Des hackers russes profitent d’une faille de sécurité de . a averti mardi qu’une vulnérabilité de son logiciel, récemment exposée par son rival Google, soupçonnés d’avoir mené des attaques contre des institutions politiques américaines.

Ce groupe de pirates, que Microsoft appelle « Strontium », est aussi connu sous le nom de Fancy Bear, la même organisation qui, selon des spécialistes, aurait , le président de l’équipe de campagne d’Hillary Clinton. Dans un rapport publié l’an dernier, le géant de l’informatique décrivait le groupe comme faisant usage « de tactiques et techniques agressives et persistantes et utilisant régulièrement des vulnérabilités Zero Day [soit des failles encore peu ou pas connues pour lesquelles aucun correctif n’est disponible] pour attaquer ses cibles] ».

John Podesta aurait été victime de hameçonnage

Cette fois, Strontium a lancé une campagne d’attaques par hameçonnage visant des cibles spécifiques, notamment des agences gouvernementales ou des institutions diplomatiques et militaires, écrit Terry Myerson, vice-président de Microsoft en charge notamment de Windows, sur un blog officiel du groupe. Le piratage des mails de John Podesta, publiés par Wikileaks, aurait ainsi commencé par un courriel envoyé en mars dernier au responsable pour lui demander de mettre à jour son mot de passe.

La direction du renseignement américain (ODNI) avait dénoncé au début du mois une tentative de Moscou d'« interférer dans le processus électoral américain ». Le Kremlin avait répliqué en qualifiant ces accusations de « foutaises ». Dans le cas présent, les pirates combinent leurs attaques par hameçonnage avec l’exploitation de failles de sécurité dans Windows ainsi que dans Flash, un logiciel d’Adobe, pour installer des portes dérobées sur des ordinateurs afin de pouvoir ensuite s’y introduire à leur guise.

Les patchs de sécurité devraient être prêts le 8 novembre

Ce n’est pas Microsoft lui-même, mais des chercheurs de Google qui avaient rendu ces failles publiques lundi, les qualifiant de « particulièrement graves » et précisant « qu’elles sont activement exploitées ».

Terry Myerson a toutefois critiqué le fait que son rival n’ait pas attendu que le problème soit résolu. « La décision de Google de dévoiler ces failles avant que des patchs soient largement disponibles et testés est décevante, et fait courir un risque accru aux consommateurs », déplore-t-il. L’entreprise indique que ses propres patchs de sécurité sont en phase de tests et devraient faire l’objet d’une mise à jour le 8 novembre.

Google a argumenté qu’il avait donné sept jours à Microsoft pour régler le problème avant de le rendre public : il dit avoir informé Microsoft et Adobe de sa découverte dès le 21 octobre. Une mise à jour de Flash a d’ailleurs été faite 5 jours plus tard. Terry Myerson assure toutefois que les internautes utilisant le navigateur Edge et la dernière version de Windows 10 ne devraient pas être vulnérables.