• Une analyse de l'attaque contre le service de messagerie hébergé Exchange Online de Microsoft a révélé que l'incident aurait pu être évité, en plus de la culture laxiste de Microsoft en matière de sécurité informatique.
  • Microsoft a été critiqué pour ses lents efforts visant à rectifier les informations publiques.
  • Microsoft ne semble pas avoir accordé une priorité suffisante à la reconstruction de son infrastructure héritée pour faire face au paysage actuel des menaces.

Les cyber-raids peuvent être évités

Une analyse de l'attaque de juin 2023 contre le service de messagerie hébergé Exchange Online de Microsoft a révélé que l'incident aurait pu être évité sans la culture laxiste de l'entreprise en matière de sécurité informatique et ses précautions insuffisantes en matière de sécurité du cloud.

L'analyse, menée par le Cybersecurity Review Board (CSRB) de l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA), a appelé à un « changement culturel rapide » chez Microsoft. Les recommandations du comité incluent:

Les clients de Microsoft bénéficieront d'une attention directe du PDG et du conseil d'administration sur la culture de sécurité et de l'élaboration et du partage public de plans avec des calendriers précis pour apporter des changements fondamentaux axés sur la sécurité à l'ensemble de l'entreprise et à sa gamme de produits;

Le PDG devrait tenir les hauts responsables pour responsables de la mise en œuvre du programme;

La direction de Microsoft devrait envisager de demander aux équipes internes de réduire la priorité du développement de fonctionnalités pour l'infrastructure cloud et les suites de produits jusqu'à ce que des améliorations de sécurité substantielles soient apportées afin d'éliminer la concurrence pour les ressources;

Les risques de sécurité doivent être pleinement et correctement évalués et traités avant le déploiement de nouvelles capacités.

Ce langage fort survient en réponse à l'attaque, qu'il attribue à une « litanie d'erreurs évitables de la part de Microsoft ».

Lire aussi: Microsoft et Epic réduisent leurs investissements dans les jeux indépendants

Responsabilité de l'attaque

Le rapport du CSRB [PDF] a imputé l'attaque aux pratiques de rotation des clés utilisées pour protéger les comptes de service Microsoft (MSA), le système de gestion des identités qui alimente les services cloud du géant du logiciel pour les consommateurs.

Le MSA a été conçu au début des années 2000 sans processus automatique de rotation ou de désactivation des clés de signature. En conséquence, Microsoft gérait les clés manuellement, mais a cessé de le faire en 2021 après que cette pratique a entraîné des pannes majeures du cloud.

Ainsi, lorsque Storm-0558 a obtenu une clé créée en 2016 (qui aurait dû être désactivée), il a pu accéder à la version d'Outlook Web Access destinée aux consommateurs. Les choses se sont aggravées à partir de là, car une faille dans le système de Microsoft signifiait que la clé MSA de 2016 pouvait créer des jetons permettant d'accéder aux comptes de messagerie d'entreprise, et pas seulement aux services grand public gérés par la création MSA. En conséquence, Storm-0558 a pu créer des jetons lui donnant accès à des clients Microsoft, comme le département d'État américain.

Le gang a fait exactement cela, volant environ 60 000 courriels du département, ainsi qu'une liste d'adresses e-mail de tous les employés.

Le rapport note que si d'autres fournisseurs de cloud sont meilleurs en matière de rotation des clés et de mise en œuvre d'autres contrôles de sécurité, Microsoft ne l'est pas. En conséquence, le rapport critique Microsoft pour ne pas avoir été en mesure de détecter la fuite de ses clés.

Microsoft a également été critiqué pour ses lents efforts visant à corriger les informations publiques. Redmond a affirmé que l'attaque était possible parce qu'une clé de chiffrement en or était présente dans un vidage sur erreur qui s'est retrouvé dans un environnement de débogage connecté à Internet. Mais Microsoft n'a jamais prouvé cette théorie.

Ignorer la gestion des risques de sécurité

Un autre thème du rapport est que Microsoft « ne place pas la gestion des risques de sécurité à un niveau proportionné à la menace ou à l'importance critique de la technologie Microsoft pour ses plus de 1 milliard de clients dans le monde ».

Les enquêteurs ont examiné les pairs multi-cloud de Microsoft et les ont trouvés plus prudents que le géant de Windows. « Microsoft n'a pas suffisamment donné la priorité à la reconstruction de son infrastructure héritée pour répondre au paysage actuel des menaces », ont constaté les auteurs.