Hewlett Packard Enterprise (HPE) informe les employés dont les données ont été volées dans l’environnement de messagerie Office 365 de l’entreprise par des pirates informatiques parrainés par l’État russe lors d’une cyberattaque en mai 2023.
Selon des documents déposés auprès des bureaux du procureur général du New Hampshire et du Massachusetts, HPE a commencé à envoyer les lettres de notification de violation le mois dernier à au moins 16 personnes qui se sont fait voler leur permis de conduire, leurs numéros de carte de crédit et leurs numéros de sécurité sociale.
« L’enquête médico-légale de HPE a déterminé que les informations personnelles de certaines personnes pouvaient avoir fait l’objet d’un accès non autorisé », indique la société dans les lettres. « Le 29 janvier 2025, HPE a commencé à notifier cet événement aux personnes concernées, conformément à la loi applicable. »
Lorsqu’on lui a demandé de partager le nombre d’employés touchés par cette violation de données, un porte-parole de HPE a déclaré qu’il s’agissait « d’un groupe limité de boîtes aux lettres des membres de l’équipe HPE qui ont été consultées, et seules les informations contenues dans ces boîtes aux lettres étaient impliquées. »
Le groupe à l’origine de l’attaque, Cozy Bear (également connu sous le nom de Midnight Blizzard, APT29 et Nobelium), ferait partie du Service de renseignement extérieur russe (SVR) et aurait également été lié à d’autres violations très médiatisées, y compris la tristement célèbre attaque de la chaîne d’approvisionnement SolarWinds de 2020.
L’incident de violation de HPE a été divulgué pour la première fois dans un dépôt auprès de la SEC le 29 janvier 2024, lorsque la société a déclaré avoir été informée le 12 décembre que des pirates informatiques russes présumés avaient violé son environnement de messagerie Office 365 basé sur le cloud en mai 2023 à l’aide d’un compte compromis.
« Nous avons déterminé que cet acteur étatique avait accédé et exfiltré des données à partir de mai 2023 à partir d’un petit pourcentage de boîtes aux lettres HPE appartenant à des personnes de nos secteurs cybersécurité, commercialisation, activités et autres fonctions. Nous pensons que l’acteur de l’État-nation est Midnight Blizzard, également connu sous le nom de Cozy Bear », a déclaré HPE à BleeingComputer à l’époque.
« Les données consultées sont limitées aux informations contenues dans les boîtes aux lettres des utilisateurs. Nous continuons d’enquêter et ferons les notifications appropriées au besoin. »
Serveur Sharepoint violé par les mêmes pirates
Dans le dépôt auprès de la SEC, HPE a ajouté que l’incident Office 365 était probablement lié à une autre violation de mai 2023, lorsque des acteurs de la menace ont accédé au serveur SharePoint de l’entreprise et volé des fichiers.
Quelques jours avant la divulgation de HPE, Microsoft a également averti que les pirates informatiques de Cozy Bear avaient volé des données sur des comptes de messagerie d’entreprise et des référentiels de code source. Ils ont d’abord violé le réseau de Microsoft en novembre 2024 lors d’une attaque par pulvérisation de mots de passe pour accéder à un compte locataire de test hérité hors production.
HPE avait déjà été piraté en 2018 lorsque des acteurs malveillants chinois ont piraté son réseau et utilisé cet accès pour pirater les appareils de ses clients.
En 2021, il a également révélé que les dépôts de données de sa plate-forme de surveillance du réseau central Aruba avaient été compromis, permettant à un auteur de menace d’accéder aux informations sur les appareils surveillés et leurs emplacements.
Plus récemment, en février 2024 et janvier 2025, la société a commencé à enquêter sur d’autres failles de sécurité potentielles après qu’un acteur malveillant utilisant le pseudonyme IntelBroker a affirmé avoir volé des informations d’identification HPE, du code source et d’autres informations sensibles.