Microsoft a rcemment t au cur d’une polmique concernant la perte de plus de deux semaines de journaux de scurit pour certains de ses produits cloud. Cet incident, qui s’est produit entre le 2 et le 19 septembre 2024, a t attribu un bogue dans l’un des agents de surveillance internes de l’entreprise. Ce problme a empch l’envoi des donnes de journal vers la plateforme de journalisation interne de Microsoft, laissant les dfenseurs des rseaux sans donnes cruciales pour dtecter d’ventuelles intrusions.
Contexte
Il s’agit d’une affaire particulirement importante pour Microsoft, car l’entreprise a dclar que la scurit tait une priorit absolue. Elle a rcemment lanc Security Future Initiative (initiative pour l’avenir de la scurit), en grande partie en rponse sa mauvaise gestion des incidents de scurit, notamment ce que le ministre de la scurit intrieure a appel une cascade d’erreurs qui ont permis des pirates chinois d’accder en 2023 des milliers de courriels de clients de l’informatique sur le cloud.
L’ide tait que Microsoft fasse de la scurit sa premire priorit dans tous les domaines. C’est devenu tellement important que chaque employ de Microsoft sera valu sur une priorit essentielle de la scurit dans les valuations de performance.
Microsoft admet avoir perdu des semaines de journaux de scurit pour ses produits Cloud
Selon une mise jour, Microsoft a inform ses clients qu’elle n’a pas russi collecter de manire cohrente les donnes de connexion pour plusieurs services cloud importants.
Un journal est un enregistrement d’vnements au sein d’un programme, comme l’ouverture d’un compte. Ce registre peut contenir des cas d’accs non autoris des rseaux et des comptes. Si les journaux ne sont pas enregistrs correctement, toute trace de problme est perdue et l’entreprise et ses clients peuvent avoir manqu des intrusions.
Entre le 2 et le 19 septembre, un bogue dans l’un des agents de surveillance interne de Microsoft a entran un dysfonctionnement dans certains des agents lors du tlchargement des donnes d’enregistrement sur notre plateforme d’enregistrement interne , a crit Microsoft dans la notification au client.
Il n’y a aucune preuve de cyberattaque dcoulant de cet incident.
Ce problme n’a pas eu d’incidence sur le temps de fonctionnement des services ou des ressources destins aux clients – il n’a affect que la collecte des vnements de journalisation. En outre, ce problme n’est pas li une compromission de la scurit , ajoute la notification.
Les produits concerns sont Microsoft Entra, un service de gestion des identits. Microsoft Sentinel, un produit de gestion des informations et des vnements de scurit, a galement t affect, de mme que Microsoft Defender for Cloud et Microsoft Purview, un produit de prvention de la perte de donnes.
Les clients de Microsoft Sentinel peuvent avoir constat des lacunes potentielles dans les journaux ou les vnements lis la scurit, ce qui peut affecter la capacit des clients analyser les donnes, dtecter les menaces ou gnrer des alertes de scurit , indique la mise jour.
Les ractions et les consquences
Microsoft a prcis que cet incident n’tait pas le rsultat d’une attaque de scurit. Toutefois, l’absence de ces journaux de scurit a soulev des proccupations importantes parmi les utilisateurs. Les notifications envoyes aux clients affects taient apparemment accessibles uniquement aux utilisateurs ayant des droits d’administrateur de locataire, limitant ainsi la diffusion de l’information critique.
C’est en tout cas ce qu’a indiqu le chercheur en scurit Kevin Beaumont, qui souligne que les notifications que Microsoft a envoyes aux entreprises concernes ne sont probablement accessibles qu’ une poigne d’utilisateurs disposant de droits d’administrateur :
Envoy par Kevin BeaumontMicrosoft a commis une erreur et a perdu certains journaux de scurit pour Microsoft Entra, Microsoft Defender for Cloud et Microsoft Purview pendant plusieurs semaines en septembre. Par consquent, si vous avez construit des dtections sur ces produits, il se peut qu’elles soient manquantes.
