Photo de Nick Bolton sur Unsplash Dans un « réquisitoire cinglant », écrit l'agence Associated Press, le Cyber Safety Review Board (CSRB), créé par l'administration Biden en 2022, fustige une « cascade d'erreurs » imputables à Microsoft et ayant permis à des pirates informatiques d'État chinois de s'introduire dans les comptes de courrier électronique de hauts fonctionnaires américains. C’est notamment le cas de celui de l'ambassadeur des États-Unis en Chine, Nicholas Burns, et de la secrétaire au Commerce, Gina Raimondo.
Son rapport de 34 pages décrit des pratiques de cybersécurité « médiocres », une culture d'entreprise « laxiste » et un « manque de sincérité » dans la façon qu'a eu l'entreprise de faire face à la brèche qui a touché de nombreuses agences américaines traitant avec la Chine.
Il estime que « la culture de sécurité de Microsoft était inadéquate et nécessitait une refonte » compte tenu de l'omniprésence de l'entreprise et de son rôle essentiel dans l'écosystème technologique mondial.
Et ce, d'autant que les produits Microsoft « sous-tendent des services essentiels qui soutiennent la sécurité nationale, les fondements de notre économie, ainsi que la santé et la sécurité publiques ».
Le groupe d'experts a déclaré que l'intrusion de Storm-0558, des pirates considérés comme affilié à la République populaire de Chine, découverte en juin par le département d'État et remontant au mois de mai, « aurait pu être évitée et n'aurait jamais dû se produire », attribuant son succès à « une cascade d'erreurs évitables ». Il déplore en outre que Microsoft « ne sait toujours pas comment les pirates se sont introduits dans le système », relève AP.
Il va jusqu'à formuler des recommandations « radicales », en invitant notamment Microsoft à « suspendre l'ajout de nouvelles fonctionnalités » à son environnement d'informatique dématérialisée jusqu'à ce que « des améliorations substantielles en matière de sécurité aient été apportées ».
Il ajoute que le PDG et le conseil d'administration de Microsoft devraient instaurer un « changement culturel rapide », notamment en partageant publiquement « un plan assorti d'échéances précises pour procéder à des réformes fondamentales axées sur la sécurité dans l'ensemble de l'entreprise et de sa gamme de produits ».
Au total, les pirates chinois soutenus par l'État se sont introduits dans les messageries électroniques Microsoft Exchange Online de 22 organisations et de plus de 500 personnes à travers le monde, en accédant à certaines boîtes aux lettres basées sur le cloud « pendant au moins six semaines et en téléchargeant quelque 60 000 courriels du seul département d'État ».
Le conseil d'administration s'est par ailleurs inquiété d'un autre piratage révélé par Microsoft en janvier, qui portait sur des comptes de messagerie électronique, y compris ceux d'un nombre non divulgué de cadres supérieurs de Microsoft et d'un nombre non divulgué de clients de Microsoft, et qui était attribué à des pirates russes soutenus par l'État.
Commentaires (12)
#1
#2
Comment le CSRB peut conclure à des erreurs de MS si on ne sait pas comment les pirates se sont introduits dans le système ?
#2.1
#2.2
Microsoft sait certaines choses, mais pas d'autres.
Ce qui est su : l'attaque c'est déroulé via une clé de chiffrement volée. Le laxisme reproché à Microsoft à ce sujet concerne plusieurs points :
- la clé devait initialement être retirée en mars 2021 => la clé a été prolongée
- la clé ne devait servir que pour générer des tokens OWA (Outlook Web Access) => la clé pouvait aussi générer des tokens pour MSA (Microsoft Account Service). Il y avait donc un problème de séparation et une réutilisation de la clé
- la clé, au moment des faits, n'était plus sensée être utilisée. Cela aurait donc pu être détecté.
- ce n'est pas Microsoft qui a détecté l'attaque, mais des clients.
Ce qui n'est pas su : comment l'attaquant à eu accès à la clé de chiffrement. Microsoft a pourtant fait de longues investigations à ce sujet, allant jusqu'à établir 46 hypothèses, chacune vérifiée par différentes équipes de Microsoft. Aucune des hypothèses envisagées n'a pu être validée à ce jour.
Il s'agit là d'un grossier résumé d'une lecture en diagonale, mais qui, je l'espère, permet de mieux comprendre un peu les tenants et aboutissants de cette histoire.
#2.3
Merci du résumé, je comprends mieux la 'culture d'entreprise « laxiste »' évoquée par le CSRB.
#3
Comme souvent, on trouve de bons ingénieurs et techniciens dans ces boîtes mais on ne les laisse pas faire leur travail comme il se doit. L'exemple typique est justement chez microsoft avec l'interdiction donnée par Bill Gate de rendre windows moins monolithique quand il était encore aux manettes et ce contre l'avis de ceux qui devaient maintenir le monstre en vie, Si j'ai bien tout retenu.
Les techniques sont souvent vu comme des gens à côté de leurs pompes et prêts à couler la boîte avec leurs recherche de la perfection permanente sans objectif commercial. Pour un actionnaire, la regerche de problème dans les produits, c'est comme de la recherche fondamentale en physique donc cela ne rapporte rien de manière certaine à court terme donc cela ne doit pas exister.
La seule et unique manière de faire en dehors de supprimer les actions est de rendre non rentable l'inaction par des amendes qui dépassent les gains de ne rien faire. Une obligation de moyens donc.
#4
hmm... faites vos jeux.
#4.1
Si oui, le biométrique n'est pas de la sécurité : on peut le révoquer mais pas le renouveler.
#4.2
Pour une partie des employés, ceux aux postes les plus sensibles, il y a probablement déjà eu ingérence dans leur vie privée par les services de l'État afin de vérifier qu'ils étaient fiables au moyen d'enquêtes, mais cela a à voir avec la sécurité en général et pas la sécurité informatique.
#4.3
Le problème de sécurité c'est un piratage. Les causes indiquées sont une mauvaise gestion des accès et de la rétention des clés de chiffrement. Ca me parait être bel et bien être un problème de sécurité informatique.
Aucun. Mais ca peut servir de prétexte à justifier tout en n'importe quoi au nom de la sécurité. Et comme Ms utilise en interne les memes OS, logiciels, services que ceux proposés à ses clients, c'est pas difficile d'imaginer que ca va arriver jusqu'à nous. A l'instar de TPM, Zero Trust, Secure Boot, compte microsoft.com, ...
#5
#6
Ils savent toujours pas dire comment ils ont été piraté ? Pour le coup ça fait vraiment pas sérieux vu l'acteur.
Vu ce que Microsoft fait à son propre gouvernement, le jour où il y aura suspicion de fuite chez nous, quand le gouvernement français posera des questions ils vont répondre "bonjour support technique Microsoft, pouvez vous faire la commande sfc /scannow sur votre machine ?"