Les efforts de Microsoft en matière de sécurité et de protection de la vie privée ont connu deux années difficiles. Des terminaux mal configurés, des certificats de sécurité malveillants et des mots de passe faibles ont tous causé ou risqué de causer l'exposition de données sensibles, et Microsoft a été critiqué par des chercheurs en sécurité, des législateurs américains et des organismes de réglementation pour la façon dont il a répondu à ces menaces et les a divulguées.
Les violations les plus médiatisées ont impliqué un groupe de hackers basé en Chine, nommé Storm-0558, qui a réussi à pénétrer le service Azure de Microsoft et à collecter des données pendant plus d’un mois à la mi-2023 avant d’être découvert et évincé. Après des mois d’ambiguïté, Microsoft a révélé qu’une série de défaillances de sécurité avait permis à Storm-0558 d’accéder au compte d’un ingénieur, ce qui lui a permis de collecter des données de 25 clients Azure de Microsoft, y compris des agences fédérales américaines.
Fin janvier, Microsoft a reconnu une nouvelle violation de données, déclarant dans un rapport que des pirates informatiques affiliés à l'État russe se sont introduits dans son système de messagerie électronique interne et ont accédé aux comptes des membres de l'équipe dirigeante, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques. Microsoft a ajouté que l'intrusion a commencé fin novembre et a été découverte le 12 janvier.
Microsoft a attribué l'attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l'entreprise, il s'agit d'un groupe de pirates hautement qualifiés parrainés par l'État russe et qui sont à l'origine de l'intrusion dans les systèmes de SolarWinds il y a quelques années. La violation aurait permis aux pirates d'exfiltrer des identifiants de connexion qu'ils utiliseraient désormais afin de farfouiller dans les systèmes de Microsoft. L'entreprise a publié en mars un autre rapport qui révèle que le groupe a également volé du code source et qu'il était peut-être encore en train de fouiller dans ses systèmes informatiques internes.
« Ces dernières semaines, nous avons constaté que Midnight Blizzard utilisait des informations initialement exfiltrées de nos systèmes de messagerie d'entreprise dans le but d'obtenir, ou tenter d'obtenir, un accès non autorisé. Cela inclut l'accès à certains référentiels de code source de Microsoft et à des systèmes internes. À ce jour, nous n'avons trouvé aucune preuve que les systèmes clients hébergés par Microsoft ont été compromis », explique Microsoft dans un billet de blog.
Le groupe tenterait notamment d'utiliser « les secrets de différents types qu'il a trouvés » pour compromettre davantage Microsoft et potentiellement ses clients. « Certains de ces secrets ont été partagés entre des clients et Microsoft dans des courriels, et à mesure que nous les découvrons dans nos courriels exfiltrés, nous avons pris contact avec ces clients pour les aider à prendre des mesures d'atténuation », précise Microsoft. Il faut rappeler que l'attaque massive de SolarWinds en 2020 a compromis des milliers d'organisations, y compris des entités publiques américaines, dont les départements du Trésor et du Commerce.
L'obtention du code source est une grande victoire pour les pirates, car elle leur permet de découvrir le fonctionnement d'un logiciel et d'en détecter les faiblesses. Ces connaissances peuvent être utilisées ensuite pour lancer des attaques de suivi de manière inattendue. Microsoft est un géant mondial de la technologie dont les produits et services, comme Windows et Exchange, sont largement utilisés, y compris par l'establishment et agence de sécurité nationale. Ainsi, cette révélation a alarmé certains analystes qui ont fait part de leurs inquiétudes croissantes quant à la sécurité des systèmes et des services de Microsoft.
