C’est la société qui l’indique dans une mise à jour de son Security Response Center : les pirates ont bel et bien pu « voir du code source dans un certain nombre de dossiers », mais sans pouvoir modifier quoi que ce soit, à cause des autorisations propres au compte utilisé.
Bien que les États-Unis aient évoqué la Russie à plusieurs reprises comme source de l’attaque, Microsoft joue la prudence en évoquant « un acteur étatique très sophistiqué ».
Le message de Microsoft veut à la fois rassurer et mettre en garde. Rassurer parce qu’en dépit de l’ampleur de l’attaque, la firme n’a trouvé « aucune preuve d’un accès aux services ou données des clients » ni que ses « systèmes ont été utilisés pour en attaquer d’autres ».
En outre, voir une partie d’un code source n’est pas nécessairement un risque en soi. Microsoft affirme ainsi partir du principe que son code est vu par des pirates et donc ne pas se baser sur le secret de ces informations pour sécuriser ses produits. On ne sait pas cependant quelle proportion du code a été vue, ni de quels produits.
