Au cours de la première quinzaine de juillet, Microsoft a révélé que le groupe de hackers chinois Storm-0558 avait eu accès aux courriers électroniques d’environ 25 organisations, dont des agences du gouvernement américain. Aujourd’hui, l’entreprise est expliquant comment cela s’est produit grâce à une série d’erreurs internes, tout en soulignant clairement à quel point il est de la responsabilité de maintenir une infrastructure logicielle massive et croissante dans un monde de plus en plus précaire sur le plan numérique.
Selon le résumé de l’enquête de Microsoft, Storm-0558 a pu accéder aux e-mails de l’entreprise et du gouvernement en obtenant une « clé client de compte Microsoft », qui leur a permis de créer des jetons d’accès aux comptes de leurs cibles.
Storm-0558 a obtenu la clé après qu’une série d’événements de type machine de Rube Goldberg ait placé la clé quelque part où elle n’aurait jamais dû être en premier lieu. La société écrit que lorsque le système a créé un instantané de débogage d’un processus qui s’est écrasé, il n’a pas supprimé, comme il aurait dû le faire, le soi-disant « vidage sur incident » de toutes les informations sensibles, laissant la clé en place.
Les systèmes de Microsoft auraient quand même dû détecter les « éléments clés » dans le vidage sur incident, mais apparemment, ils ne l’ont pas fait. Ainsi, lorsque les ingénieurs de l’entreprise ont découvert le dump, ils ont supposé qu’il ne contenait aucune donnée sensible et l’ont transféré, avec la clé et tout, du « réseau de production isolé » vers l’environnement de débogage de l’entreprise.
Ensuite, une autre sécurité intégrée – une analyse des informations d’identification qui aurait également dû détecter la clé – n’a pas permis de constater que la clé était là. La porte finale est tombée lorsque Storm-0558 a réussi à compromettre le compte d’entreprise d’un ingénieur Microsoft, donnant aux pirates informatiques l’accès à l’environnement de débogage dont ils n’auraient jamais dû avoir la clé au départ.
Microsoft écrit qu’il ne dispose d’aucun journal prouvant que c’est ainsi que la clé a été extraite de ses systèmes, mais affirme que c’est « le plus probable ». itinéraire emprunté par les pirates.
Il y a un dernier truc : c’était un consommateur clé, mais il permet aux acteurs de la menace d’accéder aux comptes Microsoft de l’entreprise. Microsoft affirme avoir commencé à utiliser la publication de métadonnées clés communes en 2018 en réponse à la demande de logiciels de support fonctionnant à la fois pour les comptes grand public et d’entreprise.
La société a ajouté cette prise en charge, mais elle n’a pas réussi à effectuer les mises à jour appropriées des systèmes utilisés pour authentifier les clés, c’est-à-dire pour déterminer s’il s’agit de clés grand public ou d’entreprise. Les ingénieurs du système de messagerie, en supposant que les mises à jour avaient été effectuées, n’ont intégré aucune authentification supplémentaire, laissant le système de messagerie aveugle au type de clé utilisée.
En bref, ces bibliothèques avaient-elles été correctement mises à jour, même si tous les autres points de défaillanceles pirates de Storm-0558 n’auraient peut-être pas pu accéder aux comptes de messagerie d’entreprise utilisés par les entreprises qu’ils ciblaient.
Microsoft affirme avoir corrigé tous les problèmes ci-dessus, y compris l’erreur qui envoyait la clé de signature au vidage sur incident en premier lieu. L’entreprise ajoute dans son message qu’elle « renforce continuellement les systèmes ». Microsoft est de plus en plus critiqué pour ses pratiques de sécurité, que le sénateur Ron Wyden (D-OR) et le PDG de Tenable, Amit Yoran, ont qualifiées de « négligentes », Yoran accusant Microsoft d’être trop lent à réagir à ses failles de sécurité.