Outils pour utilisateurs

Outils du site


wiki:securite:menaces:menace_storm-0558

Storm-0558

Microsoft, une menace fédérale

Le gouvernement américain demande à Microsoft de renforcer sa sécurité avant d'ajouter de nouvelles fonctionnalités.

Microsoft a perdu un code de sécurité spécial permettant d'accéder à l'ensemble de son système de messagerie, ce qui a conduit au piratage du gouvernement des États-Unis en 2023 par la Chine (60 000 courriels).

Le Département d'État américain n'a pu enquêter sur la violation que parce qu'il a utilisé un plan Microsoft plus cher, qui permettait l'accès aux journaux (une fonctionnalité qui jusqu'alors n'était pas disponible dans les plans moins chers).

Le tollé a été énorme et le Département de la sécurité intérieure a annoncé qu'il allait créer un comité d'examen de la cybersécurité (CSRB) pour examiner les pratiques de sécurité cloud de Microsoft.

Le rapport conclut que « l'intrusion de Storm-0558, un groupe de pirates informatiques considéré comme affilié à la République populaire de Chine, aurait pu être évitée ». La violation de données « n'aurait jamais dû se produire ». Microsoft ne sait toujours pas exactement comment les Chinois ont pu accéder aux boîtes aux lettres Microsoft Exchange Online.

Microsoft a commis une « cascade d’erreurs évitables » qui résulte directement d’une mauvaise culture de sécurité. Par exemple, la clé utilisée pour accéder aux comptes de messagerie aurait déjà dû être désactivée en 2021 et n’aurait jamais dû permettre d’accéder aux comptes de messagerie du ministère des Affaires étrangères.

« La culture de sécurité de Microsoft était inadéquate et nécessite une refonte. »

Cascade d'erreurs Microsoft

  1. L’ancienne clé de signature utilisée par les pirates chinois pour pénétrer dans le système aurait déjà dû être désactivée en 2016.
  2. Microsoft aurait dû passer d'une rotation manuelle des clés à une rotation automatisée (ce qui aurait automatiquement désactivé l'ancienne clé - mais ne l'a pas fait).
  3. La clé fonctionnait comme une porte dérobée vers les réseaux grand public et professionnels, ce qui constitue une violation des protocoles de sécurité.
  4. Un ingénieur d'une entreprise acquise par Microsoft en 2020 travaillait sur un ordinateur portable compromis et a accédé au réseau de l'entreprise à partir de cette machine en 2021. Il n'est pas certain que cet ordinateur portable soit la cause première, mais Microsoft a publié une mise à jour en mars 2024 qui indiquait qu'un « compte d'ingénierie compromis » était la « principale hypothèse » pour la cause de la violation.
  5. Au lieu de laisser cette compromission passer inaperçue, Microsoft aurait dû procéder à une évaluation appropriée de la sécurité du réseau de l'entreprise après son acquisition (ce qu'elle n'a pas fait).

Dans l’ensemble, cette chaîne d’erreurs montre que la sécurité n’est pas la priorité de Microsoft, ce que critique vivement le rapport.

Microsoft est le principal fournisseur de nombreux gouvernements - pas seulement aux États-Unis, mais dans de nombreux autres pays européens.

Les grands fournisseurs de cloud, comme Google, Apple, Amazon et Microsoft, sont des cibles lucratives pour les adversaires des pays occidentaux et doivent se concentrer sur la sécurité.

En 2020, des pirates informatiques russes, toujours financés par le gouvernement russe, ont réussi à attaquer le logiciel réseau de SolarWind, grâce auquel ils ont pu siphonner les e-mails d'au moins neuf agences fédérales américaines ainsi que de 100 entreprises. À la suite de cette attaque, Microsoft a appelé à « la nécessité d'une réponse forte et mondiale en matière de cybersécurité ».

En 2021, des attaquants malveillants venus de Chine - une fois de plus soutenus par le gouvernement chinois - ont réussi à compromettre les serveurs de messagerie Microsoft Exchange, affectant au moins 30.000 comptes organisationnels d'entités commerciales et gouvernementales.

En 2021, la société Wiz, spécialisée en sécurité a également révélé une vulnérabilité dans l'infrastructure Microsoft Azure qui permettait aux attaquants d'accéder aux données de milliers de clients Azure, de les modifier et de les supprimer. À l'époque, cela avait été décrit comme « la pire vulnérabilité cloud que vous puissiez imaginer » (le piratage chinois de 2023 a dépassé celle-ci), car Wiz pouvait accéder à pratiquement n'importe quelle base de données des clients Microsoft Azure.

En janvier 2024, des attaquants russes sponsorisés par le Service de renseignement extérieur (SVR) de Russie ont attaqué le service de messagerie électronique d'entreprise de Microsoft. Microsoft a identifié les attaquants comme étant Midnight Blizzard ; ils ont pu pénétrer dans les boîtes aux lettres des cadres supérieurs et des employés de sécurité.

En Allemagne, l’importance de la sécurité est déjà plus élevée. Le Land Schleswig-Holstein est en train de migrer de Windows vers Linux, une avancée majeure en termes de sécurité et de souveraineté numérique.

Les clés privées ne doivent jamais être stockées sur un serveur central.

wiki/securite/menaces/menace_storm-0558.txt · Dernière modification : 2024/08/24 19:40 de palas

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki