Cloud : Microsoft va étendre la journalisation gratuite

En réponse aux récentes attaques de cyberespionnage, Microsoft a annoncé mercredi qu'il fournira à ses clients une gamme plus large de données de journalisation en cloud sans coût supplémentaire.

L'annonce de Microsoft est survenue en réponse aux critiques que l’éditeur a dû affronter au cours de la semaine passée concernant l'absence de données de journalisation pour certaines licences de ses services Cloud. Ces critiques faisaient suite à une série d'attaques provenant d'un acteur malveillant basé en Chine qui a violé les comptes de courrier électronique d'environ 25 organisations, y compris plusieurs agences fédérales américaines.

L'acteur malveillant, que Microsoft a désigné sous la référence Storm-0558, a utilisé une clé de compte Microsoft (MSA) volée pour fabriquer des jetons d'accès qui lui ont permis d'accéder à des comptes de courrier électronique dans Outlook Web Access en mode cloud sur Exchange Online et Outlook.com. Cette activité malveillante a été initialement découverte en juin par une agence exécutive civile fédérale non nommée, qui a signalé l'attaque à Microsoft.

Dans une note d'information concernant les attaques, l’agence américain de la sécurité des infrastructures et de la cybersécurité (CISA) a souligné que l'agence fédérale concernée n'a pu détecter l'intrusion que parce qu'elle avait activé une journalisation améliorée pour ses services Microsoft 365. Cela a fourni à l'équipe de sécurité de l'agence des données pertinentes sur les comptes de messagerie compromis.

« La CISA et le FBI ne sont pas au courant d'autres journaux d'audit ou d'événements qui auraient détecté cette activité », précise la note. Dès lors, « il est fortement recommandé aux organisations d'infrastructure critique de mettre en œuvre les recommandations de journalisation de cet avis pour améliorer leur posture de cybersécurité et se positionner pour détecter une activité malveillante similaire ».

Cependant, ces données de journalisation Cloud améliorées n'étaient disponibles que pour les organisations disposant d'accords de licence E5 ou G5 – le niveau d'abonnement le plus élevé et le plus coûteux pour les services de Microsoft. En conséquence, de nombreux experts en sécurité informatique et responsables gouvernementaux, dont l'ancien directeur national américain du cyber, Chris Inglis, ont poussé Microsoft à fournir des capacités supplémentaires de journalisation gratuites aux clients de ses services Cloud, afin qu'ils puissent mieux se défendre contre les cybermenaces.

Microsoft a répondu mercredi par un billet de blog de Vasu Jakkal, vice-président corporate en charge de la sécurité, de la conformité, de l'identité et de la gestion chez Microsoft. Vasu Jakkal y indique qu'à partir de septembre, l’éditeur fournira aux abonnés standard une gamme plus large de journaux pour ses services Cloud au sein de Microsoft Purview Audit, y compris des journaux plus détaillés pour l'accès aux emails ainsi que 30 autres types de données de log qui étaient auparavant limités aux abonnés premium. Il a également déclaré que Microsoft augmentera la période de rétention par défaut des journaux pour les clients standard de Purview Audit de 90 jours à 180 jours.

« Les nouvelles d'aujourd'hui sont le résultat de notre étroite collaboration avec la CISA, qui a appelé l'industrie à agir afin de mieux se protéger contre d'éventuelles cyberattaques », indique Vasu Jakkal. « Cela reflète également notre engagement à dialoguer avec nos clients, partenaires et régulateurs pour répondre aux besoins de sécurité en constante évolution du monde moderne ».

La directrice de la CISA, Jen Easterly, a salué la décision de Microsoft : « grâce à une étroite collaboration avec nos partenaires chez @Microsoft, je suis ravie d'annoncer que nous avons atteint une étape importante pour rendre la journalisation plus accessible aux entités gouvernementales et commerciales », a-t-elle déclaré dans un tweet.

Eric Goldstein, directeur adjoint exécutif pour la cybersécurité à la CISA, a écrit dans un billet de blog que l'agence a travaillé avec Microsoft au cours des « derniers mois » pour identifier les types de journaux nécessaires à la détection les cyberattaques : « alors que les fournisseurs peuvent offrir un accès plus large aux journaux à des niveaux de licence cloud spécifiques, cette approche rend plus difficile l'investigation des intrusions ». Car « demander aux organisations de payer plus pour des journaux nécessaires est une recette pour une visibilité insuffisante dans l'investigation des incidents de cybersécurité et peut permettre aux adversaires d'avoir des niveaux de succès dangereux dans la cible des organisations américaines ».

Dès lors, Eric Goldstein a salué cette initiative de Microsoft et a déclaré qu'il s'agissait d'une avancée significative vers le principe de « sécurité intégrée dès la conception » promu par la CISA : « bien que nous comprenions que la mise en œuvre d'une telle étape majeure prendra du temps, cet effort renforcera la défense contre les cybermenaces et la réponse aux incidents pour chaque client de Microsoft ».