Microsoft : le comité d’examen de la cybersécurité dénonce des défaillances en matière de sécurité

Dans un rapport publié mardi, le comité d’examen de la cybersécurité du ministère américain de la Sécurité intérieure estime que la culture de Microsoft en matière de sécurité est « inadéquate et nécessite une refonte ».

Le Comité d’examen de la cybersécurité (CSRB) a ouvert une enquête à la suite d’une cyberattaque très médiatisée que Microsoft a révélée en juillet de l’année dernière et au cours de laquelle un acteur malveillant de l’État-nation chinois, suivi sous la référence Storm-0558, s’est introduit dans les comptes de messagerie électronique de 22 organisations, dont certaines agences fédérales américaines. Les acteurs malveillants ont accédé aux comptes de messagerie en utilisant Outlook Web Access (OWA) dans Exchange Online et Outlook.com en forgeant des jetons d’authentification par le biais d’une clé de signature de compte Microsoft (MSA) volée.

Dans un avis publié à l’époque, l’Agence américaine de la cybersécurité et de la sécurité des infrastructures (Cisa) indiquait qu’une agence exécutive civile fédérale avait détecté une activité suspecte dans son environnement Microsoft 365 au cours du mois précédent ; la violation n’avait été détectée que parce que les licences 365 du gouvernement comprenaient des fonctions améliorées de journalisation dans le cloud qui, à l’époque, n’étaient disponibles qu’au niveau d’abonnement le plus élevé et le plus onéreux. Microsoft a résolu ce problème en septembre et a généralisé les fonctions de journalisation haut de gamme.

Le rapport du CSRB, daté du 20 mars et rendu public mardi soir, a été réalisé dans le but d’en savoir plus sur l’incident et les raisons pour lesquelles il s’est produit. La principale conclusion du CSRB est que « cette intrusion n’aurait jamais dû se produire ».

« Storm-0558 a pu réussir en raison d’une cascade de défaillances de sécurité chez Microsoft, comme le souligne ce rapport », ont écrit Robert Silvers, président du CSRB, et Dmitri Alperovitch, vice-président, dans l’introduction du rapport. « Aujourd’hui, le CSRB émet des recommandations à Microsoft pour s’assurer que cette entreprise critique, qui se trouve au centre de l’écosystème technologique, donne la priorité à la sécurité dans l’intérêt de ses plus d’un milliard de clients ».

« Le CSRB émet des recommandations à Microsoft pour s’assurer que cette entreprise critique [...] donne la priorité à la sécurité dans l’intérêt de ses plus d’un milliard de clients ».

Dans sa conclusion, le CSRB a estimé que « la culture de sécurité de Microsoft était inadéquate et nécessitait une refonte ». Selon le CSRB, Microsoft n’a pas détecté la compromission de ses joyaux cryptographiques et s’en est remis à un client – en l’occurrence, le département d’État américain – pour l’informer de l’activité de Storm-0558.

Le CSRB a également fondé ses conclusions sur l’absence, chez Microsoft, de contrôles de sécurité dont disposent d’autres fournisseurs de services cloud, sur l’attaque d’un État-nation russe dont Microsoft a été victime en janvier et sur la responsabilité de Microsoft, compte tenu de l’omniprésence et de l’importance de sa gamme de produits.

L’un des aspects les plus significatifs des conclusions du CSRB est que, selon le rapport, Microsoft ne sait toujours pas quand et comment la clé de signature MSA a été volée. En outre, le CSRB a critiqué l’entreprise pour avoir fait des déclarations publiques inexactes sur l’attaque et la manière dont la clé a été volée.

Dans un billet de blog publié en septembre, Microsoft a affirmé que la clé MSA avait été incluse par erreur dans un crash dump du système de signature des consommateurs au sein du réseau de l’entreprise ; le billet de blog indique que les acteurs de Storm-0558 ont obtenu les informations d’identification d’un ingénieur de Microsoft et ont utilisé le compte pour accéder à un environnement de débogage qui contenait la clé. Toutefois, l’enquête du CSRB a révélé que « Microsoft ne dispose d’aucune preuve ni d’aucun journal montrant la présence de la clé volée dans un crash dump ou son exfiltration à partir de celui-ci ». Le billet de blog de Microsoft n’a toutefois pas été mis à jour avant le 12 mars.

« La décision de Microsoft de ne pas corriger, en temps opportun, ses déclarations publiques inexactes sur cet incident, y compris une déclaration d’entreprise selon laquelle Microsoft pensait avoir déterminé la cause première probable de l’intrusion, alors qu’en fait, elle ne l’a toujours pas fait ; même si Microsoft a reconnu à la Commission en novembre 2023 que son billet de blog du 6 septembre 2023 sur la cause première était inexact, elle n’a pas mis à jour ce billet avant le 12 mars 2024, alors que la Commission concluait son examen, mais seulement après les questions répétées de la Commission sur les projets de Microsoft de publier une correction », peut-on lire dans le rapport.

Si certains détails du rapport sont nouveaux, nombre des critiques formulées à l’encontre des pratiques de Microsoft en matière de sécurité ne le sont pas. L’année dernière, des professionnels de l’informatique ont fait part à la rédaction de TechTarget de leurs frustrations concernant les pratiques de Microsoft en matière de sécurité. Les experts ont critiqué l’entreprise pour son manque de transparence, ses correctifs contournés et incomplets et ses pratiques de communication difficiles avec les chercheurs en sécurité.

En janvier, des dirigeants ont critiqué Microsoft pour sa gestion de la violation de cette année aux mains de Midnight Blizzard, un groupe d’un État-nation russe également connu sous le nom de Cozy Bear et APT29. Les experts en informatique ont attiré l’attention sur l’absence d’authentification à facteurs multiples (MFA) sur le compte du tenant de test compromis au centre de l’attaque et sur l’apparente vente de produits de sécurité par Microsoft dans un billet de blog sur la divulgation.

Le rapport du CSRB fait également référence à l’apparente priorité accordée par Microsoft aux affaires plutôt qu’à la sécurité : « tout au long de cet examen, la Commission a identifié une série de décisions opérationnelles et stratégiques de Microsoft qui, collectivement, témoignent d’une culture d’entreprise qui dé-privilégie à la fois les investissements dans la sécurité de l’entreprise et une gestion rigoureuse des risques », peut-on ainsi lire dans le rapport.

Dès lors, estiment les auteurs, « la direction de Microsoft devrait envisager d’ordonner aux équipes internes de l’entreprise de ne pas donner la priorité au développement de fonctionnalités dans l’infrastructure cloud et la gamme de produits de l’entreprise jusqu’à ce que des améliorations substantielles aient été apportées à la sécurité, afin d’éviter la concurrence pour les ressources ».