Il semble que la notification ait t faite sur le portail Microsoft 365, qui ncessite des droits d’administrateur de locataire, de sorte que les quipes de scurit ne sont probablement pas au courant.
De plus, MS a apparemment refus de faire des commentaires la presse.
John Sheehan, vice-prsident de Microsoft, a assur que l’entreprise avait rsolu le problme en rvoquant un changement de service et en informant tous ses clients impacts. Microsoft a galement promis de fournir un soutien supplmentaire si ncessaire : Nous avons attnu le problme en annulant un changement de service. Nous avons communiqu avec tous les clients concerns et nous fournirons l’assistance ncessaire .
Cependant, cette assurance pourrait-elle suffire regagner la confiance des clients? Ou cet incident rvlerait-il des lacunes plus profondes dans la gestion des systmes de scurit de l’entreprise?
Cet incident met en lumire plusieurs faiblesses potentielles dans les systmes de journalisation de scurit de Microsoft. D’une part, la dpendance excessive un seul point de collecte de donnes pose un risque significatif. En cas de dfaillance, comme on l’a vu ici, les consquences peuvent tre svres pour les utilisateurs finaux. De plus, le fait que les notifications d’incident soient limites aux administrateurs de locataire soulve des questions quant la transparence de Microsoft dans ses communications de scurit.
La perte de ces donnes cruciales de journalisation aurait pu permettre des acteurs malveillants d’exploiter des vulnrabilits non dtectes pendant cette priode. Bien que Microsoft ait assur que l’incident n’tait pas d une attaque, l’incapacit dtecter et enregistrer les activits suspectes reste un sujet de proccupation majeur.
Microsoft avait dj dissimul des journaux de scurit de certains services du gouvernement amricain
Cette panne de connexion intervient un an aprs que Microsoft a t critiqu par des enquteurs fdraux pour avoir dissimul les journaux de scurit de certains services du gouvernement fdral amricain qui hbergent leurs courriels sur le cloud de l’entreprise, rserv aux gouvernements ; les enquteurs ont dclar que l’accs ces journaux aurait pu permettre d’identifier bien plus tt une srie d’intrusions soutenues par la Chine.
Les pirates soutenus par la Chine, appels Storm-0558, se sont introduits dans le rseau de Microsoft et ont vol une cl numrique qui leur a permis d’accder librement aux courriels du gouvernement amricain stocks dans le cloud de Microsoft. Selon un rapport publi par le gouvernement sur la cyberattaque, le dpartement d’tat a identifi les intrusions parce qu’il avait pay une licence Microsoft de niveau suprieur qui lui permettait d’accder aux journaux de scurit de ses produits sur le cloud, ce que beaucoup d’autres agences gouvernementales amricaines pirates n’avaient pas.
la suite des piratages soutenus par la Chine, Microsoft a dclar qu’elle commencerait fournir des journaux pour ses comptes cloud les moins bien pays partir de septembre 2023.
Les efforts de Microsoft en matire de scurit et de protection de la vie prive ont connu deux annes difficiles
Des terminaux mal configurs, des certificats de scurit malveillants et des mots de passe faibles ont tous caus ou risqu de causer l’exposition de donnes sensibles, et Microsoft a t critiqu par des chercheurs en scurit, des lgislateurs amricains et des organismes de rglementation pour la faon dont il a rpondu ces menaces et les a divulgues.
Les violations les plus mdiatises ont impliqu un groupe de hackers bas en Chine, nomm Storm-0558, qui a russi pntrer le service Azure de Microsoft et collecter des donnes pendant plus dun mois la mi-2023 avant dtre dcouvert et vinc. Aprs des mois dambigut, Microsoft a rvl quune srie de dfaillances de scurit avait permis Storm-0558 daccder au compte dun ingnieur, ce qui lui a permis de collecter des donnes de 25 clients Azure de Microsoft, y compris des agences fdrales amricaines.
