Microsoft a annoncé que la rémunération de ses dirigeants serait désormais liée à la sécurité de l’entreprise, suite à une série d’échecs et de violations de sécurité. Cette décision fait suite à des critiques concernant des failles de sécurité jugées « évitables » et une communication estimée insuffisante.Les efforts de Microsoft en matière de sécurité et de protection de la vie privée ont connu deux années difficiles. Des terminaux mal configurés, des certificats de sécurité malveillants et des mots de passe faibles ont tous causé ou risqué de causer l'exposition de données sensibles, et Microsoft a été critiqué par des chercheurs en sécurité, des législateurs américains et des organismes de réglementation pour la façon dont il a répondu à ces menaces et les a divulguées.
Les violations les plus médiatisées ont impliqué un groupe de hackers basé en Chine, nommé Storm-0558, qui a réussi à pénétrer le service Azure de Microsoft et à collecter des données pendant plus d’un mois à la mi-2023 avant d’être découvert et évincé. Après des mois d’ambiguïté, Microsoft a révélé qu’une série de défaillances de sécurité avait permis à Storm-0558 d’accéder au compte d’un ingénieur, ce qui lui a permis de collecter des données de 25 clients Azure de Microsoft, y compris des agences fédérales américaines.
Fin janvier, Microsoft a reconnu une nouvelle violation de données, déclarant dans un rapport que des pirates informatiques affiliés à l'État russe se sont introduits dans son système de messagerie électronique interne et ont accédé aux comptes des membres de l'équipe dirigeante, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques. Microsoft a ajouté que l'intrusion a commencé fin novembre et a été découverte le 12 janvier.
Microsoft a attribué l'attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l'entreprise, il s'agit d'un groupe de pirates hautement qualifiés parrainés par l'État russe et qui sont à l'origine de l'intrusion dans les systèmes de SolarWinds il y a quelques années. La violation aurait permis aux pirates d'exfiltrer des identifiants de connexion qu'ils utiliseraient désormais afin de farfouiller dans les systèmes de Microsoft. L'entreprise a publié en mars un autre rapport qui révèle que le groupe a également volé du code source et qu'il était peut-être encore en train de fouiller dans ses systèmes informatiques internes.
« Ces dernières semaines, nous avons constaté que Midnight Blizzard utilisait des informations initialement exfiltrées de nos systèmes de messagerie d'entreprise dans le but d'obtenir, ou tenter d'obtenir, un accès non autorisé. Cela inclut l'accès à certains référentiels de code source de Microsoft et à des systèmes internes. À ce jour, nous n'avons trouvé aucune preuve que les systèmes clients hébergés par Microsoft ont été compromis », explique Microsoft dans un billet de blog.
Le groupe tenterait notamment d'utiliser « les secrets de différents types qu'il a trouvés » pour compromettre davantage Microsoft et potentiellement ses clients. « Certains de ces secrets ont été partagés entre des clients et Microsoft dans des courriels, et à mesure que nous les découvrons dans nos courriels exfiltrés, nous avons pris contact avec ces clients pour les aider à prendre des mesures d'atténuation », précise Microsoft. Il faut rappeler que l'attaque massive de SolarWinds en 2020 a compromis des milliers d'organisations, y compris des entités publiques américaines, dont les départements du Trésor et du Commerce.
L'obtention du code source est une grande victoire pour les pirates, car elle leur permet de découvrir le fonctionnement d'un logiciel et d'en détecter les faiblesses. Ces connaissances peuvent être utilisées ensuite pour lancer des attaques de suivi de manière inattendue. Microsoft est un géant mondial de la technologie dont les produits et services, comme Windows et Exchange, sont largement utilisés, y compris par l'establishment et agence de sécurité nationale. Ainsi, cette révélation a alarmé certains analystes qui ont fait part de leurs inquiétudes croissantes quant à la sécurité des systèmes et des services de Microsoft.
Une culture de la sécurité « inadéquate »
Certains analystes se sont inquiétés des risques pour la sécurité nationale américaine. « Le fait que l'un des plus grands fournisseurs de logiciels soit lui-même en train d'apprendre les choses au fur et à mesure est un peu effrayant. Vous n'avez pas l'assurance, en tant que client, qu'il ne se passe pas quelque chose de plus grave. Ces attaques témoignent également de l'agressivité des pirates », a déclaré Jerome Segura, chercheur principal chercheur en menace de la société de cybersécurité Malwarebytes. Segura a ajouté qu'il est déconcertant que l'attaque soit toujours en cours malgré les efforts déployés par Microsoft.
« C'est le genre de chose qui nous inquiète vraiment. L'acteur de la menace voudrait utiliser les secrets (de Microsoft) pour pénétrer dans les environnements de production, puis compromettre les...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Jules34
Quelle est la responsabilité des employés en matière de sécurité ? Pensez-vous que les employés devraient être évalués sur leur engagement envers la sécurité ? Comment cela pourrait-il affecter leur travail au quotidien ?