le secrétaire d’État Antony Blinken a déclaré au chef de la diplomatie chinoise, Wang Yi, lors d’une réunion à Jakarta que toute action visant le gouvernement américain, les entreprises américaines ou les citoyens américains “nous préoccupe profondément, et que nous prendrons les mesures appropriées pour empêcher ces responsable responsable », selon un haut responsable du département d’État.

Le billet de blog de Microsoft n’a pas expliqué comment les pirates ont mis la main sur l’une des clés numériques de l’entreprise, ce qui a conduit certains experts à spéculer que Microsoft lui-même avait été piraté avant les vols.

La société n’a pas immédiatement répondu aux questions sur la clé.

La violation a jeté un examen minutieux des pratiques de sécurité de Microsoft, les responsables et les législateurs appelant la société basée à Redmond, dans l’État de Washington, à mettre gratuitement à la disposition de tous ses clients son haut niveau d’audit numérique, également appelé journalisation.

Microsoft a déclaré dans un communiqué à la fin de la semaine dernière qu’il prenait en compte les critiques.

“Nous évaluons les commentaires et sommes ouverts à d’autres modèles”, a déclaré la société, ajoutant qu’elle était “activement engagée” avec des responsables américains sur la question.