Lorsque Microsoft a révélé en janvier que des pirates informatiques gouvernementaux étrangers avaient une fois de plus violé ses systèmes, la nouvelle a déclenché une nouvelle série de récriminations sur la posture de sécurité de la plus grande entreprise technologique du monde.
Malgré l’angoisse des décideurs politiques, des experts en sécurité et des concurrents, Microsoft n’a subi aucune conséquence de son dernier échec embarrassant. Le gouvernement américain a continué à acheter et à utiliser des produits Microsoft, et les hauts responsables ont refusé de réprimander publiquement le géant de la technologie. Cela nous rappelle à quel point Microsoft est désormais à l’écart de pratiquement toute responsabilité gouvernementale, alors même que l’administration Biden s’engage à obliger les puissantes entreprises technologiques à assumer davantage de responsabilités dans la cyberdéfense américaine.
Il est peu probable que cette situation change, même à la suite d’un nouveau rapport du Cyber Safety Review Board (CSRB), un groupe d’experts gouvernementaux et industriels, qui fustige Microsoft pour n’avoir pas réussi à empêcher l’un des pires incidents de piratage informatique de l’entreprise. histoire récente. Le rapport indique que « la culture de sécurité de Microsoft était inadéquate et nécessite une refonte ».
La position presque intouchable de Microsoft est le résultat de plusieurs facteurs entremêlés. C’est de loin le fournisseur technologique le plus important du gouvernement américain, alimentant les ordinateurs, la rédaction de documents et les conversations par courrier électronique partout, du Pentagone au Département d’État en passant par le FBI. C’est un partenaire essentiel dans les initiatives gouvernementales de cyberdéfense, avec des informations presque sans précédent sur les activités des pirates informatiques et des capacités considérables pour perturber leurs opérations. Et ses dirigeants et lobbyistes ont sans relâche présenté l’entreprise comme une force leader pour un monde numérique plus sûr.
Ces avantages enviables expliquent en partie pourquoi de hauts responsables gouvernementaux ont refusé de critiquer Microsoft, alors même que des pirates informatiques russes et chinois liés aux gouvernements ont piraté à plusieurs reprises les systèmes informatiques de l’entreprise, selon des experts en cybersécurité, des législateurs, d’anciens responsables gouvernementaux et des employés des concurrents de Microsoft.
Ces personnes – dont certaines ont requis l’anonymat pour discuter franchement du gouvernement américain et du géant incontesté de leur industrie – affirment que les relations du gouvernement avec Microsoft paralysent la capacité de Washington à repousser des cyberattaques majeures qui mettent en péril les données sensibles et menacent les services vitaux. À les entendre le dire, Microsoft aurait dû faire l’objet d’une surveillance.
Une histoire de violations et de controverses
Microsoft a un long historique de failles de sécurité, mais les dernières années ont été particulièrement mauvaises pour l’entreprise.
En 2021, des pirates informatiques du gouvernement chinois ont découvert et utilisé des failles dans les serveurs de messagerie de Microsoft pour pirater les clients de l’entreprise, puis les ont rendues publiques pour déclencher une frénésie d’attaques. En 2023, la Chine a pénétré par effraction dans les comptes de messagerie de 22 agences fédérales, espionnant de hauts responsables du Département d’État et la secrétaire au Commerce, Gina Raimondo, avant plusieurs voyages de la délégation américaine à Pékin. Il y a trois mois, Microsoft a révélé que des pirates informatiques du gouvernement russe avaient utilisé une astuce simple pour accéder aux e-mails de certains cadres supérieurs, cyber-experts et avocats de Microsoft. Le mois dernier, l’entreprise a déclaré que cette attaque avait également compromis une partie de son code source et des « secrets » partagés entre employés et clients. Jeudi, l’Agence de cybersécurité et de sécurité des infrastructures (CISA) a confirmé que ces clients comprenaient des agences fédérales et a publié une directive d’urgence avertissant les agences dont les e-mails étaient exposés de rechercher des signes indiquant que les pirates russes tentaient d’utiliser les informations de connexion contenues dans ces e-mails.
