Secu
Microsoft sous le coup d’une nouvelle investigation… aux US
Par Laurent Delattre, publié le 22 août 2023
Il n’y a pas que les pratiques commerciales de Microsoft qui sont désormais scrutées par des organismes d’État. Ses pratiques en matière de cybersécurité sont aussi examinées de très près par une agence gouvernementale américaine alors que les critiques se multiplient, tout comme les failles.
Microsoft est l’un si ce n’est le plus gros acteur de la cybersécurité. Parallèlement, Microsoft est aussi l’éditeur du système d’exploitation de PC le plus utilisé en entreprise (Windows) et l’éditeur de la plateforme collaborative la plus utilisée dans le monde (Office/Microsoft 365) ce qui en fait par voie de conséquence l’éditeur le plus attaqué au monde !
Et l’année 2023 a été particulièrement mouvementée pour l’éditeur entre des attaques sur ses messageries Exchange qui ont compromis une série d’agences gouvernementales, des attaques DDOS massives sur ses infrastructures Azure et plus récemment (en juillet) le vol d’une clé de signature exploitée par des hackers chinois pour falsifier les jetons d’authentification aux comptes Outlook.
Autant d’incidents dénoncés par un sénateur américain, Ron Wyden, qui a ouvertement demandé au ministère de la Justice, à la Commission fédérale du commerce et à l’agence de cybersécurité CISA d’ouvrir une enquête sur les « pratiques laxistes de Microsoft en matière de cybersécurité » ayant « permis à la Chine de mener avec succès une campagne d’espionnage contre le gouvernement des États-Unis ».
Sans compter que dans le même temps, Amit Yoran, CEO de Tenable, menait de son côté une lourde charge verbale contre l’éditeur au travers d’un post LinkedIn, face au manque de réactivité de l’éditeur après que les chercheurs de sa société aient découvert une faille critique dans Azure. Il accuse la firme de Redmond de « manquer de transparence sur les failles » et de « pratiques de cybersécurité irresponsables ».
À LIRE AUSSI :
Il n’en fallait pas plus pour réveiller l’attention des « gendarmes » du CSRB (Cyber Security Review Board). L’organe américain chargé d’examiner les incidents majeurs de cybersécurité a officiellement ouvert une enquête sur les derniers incidents de cybersécurité et les pratiques cybersécurité de Microsoft. Fondé par Biden en 2021, le CSRB n’est pas là pour condamner qui que ce soit mais pour identifier les menaces Cyber, analyser les événements majeurs affectant le gouvernement américain ou les infrastructures vitales US et formuler des recommandations.
Reste que pour l’éditeur, cette enquête tombe mal alors que l’Europe a de son côté ouvert des enquêtes sur ses pratiques commerciales autour d’Azure et sur les pratiques anticoncurrentielles liées à l’intégration de Teams dans Office/Microsoft 365.
Microsoft se retrouve ainsi au cœur de multiples enquêtes qui risquent au final d’atteindre son image et au final de faire perdre du crédit à l’éditeur et à ses solutions. « La confiance est fragile, longue à bâtir, et peut être perdue en un instant » dit un adage populaire. Elle est aussi très longue à rebâtir. Microsoft a mis près de 20 ans à se remettre de la perte de confiance (en matière cybersécurité) engendrée par la vague Code Red, Nimda et Slammer, qui fut, rappelons-le, à l’origine du célèbre mémo « Trustworthy computing » de Bill Gates en 2002 et du virage de Microsoft en matière de pratiques cybersécurité. Attention à ne pas reproduire les erreurs passées…
À LIRE AUSSI :
À LIRE AUSSI :