Le gouvernement amricain a dclar le jeudi 11 avril que les pirates informatiques du gouvernement russe qui ont rcemment vol des courriels d’entreprise de Microsoft ont obtenu des mots de passe et d’autres documents secrets qui pourraient leur permettre de pntrer dans plusieurs agences amricaines. L’agence pour la cyberscurit et la scurit des infrastructures, qui dpend du ministre de la Scurit intrieure, a mis le mardi 9 avril une directive contraignante rare l’intention d’un nombre indtermin d’agences, leur demandant de modifier les identifiants de connexion qui ont t utiliss et d’enquter sur les autres lments susceptibles de prsenter un risque. La directive a t rendue publique le jeudi, aprs que les destinataires ont commenc renforcer leurs dfenses.
« La compromission russie des comptes de messagerie d’entreprise de Microsoft et l’exfiltration de la correspondance entre les agences et Microsoft prsentent un risque grave et inacceptable pour les agences« , a crit la CISA. « Cette directive d’urgence exige que les agences analysent le contenu des courriels exfiltrs, rinitialisent les informations d’identification compromises et prennent des mesures supplmentaires pour s’assurer que les outils d’authentification des comptes Microsoft Azure privilgis sont scuriss.«
Les responsables de la CISA ont dclar aux journalistes qu’il n’tait pas encore clair si les pirates, associs l’agence de renseignement militaire russe SVR, avaient obtenu quoi que ce soit des agences exposes. La CISA « n’a pas prcis l’tendue des risques pour les intrts nationaux« . Mais le directeur adjoint de l’agence pour la cyberscurit a dclar que « le potentiel d’exposition des informations d’authentification fdrales […] pose un risque urgent pour l’entreprise fdrale, d’o la ncessit de cette directive et des actions qu’elle contient« .
Le systme d’exploitation Windows, la messagerie Outlook et d’autres logiciels de Microsoft sont utiliss par l’ensemble du gouvernement amricain, ce qui confre l’entreprise de Redmond, dans l’tat de Washington, une norme responsabilit en matire de cyberscurit des employs fdraux et de leur travail. Mais cette relation de longue date montre de plus en plus de signes de tension…. Cette faille est l’une des quelques intrusions graves dont a t victime l’entreprise et qui ont expos de nombreuses autres entreprises des risques de piratage. Un autre de ces incidents – au cours duquel des pirates du gouvernement chinois ont perc la scurit des logiciels cloud de Microsoft pour voler les courriels de fonctionnaires du dpartement d’tat et du dpartement du commerce – a dclench un examen fdral majeur qui, la semaine dernire, a appel l’entreprise revoir sa culture, que le Conseil d’examen de la cyberscurit a cite comme ayant permis une « cascade d’erreurs vitables ».
La directive contraignante mise par la CISA l’intention des agences amricaines est prsente ci-dessous. Il s’agit d’une version conviviale de la directive d’urgence 24-02 de l’Agence pour la cyberscurit et la scurit des infrastructures, intitule « Attnuer le risque important de compromission par un tat-nation du systme de messagerie lectronique de l’entreprise Microsoft. »
La section 3553(h) du titre 44, U.S. Code, autorise le secrtaire la scurit intrieure, en rponse une menace, une vulnrabilit ou un incident connu ou raisonnablement suspect en matire de scurit de l’information qui reprsente une menace substantielle pour la scurit de l’information d’une agence, « mettre une directive d’urgence l’intention du responsable d’une agence pour qu’il prenne toute mesure lgale concernant le fonctionnement du systme d’information, y compris les systmes utiliss ou exploits par une autre entit pour le compte d’une agence, qui recueille, traite, stocke, transmet, diffuse ou conserve d’une autre manire les informations de l’agence, dans le but de protger le systme d’information contre une menace pour la scurit de l’information ou d’en attnuer les effets ». La section 2205(3) du Homeland Security Act de 2002, tel que modifi, dlgue cette autorit au directeur de la Cybersecurity and Infrastructure Security Agency. Les agences fdrales sont tenues de se conformer ces directives. Ces directives ne s’appliquent pas aux « systmes de scurit nationale » dfinis par la loi, ni aux systmes exploits par le ministre de la dfense ou la communaut du renseignement.
Contexte
Le cyberacteur parrain par l’tat russe, connu sous le nom de Midnight Blizzard, a exfiltr la correspondance lectronique entre les agences du Federal Civilian Executive Branch (FCEB) et Microsoft grce la compromission russie des comptes de messagerie d’entreprise de Microsoft. Microsoft a divulgu l’incident et les mises jour ultrieures par le biais de plusieurs communications, partir de janvier 2024.
L’acteur de la menace utilise les informations initialement exfiltres des systmes de messagerie de l’entreprise, y compris les dtails d’authentification partags entre les clients de Microsoft et Microsoft par courrier lectronique, pour obtenir, ou tenter d’obtenir, un accs supplmentaire aux systmes des clients de Microsoft. Selon Microsoft, Midnight Blizzard a multipli par 10 le volume de certains aspects de la campagne d’intrusion, tels que les pulvrisations de mots de passe, en fvrier, par rapport un volume dj important observ en janvier 2024.
