Publié dans Sécurité

12

Un rapport US reproche à Microsoft sa sécurité médiocre et son manque de sincérité dans sa réponse au piratage chinois

Photo d'un immeuble troué de part en partPhoto de Nick Bolton sur Unsplash

Dans un « réquisitoire cinglant », écrit l'agence Associated Press, le Cyber Safety Review Board (CSRB), créé par l'administration Biden en 2022, fustige une « cascade d'erreurs » imputables à Microsoft et ayant permis à des pirates informatiques d'État chinois de s'introduire dans les comptes de courrier électronique de hauts fonctionnaires américains. C’est notamment le cas de celui de l'ambassadeur des États-Unis en Chine, Nicholas Burns, et de la secrétaire au Commerce, Gina Raimondo.

Son rapport de 34 pages décrit des pratiques de cybersécurité « médiocres », une culture d'entreprise « laxiste » et un « manque de sincérité » dans la façon qu'a eu l'entreprise de faire face à la brèche qui a touché de nombreuses agences américaines traitant avec la Chine.

Il estime que « la culture de sécurité de Microsoft était inadéquate et nécessitait une refonte » compte tenu de l'omniprésence de l'entreprise et de son rôle essentiel dans l'écosystème technologique mondial.

Et ce, d'autant que les produits Microsoft « sous-tendent des services essentiels qui soutiennent la sécurité nationale, les fondements de notre économie, ainsi que la santé et la sécurité publiques ».

Le groupe d'experts a déclaré que l'intrusion de Storm-0558, des pirates considérés comme affilié à la République populaire de Chine, découverte en juin par le département d'État et remontant au mois de mai, « aurait pu être évitée et n'aurait jamais dû se produire », attribuant son succès à « une cascade d'erreurs évitables ». Il déplore en outre que Microsoft « ne sait toujours pas comment les pirates se sont introduits dans le système », relève AP.

Il va jusqu'à formuler des recommandations « radicales », en invitant notamment Microsoft à « suspendre l'ajout de nouvelles fonctionnalités » à son environnement d'informatique dématérialisée jusqu'à ce que « des améliorations substantielles en matière de sécurité aient été apportées ».

Il ajoute que le PDG et le conseil d'administration de Microsoft devraient instaurer un « changement culturel rapide », notamment en partageant publiquement « un plan assorti d'échéances précises pour procéder à des réformes fondamentales axées sur la sécurité dans l'ensemble de l'entreprise et de sa gamme de produits ».

Au total, les pirates chinois soutenus par l'État se sont introduits dans les messageries électroniques Microsoft Exchange Online de 22 organisations et de plus de 500 personnes à travers le monde, en accédant à certaines boîtes aux lettres basées sur le cloud « pendant au moins six semaines et en téléchargeant quelque 60 000 courriels du seul département d'État ».

Le conseil d'administration s'est par ailleurs inquiété d'un autre piratage révélé par Microsoft en janvier, qui portait sur des comptes de messagerie électronique, y compris ceux d'un nombre non divulgué de cadres supérieurs de Microsoft et d'un nombre non divulgué de clients de Microsoft, et qui était attribué à des pirates russes soutenus par l'État.

12

Tiens, en parlant de ça :

dessin satirique de Flock

#Flock : de Game of Shithrones au jeu des sept différences

Moi en retard ??? Non… (Ha si…)

13:37 Flock 11
Des chercheurs en noir et blanc regardent une fiole sur laquelle est écrit "Perlimpimpin" en jaune.

[Édito] Respectez les sciences, bordel !

Demi mole

17:07 NextScience 41
Vitrée brisée

Une faille critique dans le langage Rust, Windows trinque

De la rouille, des fenêtres, une rustine

17:02 SoftSécu 28
next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

12

Fermer

Commentaires (12)


Bah ils ont cas activer Copilot Security AI :troll:
On a des précisions sur les erreurs commises par MS ?
Comment le CSRB peut conclure à des erreurs de MS si on ne sait pas comment les pirates se sont introduits dans le système ?
J'imagine que ça doit figurer dans le rapport que l'on peut télécharger (le lien est donné dans l'article) et que le CSRB n'est pas composé d'une bande de charlots.
Je me suis posé la même question, et j'ai donc décidé de compléter ma lecture en allant jeter un oeil au rapport (dont le lien est dans la brève).

Microsoft sait certaines choses, mais pas d'autres.

Ce qui est su : l'attaque c'est déroulé via une clé de chiffrement volée. Le laxisme reproché à Microsoft à ce sujet concerne plusieurs points :
- la clé devait initialement être retirée en mars 2021 => la clé a été prolongée
- la clé ne devait servir que pour générer des tokens OWA (Outlook Web Access) => la clé pouvait aussi générer des tokens pour MSA (Microsoft Account Service). Il y avait donc un problème de séparation et une réutilisation de la clé
- la clé, au moment des faits, n'était plus sensée être utilisée. Cela aurait donc pu être détecté.
- ce n'est pas Microsoft qui a détecté l'attaque, mais des clients.

Ce qui n'est pas su : comment l'attaquant à eu accès à la clé de chiffrement. Microsoft a pourtant fait de longues investigations à ce sujet, allant jusqu'à établir 46 hypothèses, chacune vérifiée par différentes équipes de Microsoft. Aucune des hypothèses envisagées n'a pu être validée à ce jour.