Fin janvier, Microsoft a reconnu une nouvelle violation de donnes, dclarant dans un rapport que des pirates informatiques affilis l’tat russe se sont introduits dans son systme de messagerie lectronique interne et ont accd aux comptes des membres de l’quipe dirigeante, ainsi qu’ ceux des employs des quipes charges de la cyberscurit et des affaires juridiques. Microsoft a ajout que l’intrusion a commenc fin novembre et a t dcouverte le 12 janvier.
Microsoft a attribu l’attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l’entreprise, il s’agit d’un groupe de pirates hautement qualifis parrains par l’tat russe et qui sont l’origine de l’intrusion dans les systmes de SolarWinds il y a quelques annes. La violation aurait permis aux pirates d’exfiltrer des identifiants de connexion qu’ils utiliseraient dsormais afin de farfouiller dans les systmes de Microsoft. L’entreprise a publi en mars un autre rapport qui rvle que le groupe a galement vol du code source et qu’il tait peut-tre encore en train de fouiller dans ses systmes informatiques internes.
Ces dernires semaines, nous avons constat que Midnight Blizzard utilisait des informations initialement exfiltres de nos systmes de messagerie d’entreprise dans le but d’obtenir, ou tenter d’obtenir, un accs non autoris. Cela inclut l’accs certains rfrentiels de code source de Microsoft et des systmes internes. ce jour, nous n’avons trouv aucune preuve que les systmes clients hbergs par Microsoft ont t compromis , explique Microsoft dans un billet de blog.
Une culture de la scurit inadquate
Certains analystes se sont inquits des risques pour la scurit nationale amricaine. Le fait que l’un des plus grands fournisseurs de logiciels soit lui-mme en train d’apprendre les choses au fur et mesure est un peu effrayant. Vous n’avez pas l’assurance, en tant que client, qu’il ne se passe pas quelque chose de plus grave. Ces attaques tmoignent galement de l’agressivit des pirates , a dclar Jerome Segura, chercheur principal chercheur en menace de la socit de cyberscurit Malwarebytes. Segura a ajout qu’il est dconcertant que l’attaque soit toujours en cours malgr les efforts dploys par Microsoft.
C’est le genre de chose qui nous inquite vraiment. L’acteur de la menace voudrait utiliser les secrets (de Microsoft) pour pntrer dans les environnements de production, puis compromettre les logiciels et installer des portes drobes et d’autres choses de ce genre , a dclar Segura. Dans un document dpos auprs de la Securities and Exchange Commission (SEC), Microsoft a dclar que l’attaque n’avait pas eu d’impact matriel sur ses activits, mais a averti que cela restait une possibilit, malgr des investissements accrus en matire de scurit et la coordination avec les autorits charges de l’application de la loi.
Tout cela a abouti un rapport du US Cyber Safety Review Board, qui a fustig Microsoft pour sa culture de scurit inadquate , ses dclarations publiques inexactes et sa rponse des failles de scurit vitables .
En rponse, Microsoft a lanc linitiative Secure Future Initiative (initiative pour un avenir sr) en novembre 2023, annonant une srie de plans et de changements dans ses pratiques de scurit, dont certains ont dj t mis en uvre. Dans le cadre de cette initiative, Microsoft a annonc une srie de plans et de modifications de ses pratiques de scurit, y compris quelques changements dj effectus.
En aot, Microsoft a annonc un changement majeur dans sa politique interne : dsormais, chaque employ sera valu en fonction de ses efforts en matire de scurit.
Sources : Microsoft, US Cyber Safety Review Board (au format PDF)
Et vous ?
quel point faites-vous confiance aux services cloud pour la scurit de vos donnes?
Pensez-vous que cet incident pourrait influencer votre dcision d’utiliser les produits Microsoft l’avenir?
Quelles mesures prventives attendez-vous de Microsoft pour viter de tels incidents l’avenir?
Comment cet incident affecte-t-il votre perception globale de la scurit des donnes en ligne?
Avez-vous dj rencontr un problme similaire avec un autre fournisseur de services cloud?