Ces dernières années ont été difficiles pour les efforts de Microsoft en matière de sécurité et de confidentialité. Des points de terminaison mal configurés, des certificats de sécurité malveillants et des mots de passe faibles ont tous provoqué ou risqué l’exposition de données sensibles, et Microsoft a été critiqué par des chercheurs en sécurité, des législateurs américains et des agences de réglementation pour la façon dont il a répondu à ces menaces et les a divulguées.
La plus médiatisée de ces violations impliquait un groupe de piratage basé en Chine nommé Storm-0558, qui a violé le service Azure de Microsoft et collecté des données pendant plus d’un mois à la mi-2023 avant d’être découvert et chassé. Après des mois d’ambiguïté, Microsoft a révélé qu’une série de failles de sécurité ont donné à Storm-0558 l’accès au compte d’un ingénieur, ce qui a permis à Storm-0558 de collecter des données auprès de 25 clients Azure de Microsoft, y compris des agences fédérales américaines.
En janvier, Microsoft a révélé qu’il avait de nouveau été piraté, cette fois par le groupe de piratage informatique parrainé par l’État russe, Midnight Blizzard. Le groupe a pu « compromettre un ancien compte de locataire de test hors production » pour accéder aux systèmes de Microsoft pendant « jusqu’à deux mois ».
Tout cela a abouti à un rapport (PDF) du Cyber Safety Review Board des États-Unis, qui a fustigé Microsoft pour sa culture de sécurité « inadéquate », ses « déclarations publiques inexactes » et sa réponse aux failles de sécurité « évitables ».
Pour tenter de renverser la situation, Microsoft a annoncé ce qu’il a appelé la « Secure Future Initiative » en novembre 2023. Dans le cadre de cette initiative, Microsoft a annoncé aujourd’hui une série de plans et de changements à ses pratiques de sécurité, y compris quelques changements qui ont déjà été apportés. fait.
« Nous faisons de la sécurité notre priorité absolue chez Microsoft, avant tout, avant toutes les autres fonctionnalités », a écrit Charlie Bell, vice-président exécutif de la sécurité de Microsoft. « Nous élargissons la portée de SFI, en intégrant les récentes recommandations du CSRB ainsi que nos enseignements de Midnight Blizzard pour garantir que notre approche de cybersécurité reste robuste et adaptable à l’évolution du paysage des menaces.
Dans le cadre de ces changements, Microsoft fera également dépendre en partie la rémunération de son équipe de direction du fait que l’entreprise « respecte ses plans et ses objectifs de sécurité », bien que Bell n’ait pas précisé dans quelle mesure la rémunération des dirigeants dépendrait de la réalisation de ces objectifs de sécurité.
Le message de Microsoft décrit trois principes de sécurité (« sécurisé dès la conception », « sécurisé par défaut » et « opérations sécurisées ») et six « piliers de sécurité » destinés à remédier aux différentes faiblesses des systèmes et des pratiques de développement de Microsoft. La société affirme qu’elle prévoit de sécuriser 100 % de tous ses comptes d’utilisateurs avec « une authentification multifacteur gérée de manière sécurisée et résistante au phishing », d’appliquer le moindre privilège à toutes les applications et à tous les comptes d’utilisateurs, d’améliorer la surveillance et l’isolation du réseau et de conserver tous les journaux de sécurité du système. pendant au moins deux ans, entre autres promesses. Microsoft prévoit également de nommer de nouveaux directeurs adjoints de la sécurité de l’information dans différentes équipes d’ingénierie pour suivre leurs progrès et rendre compte à l’équipe de direction et au conseil d’administration.
En ce qui concerne les correctifs concrets que Microsoft a déjà mis en œuvre, Bell écrit que Microsoft a « mis en œuvre l’application automatique de l’authentification multifacteur par défaut sur plus d’un million de locataires Microsoft Entra ID au sein de Microsoft », supprimé 730 000 applications anciennes et/ou non sécurisées « à ce jour dans l’ensemble de la production. et les entreprises locataires », a étendu sa journalisation de sécurité et a adopté la norme Common Weakness Enumeration (CWE) pour ses informations de sécurité.
En plus des promesses de Bell en matière de sécurité publique, The Verge a obtenu et publié une note interne du PDG de Microsoft, Satya Nadella, qui souligne à nouveau l’engagement déclaré publiquement de l’entreprise en matière de sécurité. Nadella dit également que l’amélioration de la sécurité devrait avoir la priorité sur l’ajout de nouvelles fonctionnalités, ce qui peut affecter le flux constant d’ajustements et de modifications publiés par Microsoft pour Windows 11 et d’autres logiciels.
« Les récentes conclusions du Cyber Safety Review Board (CSRB) du ministère de la Sécurité intérieure concernant la cyberattaque Storm-0558, datant de l’été 2023, soulignent la gravité des menaces auxquelles notre entreprise et nos clients sont confrontés, ainsi que notre responsabilité de nous défendre contre ces menaces. des acteurs de menace de plus en plus sophistiqués », écrit Nadella. « Si vous êtes confronté à un compromis entre la sécurité et une autre priorité, votre réponse est claire : Faire de la sécurité. Dans certains cas, cela signifiera donner la priorité à la sécurité avant d’autres choses que nous faisons, comme la publication de nouvelles fonctionnalités ou la fourniture d’un support continu pour les systèmes existants. »