Getty Images
Un comité fédéral d’examen de la cybersécurité a publié son rapport sur ce qui a conduit à la capture, l’été dernier, de centaines de milliers d’e-mails par des pirates chinois provenant de clients du cloud, y compris d’agences fédérales. Il cite « une cascade de failles de sécurité chez Microsoft » et constate que « la culture de sécurité de Microsoft était inadéquate » et doit s’adapter à une « nouvelle normalité » de ciblage des fournisseurs de cloud.
Le rapport, mandaté par le président Biden à la suite de cette intrusion de grande envergure, détaille les mesures prises par Microsoft avant, pendant et après la violation et constate dans chaque cas un échec critique. La violation était « évitable », même s’il cite Microsoft comme ne sachant pas précisément comment Storm-0558, un « groupe de piratage considéré comme affilié à la République populaire de Chine », est entré.
« Tout au long de cet examen, le conseil d’administration a identifié une série de décisions opérationnelles et stratégiques de Microsoft qui, collectivement, mettent en évidence une culture d’entreprise qui a dépriorisé à la fois les investissements en matière de sécurité de l’entreprise et une gestion rigoureuse des risques », indique le rapport.
Le rapport note que Microsoft « a pleinement coopéré à l’examen du Conseil ». Un porte-parole de Microsoft a publié une déclaration concernant le rapport. « Nous apprécions le travail du CSRB pour enquêter sur l’impact des acteurs de la menace étatique dotés de ressources suffisantes qui opèrent en permanence et sans dissuasion significative », indique le communiqué. « Comme nous l’avons annoncé dans notre initiative pour un avenir sécurisé, les événements récents ont démontré la nécessité d’adopter une nouvelle culture de l’ingénierie de la sécurité dans nos propres réseaux« . En plus de renforcer ses systèmes et de mettre en œuvre davantage de capteurs et de journaux pour « détecter et repousser les cyber-armées de nos adversaires », Microsoft a déclaré qu’il « examinerait le rapport final pour des recommandations supplémentaires ».
« Déclarations publiques inexactes » et mystères non résolus
Le Cyber Safety Review Board (CSRB), créé il y a deux ans, est composé de représentants du gouvernement et de l’industrie, issus d’entités telles que les ministères de la Sécurité intérieure, de la Justice et de la Défense, la NSA, le FBI et d’autres. Microsoft fournit des services basés sur le cloud, notamment Exchange et Azure, à de nombreuses agences gouvernementales, notamment les consulats.
Microsoft a déjà proposé une version de l’histoire de l’intrusion, qui évite notamment les mots « vulnérabilité », « exploit » ou « jour zéro ». Un article de Microsoft de juillet 2023 citait une clé de signature inactive acquise par Storm-0558, qui a ensuite été utilisée pour forger des jetons pour le service cloud Azure AD qui stocke les clés de connexion. Cela a été « rendu possible par une erreur de validation dans le code Microsoft », a écrit Microsoft.
Le Congrès et les agences gouvernementales ont appelé Microsoft à offrir beaucoup plus de divulgation, et d’autres, y compris le PDG de Tenable, ont proposé des évaluations encore plus sévères. En septembre, l’entreprise les a rencontrés à mi-chemin. Il s’agit du compte d’un ingénieur qui a été piraté, a affirmé Microsoft, donnant aux attaquants l’accès à un poste de travail prétendument verrouillé, à la clé de signature du consommateur et, surtout, à l’accès aux vidages sur incident transférés dans un environnement de débogage. Une « condition de concurrence critique » a empêché le fonctionnement d’un mécanisme qui supprime les clés de signature et autres données sensibles des vidages sur incident. De plus, des « erreurs humaines » ont permis d’utiliser une clé de signature expirée pour forger des jetons pour les offres des entreprises modernes.
Ce type de déclarations publiques non révélatrices et retenues a été cité par le CSRB dans sa conclusion sur les échecs de Microsoft. Le rapport cite « la décision de Microsoft de ne pas corriger, en temps opportun, ses déclarations publiques inexactes sur cet incident, y compris une déclaration de l’entreprise selon laquelle Microsoft pensait avoir déterminé la cause profonde probable de l’intrusion alors qu’en réalité, elle ne l’a toujours pas fait. » Il note également que Microsoft n’a mis à jour son article de blog de septembre 2023 sur la cause de l’invasion qu’en mars 2024, « alors que le Conseil terminait son examen et seulement après les questions répétées du Conseil sur les projets de Microsoft de publier une correction ». (Le billet de blog mis à jour indique que Microsoft « n’a pas trouvé de vidage sur incident contenant les éléments de clé concernés. »)
Diagramme CSRB détaillant comment la violation Exchange 2023 de Microsoft a été perpétrée.
CSRB