La compromission russie par Midnight Blizzard des comptes de messagerie d’entreprise de Microsoft et l’exfiltration de la correspondance entre les agences et Microsoft prsentent un risque grave et inacceptable pour les agences. Cette directive d’urgence exige que les agences analysent le contenu des courriels exfiltrs, rinitialisent les informations d’identification compromises et prennent des mesures supplmentaires pour s’assurer que les outils d’authentification pour les comptes Microsoft Azure privilgis sont scuriss. La CISA a valu que les actions requises ci-dessous sont les plus appropries pour comprendre et attnuer le risque pos par la possession par Midnight Blizzard de la correspondance exfiltre entre les agences FCEB et Microsoft.
Microsoft et la CISA ont notifi toutes les agences fdrales dont la correspondance lectronique avec Microsoft a t identifie comme exfiltre par Midnight Blizzard. La prsente directive fera rfrence ce groupe d’agences en tant qu' »agences affectes ».
En outre, Microsoft a dclar la CISA que pour le sous-ensemble d’agences concernes dont les courriels exfiltrs contiennent des secrets d’authentification, tels que des identifiants ou des mots de passe, Microsoft fournira ces agences les mtadonnes de ces courriels.
Enfin, Microsoft a accept de fournir des mtadonnes pour toute la correspondance exfiltre des agences fdrales – indpendamment de la prsence de secrets d’authentification – la demande de la National Cyber Investigative Joint Task Force (NCIJTF), qui s’est porte volontaire pour tre le point de contact fdral unique pour cet incident.
Actions requises
Les agences concernes qui reoivent de Microsoft des mtadonnes de courrier lectronique correspondant des compromissions d’authentification connues ou suspectes, ou qui ont connaissance de dtails spcifiques concernant ces compromissions, doivent prendre les mesures suivantes :
- Prendre des mesures correctives immdiates pour les jetons, mots de passe, cls API ou autres informations d’authentification dont la compromission est avre ou suspecte.
- Pour toute compromission d’authentification connue ou suspecte identifie par l’action 1, au plus tard le 30 avril 2024 :
- Rinitialiser les informations d’identification dans les applications associes et dsactiver les applications associes qui ne sont plus utilises par l’agence.
- Examiner les journaux de connexion, d’mission de jetons et d’autres activits de compte pour les utilisateurs et les services dont les informations d’identification ont t suspectes ou observes comme tant compromises, afin d’y dceler d’ventuelles activits malveillantes.
Toutes les agences concernes doivent prendre les mesures suivantes : - Prendre des mesures pour identifier le contenu complet de la correspondance de l’agence avec les comptes Microsoft compromis et effectuer une analyse d’impact sur la cyberscurit, conformment aux dtails identifis dans l’annexe de la prsente directive. Cette action doit tre acheve au plus tard le 30 avril 2024.
- Pour les compromissions d’authentification connues ou suspectes identifies par l’analyse de l’agence, fournir une notification la CISA et suivre les tapes 1 et 2. La CISA travaillera avec les agences sur un calendrier actualis pour la ralisation de ces actions requises.
Communication de l’tat d’avancement
Les agences doivent communiquer la CISA l’tat d’avancement de toutes les actions requises avant le 8 avril 2024 23h59, fournir une mise jour de l’tat d’avancement la CISA avant le 1er mai 2024 23h59 et, le cas chant, fournir des mises jour hebdomadaires sur les actions de remdiation pour les compromissions d’authentification jusqu’ ce qu’elles soient acheves. La CISA fournira aux agences un modle de rapport et des instructions en la matire.
Actions de la CISA
- La CISA fournira aux agences des instructions pour accder au contenu des courriels des agences et analyser le contenu des courriels.
- La CISA poursuivra ses efforts pour identifier les cas et les compromissions potentielles associs cette activit de menace, fournira des notifications aux partenaires et mettra des orientations et des directives supplmentaires, le cas chant.
- La CISA fournira une assistance technique aux agences qui ne disposent pas de capacits internes suffisantes pour se conformer cette directive.
- D’ici au 1er septembre 2024, la CISA fournira un rapport au secrtaire la Scurit intrieure et au directeur de l’Office of Management and Budget, dans lequel elle indiquera l’tat d’avancement de la coopration entre les agences et les questions en suspens. La CISA fournira galement une copie du rapport au directeur national du cyberespace.
Dure de la directive
Cette directive d’urgence reste en vigueur jusqu’ ce que la CISA dtermine que les agences ont effectu toutes les actions requises par cette directive, ou jusqu’ ce qu’il soit mis fin la directive par une autre action approprie.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de cette initiative de la CISA ? Trouvez-vous qu’elle est pertinente et cohrente ?
Voir aussi