La société de cybersécurité **Microsoft** a annoncé cette semaine avoir démantelé avec succès **Fox Tempest**, un service sophistiqué qui fournissait aux cybercriminels des capacités de signature de code pour légitimer les malwares. Cette opération, détaillée dans un récent dépôt auprès du tribunal de district américain, perturbe un maillon essentiel de la chaîne d'approvisionnement de la cybercriminalité. ### Fox Tempest : Malware-Signing-as-a-Service **Fox Tempest** fonctionnait comme un service de signature de malware en tant que service (MSaaS) depuis mai 2025, offrant aux cybercriminels la possibilité de signer leur code malveillant avec des certificats frauduleux. Cela permettait aux malwares de contourner les contrôles de sécurité, se faisant passer pour des logiciels légitimes. Selon **Steven Masada**, conseiller juridique adjoint à l'unité des crimes numériques de **Microsoft**, le service permettait aux cybercriminels de livrer des malwares et des rançongiciels, infectant des milliers de machines et compromettant des réseaux dans le monde entier. « Les logiciels malveillants qui auraient dû être bloqués ou signalés par les antivirus et autres dispositifs de sécurité étaient plus susceptibles d'être ouverts, autorisés à s'exécuter ou de passer les contrôles de sécurité — permettant essentiellement aux malwares de se cacher à la vue de tous », a-t-il déclaré. ### L'arme de la signature de code légitime **Fox Tempest** a abusé de la signature d'artefacts de **Microsoft**, conçue pour vérifier la légitimité des logiciels. En créant des certificats de signature de code frauduleux de courte durée, la plateforme permettait aux malwares de ressembler à des applications légitimes comme **AnyDesk**, **Teams**, **Putty** et **Webex**, contournant les mesures de sécurité et augmentant la probabilité d'une exécution réussie. Des affiliés de rançongiciels associés à des groupes tels que **Rhysida**, **INC**, **Qilin** et **Akira** auraient utilisé **Fox Tempest** pour légitimer leurs malwares. Ils téléchargeaient leur code malveillant sur la plateforme, obtenaient des certificats signés, puis distribuaient le malware via de faux sites web conçus pour imiter les plateformes de téléchargement de logiciels légitimes. ### La réponse de Microsoft **Microsoft** a saisi le site web de **Fox Tempest**, mis hors ligne des centaines de machines virtuelles et bloqué l'accès au code sous-jacent. Ils ont également révoqué plus de 1 000 certificats de signature de code attribués à **Fox Tempest**. « Lorsque les attaquants peuvent faire passer des logiciels malveillants pour légitimes, cela sape la façon dont les gens et les systèmes décident de ce qui est sûr. Perturber cette capacité est essentiel pour augmenter le coût de la cybercriminalité », a expliqué **Masada**. ### Le modèle économique du MSaaS **Microsoft** a souligné que **Fox Tempest** fonctionnait comme une organisation bien financée avec des départements gérant l'infrastructure, les relations clients et les transactions financières. La plateforme a créé plus d'un millier de certificats et a établi des centaines de locataires et d'abonnements **Azure** pour soutenir ses opérations. L'analyse des paiements en cryptomonnaies a révélé que **Fox Tempest** avait reçu des millions de dollars de la part d'affiliés de rançongiciels. Le service a été utilisé dans des attaques ciblant des organisations aux États-Unis, en Chine, en France et en Inde. Ce modèle MSaaS marque un changement dans l'écosystème des cybercriminels, où des services avancés sont proposés à grande échelle. Contrairement aux fournisseurs d'infrastructure à faible coût, **Fox Tempest** démontre que les acteurs sophistiqués sont prêts à investir massivement dans des capacités qui améliorent les taux de réussite des attaques et réduisent les probabilités de détection. <a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>