Il s'agit là d'un grossier résumé d'une lecture en diagonale, mais qui, je l'espère, permet de mieux comprendre un peu les tenants et aboutissants de cette histoire.

fdorin

Je me suis posé la même question, et j'ai donc décidé de compléter ma lecture en allant jeter un oeil au rapport (dont le lien est dans la brève).

Microsoft sait certaines choses, mais pas d'autres.

Ce qui est su : l'attaque c'est déroulé via une clé de chiffrement volée. Le laxisme reproché à Microsoft à ce sujet concerne plusieurs points :
- la clé devait initialement être retirée en mars 2021 => la clé a été prolongée
- la clé ne devait servir que pour générer des tokens OWA (Outlook Web Access) => la clé pouvait aussi générer des tokens pour MSA (Microsoft Account Service). Il y avait donc un problème de séparation et une réutilisation de la clé
- la clé, au moment des faits, n'était plus sensée être utilisée. Cela aurait donc pu être détecté.
- ce n'est pas Microsoft qui a détecté l'attaque, mais des clients.

Ce qui n'est pas su : comment l'attaquant à eu accès à la clé de chiffrement. Microsoft a pourtant fait de longues investigations à ce sujet, allant jusqu'à établir 46 hypothèses, chacune vérifiée par différentes équipes de Microsoft. Aucune des hypothèses envisagées n'a pu être validée à ce jour.

Il s'agit là d'un grossier résumé d'une lecture en diagonale, mais qui, je l'espère, permet de mieux comprendre un peu les tenants et aboutissants de cette histoire.

:merci:
Merci du résumé, je comprends mieux la 'culture d'entreprise « laxiste »' évoquée par le CSRB.
Des logiciels vendus comme rock-solid et dans les faits devrnus fragiles par manque de pertinence économique de la recherche de failles, cela mériterait un dessin de xkcd

Comme souvent, on trouve de bons ingénieurs et techniciens dans ces boîtes mais on ne les laisse pas faire leur travail comme il se doit. L'exemple typique est justement chez microsoft avec l'interdiction donnée par Bill Gate de rendre windows moins monolithique quand il était encore aux manettes et ce contre l'avis de ceux qui devaient maintenir le monstre en vie, Si j'ai bien tout retenu.

Les techniques sont souvent vu comme des gens à côté de leurs pompes et prêts à couler la boîte avec leurs recherche de la perfection permanente sans objectif commercial. Pour un actionnaire, la regerche de problème dans les produits, c'est comme de la recherche fondamentale en physique donc cela ne rapporte rien de manière certaine à court terme donc cela ne doit pas exister.

La seule et unique manière de faire en dehors de supprimer les actions est de rendre non rentable l'inaction par des amendes qui dépassent les gains de ne rien faire. Une obligation de moyens donc.
Probabilité pour que cela justifie davantage d'ingérence dans la vie privé (identification, télémétrie) au nom de la "sécurité" ?

hmm... faites vos jeux.
tu veux dire biométrique ?
Si oui, le biométrique n'est pas de la sécurité : on peut le révoquer mais pas le renouveler.
Quel rapport entre sécurité informatique dans le monde du travail, en particulier des agences US ou autres entités gouvernementales US et l'ingérence dans la vie privée ?

Pour une partie des employés, ceux aux postes les plus sensibles, il y a probablement déjà eu ingérence dans leur vie privée par les services de l'État afin de vérifier qu'ils étaient fiables au moyen d'enquêtes, mais cela a à voir avec la sécurité en général et pas la sécurité informatique.

fred42

Quel rapport entre sécurité informatique dans le monde du travail, en particulier des agences US ou autres entités gouvernementales US et l'ingérence dans la vie privée ?

Pour une partie des employés, ceux aux postes les plus sensibles, il y a probablement déjà eu ingérence dans leur vie privée par les services de l'État afin de vérifier qu'ils étaient fiables au moyen d'enquêtes, mais cela a à voir avec la sécurité en général et pas la sécurité informatique.
mais cela a à voir avec la sécurité en général et pas la sécurité informatique.



Le problème de sécurité c'est un piratage. Les causes indiquées sont une mauvaise gestion des accès et de la rétention des clés de chiffrement. Ca me parait être bel et bien être un problème de sécurité informatique.
Quel rapport entre sécurité informatique dans le monde du travail, en particulier des agences US ou autres entités gouvernementales US et l'ingérence dans la vie privée ?


Aucun. Mais ca peut servir de prétexte à justifier tout en n'importe quoi au nom de la sécurité. Et comme Ms utilise en interne les memes OS, logiciels, services que ceux proposés à ses clients, c'est pas difficile d'imaginer que ca va arriver jusqu'à nous. A l'instar de TPM, Zero Trust, Secure Boot, compte microsoft.com, ...
Même aux US, avoir des données qui engagent la sécurité nationale chez Microsoft, ça semble un peu hasardeux, non ?

Ils savent toujours pas dire comment ils ont été piraté ? Pour le coup ça fait vraiment pas sérieux vu l'acteur.

Vu ce que Microsoft fait à son propre gouvernement, le jour où il y aura suspicion de fuite chez nous, quand le gouvernement français posera des questions ils vont répondre "bonjour support technique Microsoft, pouvez vous faire la commande sfc /scannow sur votre machine ?"