Une culture de la sécurité « inadéquate »
Certains analystes se sont inquiétés des risques pour la sécurité nationale américaine. « Le fait que l'un des plus grands fournisseurs de logiciels soit lui-même en train d'apprendre les choses au fur et à mesure est un peu effrayant. Vous n'avez pas l'assurance, en tant que client, qu'il ne se passe pas quelque chose de plus grave. Ces attaques témoignent également de l'agressivité des pirates », a déclaré Jerome Segura, chercheur principal chercheur en menace de la société de cybersécurité Malwarebytes. Segura a ajouté qu'il est déconcertant que l'attaque soit toujours en cours malgré les efforts déployés par Microsoft.
« C'est le genre de chose qui nous inquiète vraiment. L'acteur de la menace voudrait utiliser les secrets (de Microsoft) pour pénétrer dans les environnements de production, puis compromettre les logiciels et installer des portes dérobées et d'autres choses de ce genre », a déclaré Segura. Dans un document déposé auprès de la Securities and Exchange Commission (SEC), Microsoft a déclaré que l'attaque n'avait pas eu d'impact matériel sur ses activités, mais a averti que cela restait une possibilité, malgré des investissements accrus en matière de sécurité et la coordination avec les autorités chargées de l'application de la loi.
Tout cela a abouti à un rapport du US Cyber Safety Review Board, qui a fustigé Microsoft pour sa culture de sécurité « inadéquate », ses « déclarations publiques inexactes » et sa réponse à des failles de sécurité « évitables » :
La Commission estime que cette intrusion était évitable et n'aurait jamais dû se produire. La Commission conclut également que la culture de sécurité de Microsoft était inadéquate et nécessite une refonte, en particulier à la lumière du rôle central de la société dans l'écosystème technologique et du niveau de confiance que les clients placent dans la société pour protéger leurs données et leurs opérations. La Commission est parvenue à cette conclusion sur la base des éléments suivants :
- la cascade d'erreurs évitables de Microsoft qui ont permis à cette intrusion de réussir ;
- L'incapacité de Microsoft à détecter par elle-même la compromission de ses joyaux cryptographiques, en s'en remettant à un client pour identifier les anomalies qu'il avait observées ;
- l'évaluation par la Commission des pratiques de sécurité d'autres fournisseurs de services en nuage, qui ont mis en place des contrôles de sécurité que Microsoft n'a pas effectués ;
- Le fait que Microsoft n'ait pas détecté la compromission de l'ordinateur portable d'un employé d'une société récemment acquise avant de l'autoriser à se connecter au réseau d'entreprise de Microsoft en 2021 ;
- La décision de Microsoft de ne pas corriger, en temps opportun, ses déclarations publiques inexactes sur cet incident, y compris une déclaration d'entreprise selon laquelle Microsoft pensait avoir déterminé la cause première probable de l'intrusion alors qu'en fait, elle ne l'a toujours pas fait ; même si Microsoft a reconnu devant la Commission en novembre 2023 que son billet de blog du 6 septembre 2023 sur la cause première était inexact, elle n'a pas mis à jour ce billet avant le 12 mars 2024, alors que la Commission concluait son examen et seulement après les questions répétées de la Commission sur les plans de Microsoft pour publier une correction ;
- l'observation par la Commission d'un incident distinct, divulgué par Microsoft en janvier 2024, dont l'enquête n'était pas du ressort de la Commission, qui a révélé une compromission permettant à un acteur étatique différent d'accéder à des comptes de messagerie d'entreprise, à des référentiels de code source et à des systèmes internes hautement sensibles de Microsoft ; et
- la façon dont les produits omniprésents et critiques de Microsoft, qui sous-tendent des services essentiels soutenant la sécurité nationale, les fondements de notre économie, ainsi que la santé et la sécurité publiques, exigent que l'entreprise applique les normes les plus élevées en matière de sécurité, de responsabilité et de transparence.
Pour tenter de redresser la barre, Microsoft a annoncé en novembre 2023 ce qu'elle a appelé la « Secure Future Initiative »
En réponse, Microsoft a lancé l’initiative « Secure Future Initiative » (initiative pour un avenir sûr) en novembre 2023, annonçant une série de plans et de changements dans ses pratiques de sécurité, dont certains ont déjà été mis en œuvre. Dans le cadre de cette initiative, Microsoft a annoncé hier une série de plans et de modifications de ses pratiques de sécurité, y compris quelques changements déjà effectués.
