Secu
Les autorités américaines épinglent durement Microsoft et son approche interne de la cybersécurité
Par Laurent Delattre, publié le 03 avril 2024
Aïe… C’est ce qui s’appelle se faire taper sur les doigts ! Le CSRB vient de rendre son rapport sur les incidents de cybersécurité d’Exchange Online en 2023. Et Microsoft en prend pour son grade !
Souvenez-vous… En janvier 2002, Bill Gates publiait un célèbre mémo sur « l’informatique de confiance » (le Trust Computing) qui allait engendrer une véritable révolution de palais, envoyant tous les développeurs et responsables produits de l’éditeur en formation cyber, entraînant un arrêt des développements de nouvelles fonctionnalités pour fortifier Windows XP, et instaurant une volonté affirmée de faire de la cybersécurité une priorité…
« Mais avec le temps, Microsoft s’est éloignée de cette philosophie et doit la rétablir immédiatement en tant que priorité absolue de l’entreprise » conclut la lourde enquête du CSRB (Cyber Safety Review Board), enquête lancée après les failles de sécurité d’Exchange Online ayant permis à des pirates chinois d’espionner des comptes email de 500 hauts fonctionnaires américains.
À LIRE AUSSI :
Le rapport publié cette semaine par le CSRB est une véritable gifle infligée à Microsoft et sa gestion interne de la cybersécurité. « La Commission conclut que cette intrusion n’aurait jamais dû se produire. Storm-0558 a pu réussir grâce à une cascade de défaillances de sécurité chez Microsoft ».
Les 30 pages du rapport — qui analyse l’intrusion dans Exchange Online du cyber groupe Storm-0558 à l’été 2023 — sont une lourde charge contre Microsoft et son fonctionnement au moment des faits.
Le rapport constate que pour introduire les comptes email, les pirates ont utilisé des jetons d’authentification signés avec une clé émise par Microsoft en 2016. Selon le CSRB, Microsoft ignore toujours comment ces pirates ont obtenu la clé et constate que l’éditeur n’a non seulement jamais pu démontrer que celle-ci avait effectivement été récupérée depuis un dump mémoire post-crash (explication officiellement avancée par l’éditeur en 2023), mais ignore en réalité totalement ce qui s’est passé.
Plus grave encore, le CSRB estime qu’avec quelques bonnes pratiques communément appliquées par les acteurs du Cloud – y compris certains services Azure – (rotation des clés, limitation d’action des clés, etc.), l’incident aurait pu et aurait dû être évité !
Face à ce constat, le CSRB critique longuement la culture de sécurité chez Microsoft. Le rapport recommande à Satya Nadella et autres dirigeants de s’emparer totalement du sujet et de mettre en place une culture de la transparence, de mettre à jour les cadres de conformité et de sécurité et de mettre en place des normes d’audit en s’appuyant sur les recommandations du gouvernement américain.
Selon le CSRB, Microsoft « n’a pas accordé à la gestion des risques de sécurité la priorité qu’elle méritait compte tenu de la menace et de l’importance critique de la technologie Microsoft pour plus d’un milliard de clients dans le monde ». Et pan ! Ouille, ça fait mal… Et le CSRB enfonce un peu plus le clou : « La Commission a identifié une série de décisions opérationnelles et stratégiques de Microsoft qui, collectivement, témoignent d’une culture d’entreprise qui a négligé les investissements dans la sécurité de l’entreprise et la gestion rigoureuse des risques ». Et vlan !
Pour sa défense, Microsoft rappelle avoir – suite à ces incidents – lancé en fin d’année dernière sa « Secure Future Initiative » destinée à insuffler une nouvelle culture de l’ingénierie de la cybersécurité à travers toute l’entreprise.
“Certes”, lui répond en substance le CSRB qui écrit : « La commission est consciente des récents changements apportés par Microsoft à sa direction en matière de sécurité et de l’initiative “Secure Future” qu’elle a annoncée en novembre 2023. Elle estime néanmoins que ces efforts et d’autres efforts liés à la sécurité devraient être supervisés directement et étroitement par le CEO de Microsoft et son conseil d’administration, et que tous les hauts dirigeants devraient être tenus responsables de la mise en œuvre de tous les changements nécessaires avec la plus grande urgence ».
Affirmant étudier dans le détail toutes les recommandations émises par le CSRB, l’éditeur affirme que « bien qu’aucune organisation ne soit à l’abri d’une cyberattaque de la part d’adversaires disposant de ressources suffisantes, nous avons mobilisé nos équipes d’ingénieurs afin d’identifier et d’atténuer les infrastructures existantes, d’améliorer les processus et d’appliquer les normes de sécurité. Nos ingénieurs en sécurité continuent de renforcer tous nos systèmes contre les attaques et de mettre en place des capteurs et des journaux encore plus robustes pour nous aider à détecter et à repousser les cyberarmées de nos adversaires ».
Au début des années 2000, peu après le fameux mémo de Bill Gates qui faisait lui-même suite à de tristes failles de sécurité, Bernard Ourghanlian alors CTO et CSO de Microsoft France rappelait « la confiance est quelque chose que l’on met longtemps à construire, que l’on peut perdre en un instant et que l’on mettra plus longtemps encore à reconstruire. Chez Microsoft, nous allons devoir être patients et convaincants… ». En près de deux décennies, l’éditeur avait réussi à reconstruire son image et s’imposer en leader de la cybersécurité. Mais après un tel rapport du CSRB, c’est un peu comme si tout était à reconstruire…