Massivement exploitées depuis plusieurs semaines, les failles découvertes sur les serveurs Microsoft Exchange font toujours parler d'elles. Le FBI annonce cependant qu'il a directement mis les mains dans le cambouis et qu'il est en train d'agir sur de nombreux serveurs compromis.
C'est ce qu'on appelle « prendre les choses en main ». À l'origine du scandale touchant Microsoft, la vulnérabilité ProxyLogon Exchange, qui permet à des hackers de prendre le contrôle d'un appareil à distance par exécution de code pour dérober des données du réseau, est en train d'être petit à petit colmatée par… le FBI. La célèbre agence fédérale américaine a en effet reçu l'autorisation d'accéder à des centaines d'ordinateurs et systèmes infectés par le programme malveillant frappant Exchange.
Quand le FBI vole (par tous les moyens) au secours des victimes
Le FBI a donc commencé à supprimer le code malveillant laissé un peu partout sur des serveurs Exchange par des pirates informatiques. L'agence n'a pas pris la liberté de le faire sans autorisation, car elle a bien reçu, chose extrêmement rare, l'aval du département de la Justice des États-Unis.
Les utilisateurs et professionnels américains touchés par la faille ProxyLogon, dont les machines ont été compromises, seront prévenus par un simple courrier électronique du FBI (email obligatoire à compter du 9 mai seulement), dont on se pose, outre-Atlantique, des questions quant à sa compétence (au sens juridique du terme) à œuvrer sur des affaires de sécurité informatique.
Et de grands moyens sont mis en œuvre. Car si pour une raison x ou y les personnes concernées sont injoignables, en raison d'une messagerie indisponible par exemple, le FBI peut solliciter les opérateurs télécoms américains, pour leur transmettre par tous les moyens la notification d'intervention sur leur équipement.
L'objectif de supprimer les webshells
Une fois la question légitime des pouvoirs du FBI écartée, il y a un certain aspect salvateur à ce que l'agence intervienne elle-même. L'idée première est évidemment de limiter l'impact de la contamination sur les serveurs infectés, et ainsi de les sevrer de tout danger, de nombreuses incursions ayant pu aboutir à du ransomware, autrement plus problématique.
Car si Microsoft et la Cybersecurity and Infrastructure Security Agency (l'équivalent américain de l'ANSSI) ont bien lancé des campagnes de sensibilisation pour guider les victimes potentielles et les inciter à appliquer les correctifs déployés, beaucoup de sociétés et particuliers n'ont encore pas fait le nécessaire.
Le FBI s'affaire donc à supprimer les webshells (les scripts ou programmes malveillants qui permettent de prendre le contrôle d'un appareil à distance par exécution de code) pour éviter que d'éventuels hackers puissent les utiliser pour accéder aux serveurs et pour y déposer des malwares supplémentaires.
Source : NBC News