Charlie Bell, vice-président exécutif de la sécurité chez Microsoft, a écrit : « Nous faisons de la sécurité notre priorité absolue chez Microsoft, avant tout le reste – avant toutes les autres fonctionnalités ». « Nous élargissons le champ d'application du SFI, en intégrant les récentes recommandations du CSRB ainsi que les enseignements tirés de Midnight Blizzard, afin de garantir que notre approche de la cybersécurité reste solide et adaptée à l'évolution du paysage des menaces ».
Dans le cadre de ces changements, la rémunération de l’équipe de direction senior de Microsoft dépendra en partie de la réalisation des plans et objectifs de sécurité de l’entreprise, bien que Bell n’ait pas précisé quelle part de la rémunération des dirigeants serait dépendante de ces objectifs de sécurité :
« Nous mobiliserons les piliers et les objectifs élargis de la SFI dans l'ensemble de Microsoft et cette dimension sera prise en compte dans nos décisions de recrutement. En outre, nous instillerons la responsabilité en basant une partie de la rémunération de l'équipe dirigeante de l'entreprise sur les progrès réalisés dans la mise en œuvre de nos plans et de nos étapes en matière de sécurité ».
Trois principes de sécurité
Le message de Microsoft décrit trois principes de sécurité (« secure by design », « secure by default » et « secure operations ») et six « piliers de sécurité » destinés à remédier aux différentes faiblesses des systèmes et des pratiques de développement de Microsoft. L'entreprise affirme qu'elle prévoit de sécuriser 100 % de ses comptes d'utilisateurs par une « authentification multifactorielle sécurisée et résistante à l'hameçonnage », d'appliquer l'accès au moindre privilège à toutes les applications et à tous les comptes d'utilisateurs, d'améliorer la surveillance et l'isolation du réseau et de conserver tous les journaux de sécurité du système pendant au moins deux ans, entre autres promesses. Microsoft prévoit également de nommer de nouveaux responsables adjoints de la sécurité de l'information au sein de différentes équipes d'ingénieurs afin de suivre leurs progrès et de rendre compte à l'équipe de direction et au conseil d'administration.
En ce qui concerne les solutions concrètes que Microsoft a déjà mises en œuvre, Bell écrit que Microsoft a « mis en œuvre l'application automatique de l'authentification multifactorielle par défaut sur plus d'un million de locataires Microsoft Entra ID au sein de Microsoft », supprimé 730 000 applications anciennes et/ou non sécurisées « à ce jour sur les locataires de production et d'entreprise », étendu sa journalisation de sécurité et adopté la norme CWE (Common Weakness Enumeration) pour ses divulgations de sécurité.
Conclusion
Cette initiative marque un tournant dans la manière dont les entreprises technologiques abordent la sécurité et la responsabilité, soulignant l’importance croissante de la cybersécurité dans le paysage des affaires modernes.
Sources : Microsoft, US Cyber Safety Review Board (au format PDF)
Quelle importance accordez-vous à la sécurité informatique dans le choix des produits technologiques que vous utilisez ?
Pensez-vous que lier la rémunération des dirigeants à la sécurité peut effectivement améliorer les pratiques de sécurité d’une entreprise ?
Comment évaluez-vous l’initiative ‘Secure Future Initiative’ de Microsoft par rapport aux efforts de sécurité d’autres entreprises technologiques ?
Quels impacts pensez-vous que cette politique aura sur la culture de la sécurité au sein des grandes entreprises ?
La transparence de Microsoft sur ses failles de sécurité change-t-elle votre perception de l’entreprise ?
Quelles mesures supplémentaires suggéreriez-vous pour renforcer la sécurité des services en ligne ?