Ces incidents se sont produits alors que les experts en sécurité critiquaient de plus en plus Microsoft pour ne pas avoir corrigé rapidement et de manière adéquate les failles de ses produits. En tant que de loin le plus grand fournisseur de technologie du gouvernement américain, les vulnérabilités de Microsoft représentent la part du lion des failles logicielles nouvellement découvertes et les plus largement utilisées. De nombreux experts affirment que Microsoft refuse d’apporter les améliorations nécessaires en matière de cybersécurité pour suivre l’évolution des défis.
Microsoft n’a pas « adapté son niveau d’investissement en matière de sécurité et son état d’esprit pour s’adapter à la menace », déclare un éminent expert en cyberpolitique. « C’est une énorme connerie de la part de quelqu’un qui possède les ressources et la capacité d’ingénierie interne dont dispose Microsoft. »
Le CSRB du ministère de la Sécurité intérieure a approuvé ce point de vue dans son nouveau rapport sur l’intrusion chinoise de 2023, affirmant que Microsoft présentait « une culture d’entreprise qui a dépriorisé à la fois les investissements en matière de sécurité d’entreprise et la gestion rigoureuse des risques ». Le rapport critique également Microsoft pour avoir publié des informations inexactes sur les causes possibles de la dernière intrusion chinoise.
Les récentes violations révèlent l’incapacité de Microsoft à mettre en œuvre des défenses de sécurité de base, selon plusieurs experts.
Adam Meyers, vice-président senior du renseignement de la société de sécurité CrowdStrike, souligne la capacité des Russes à passer d’un environnement de test à un environnement de production. « Cela ne devrait jamais arriver », dit-il. Un autre cyberexpert qui travaille chez un concurrent de Microsoft a souligné la capacité de la Chine à espionner les communications de plusieurs agences via une seule intrusion, faisant écho au rapport du CSRB, qui critiquait le système d’authentification de Microsoft pour permettre un large accès avec une seule clé de connexion.
« Vous n’entendez pas parler de ce type de violations de la part d’autres fournisseurs de services cloud », déclare Meyers.
Selon le rapport du CSRB, Microsoft « n’a pas suffisamment accordé la priorité à la réarchitecture de son infrastructure existante pour faire face au paysage actuel des menaces ».
En réponse à des questions écrites, Microsoft a déclaré à WIRED qu’il améliorait de manière agressive sa sécurité pour répondre aux incidents récents.
« Nous nous engageons à nous adapter à l’évolution du paysage des menaces et à établir des partenariats entre l’industrie et le gouvernement pour nous défendre contre ces menaces mondiales croissantes et sophistiquées », déclare Steve Faehl, directeur de la technologie pour l’activité de sécurité fédérale de Microsoft.
Dans le cadre de son initiative Secure Future lancée en novembre, explique Faehl, Microsoft a amélioré sa capacité à détecter et bloquer automatiquement les abus sur les comptes des employés, a commencé à rechercher davantage de types d’informations sensibles dans le trafic réseau, a réduit l’accès accordé par les clés d’authentification individuelles, et a créé de nouvelles exigences d’autorisation pour les employés cherchant à créer des comptes d’entreprise.
Microsoft a également redéployé « des milliers d’ingénieurs » pour améliorer ses produits et a commencé à convoquer les cadres supérieurs pour des mises à jour de statut au moins deux fois par semaine, explique Faehl.
La nouvelle initiative représente « la feuille de route et les engagements de Microsoft pour répondre à une grande partie de ce que le rapport CSRB qualifie de priorités », déclare Faehl. Pourtant, Microsoft n’accepte pas que sa culture de sécurité soit brisée, comme le soutient le rapport CSRB. « Nous sommes totalement en désaccord avec cette caractérisation », dit Faehl, « même si nous convenons que nous n’avons pas été parfaits et que nous avons du travail à faire. »