Un ancien employ de Microsoft affirme que le gant de la technologie a rejet ses avertissements rpts au sujet d’une faille de scurit qui a ensuite t exploite dans le piratage SolarWinds, privilgiant les intrts commerciaux la scurit des clients. Andrew Harris, qui travaillait dans l’quipe de scurit du cloud de Microsoft, affirme avoir dcouvert la faiblesse en 2016, mais on lui a dit que la corriger pourrait mettre en pril un contrat gouvernemental de plusieurs milliards de dollars et l’avantage concurrentiel de l’entreprise, a rapport ProPublica jeudi.
La faille, dans un produit Microsoft appel Active Directory Federation Services, a permis aux pirates de contourner les mesures de scurit et d’accder aux donnes sensibles du cloud. Des pirates russes ont exploit cette vulnrabilit lors de l’attaque SolarWinds de 2020, pntrant ainsi dans plusieurs agences amricaines. Microsoft continue de nier toute faute et insiste sur le fait que la protection des clients est sa priorit absolue. Ces rvlations interviennent un moment o Microsoft fait l’objet d’un examen de plus en plus minutieux de ses pratiques en matire de scurit et cherche dvelopper ses activits auprs des pouvoirs publics.
SolarWinds est une entreprise amricaine spcialise dans le dveloppement de logiciels pour la gestion des rseaux, des systmes et de linfrastructure informatique. Elle propose une plateforme dobservabilit et de gestion informatique qui permet aux utilisateurs dobserver et de grer leur infrastructure IT de manire centralise, que ce soit dans des environnements hybrides ou multicloud.
En dcembre 2020, SolarWinds a fait les gros titres lorsquune cyberattaque massive a t dcouverte. Cette attaque, connue sous le nom de SolarWinds hack, a affect plusieurs agences gouvernementales amricaines ainsi que de nombreuses entreprises prives. Les pirates ont exploit une vulnrabilit dans le logiciel de gestion de rseau Orion de SolarWinds, leur permettant dinsrer un code malveillant et daccder des rseaux de manire ne pas tre dtect pendant des mois.
Cette cyberattaque a soulev des questions importantes sur la scurit des chanes dapprovisionnement logicielles et la manire dont les entreprises comme SolarWinds peuvent se protger contre des menaces sophistiques. Elle a galement mis en vidence la ncessit dune collaboration accrue entre le secteur priv et les agences gouvernementales pour renforcer la cyberscurit lchelle nationale et internationale.
Et si Microsoft tait au courant mais avait choisi de ne rien faire ?
C’est en tout cas ce que laisse entendre Andrew Harris.
Microsoft a engag Andrew Harris pour ses comptences extraordinaires empcher les pirates d’accder aux rseaux informatiques les plus sensibles du pays. En 2016, Andrew Harris travaillait d’arrache-pied sur un incident surprenant au cours duquel des intrus avaient pntr d’une manire ou d’une autre dans une grande entreprise technologique amricaine.
La violation a troubl Harris pour deux raisons. Tout d’abord, elle concernait le cloud de l’entreprise, un entrept virtuel contenant gnralement les donnes les plus sensibles d’une organisation. D’autre part, les attaquants avaient russi leur coup en laissant peu de traces.
Il s’est retir dans son bureau domicile pour faire des jeux de guerre sur les scnarios possibles, en testant les diffrents logiciels qui auraient pu tre compromis.
Au dbut, il s’est concentr sur une application Microsoft qui s’assurait que les utilisateurs avaient l’autorisation de se connecter des programmes bass sur le cloud, l’quivalent cyberntique d’un agent qui vrifie les passeports la frontire. C’est l, aprs des mois de recherche, qu’il a dcouvert un grave problme.
Le produit, utilis par des millions de personnes pour se connecter leurs ordinateurs professionnels, contenait une faille qui pouvait permettre des attaquants de se faire passer pour des employs lgitimes et de fouiller dans les « joyaux de la couronne » des victimes – secrets de scurit nationale, proprit intellectuelle de l’entreprise, courriels personnels embarrassants – sans dclencher d’alarmes.
Pour Harris, qui avait auparavant travaill pendant prs de sept ans pour le ministre de la dfense, il s’agissait d’un cauchemar en matire de scurit. Toute personne utilisant le logiciel tait expose, qu’elle ait recours Microsoft ou un autre fournisseur de services en ligne tel qu’Amazon. Mais Harris tait surtout proccup par le gouvernement fdral et les implications de sa dcouverte pour la scurit nationale. Il a signal le problme ses collgues.
Ils ont vu les choses diffremment, a dclar Harris. Le gouvernement fdral s’apprtait investir massivement dans l’informatique dmatrialise, et Microsoft voulait dcrocher le march. Reconnatre l’existence de cette faille de scurit pourrait compromettre les chances de l’entreprise, se souvient Harris, qui a entendu un chef de produit lui dire que les consquences financires taient normes. Microsoft risquait non seulement de perdre un contrat de plusieurs milliards de dollars, mais aussi de perdre la course pour dominer le march de l’informatique dmatrialise.
Harris a dclar qu’il avait suppli l’entreprise pendant plusieurs annes de corriger la faille dans le produit, comme l’a rvl une enqute de ProPublica. Mais chaque fois, Microsoft a ignor ses avertissements, lui disant qu’elle travaillerait sur une solution de remplacement long terme – laissant les services d’informatique sur le cloud du monde entier vulnrables aux attaques dans l’intervalle.
Harris tait persuad que quelqu’un trouverait le moyen d’exploiter cette faiblesse. Il avait trouv une solution temporaire, mais celle-ci exigeait que les clients dsactivent l’une des fonctions les plus pratiques et les plus populaires de Microsoft : la possibilit d’accder presque tous les programmes utiliss au travail l’aide d’une seule connexion.
Il s’est empress d’alerter certains des clients les plus sensibles de l’entreprise au sujet de la menace et a personnellement supervis la correction pour le dpartement de la police de New York. Frustr par l’inaction de Microsoft, il a quitt l’entreprise en aot 2020.
Andrew Harris a montr son badge d’employ de Microsoft sur sa page LinkedIn lorsqu’il a annonc son dpart de l’entreprise en 2020
Des craintes confirmes
Quelques mois plus tard, ses craintes sont devenues ralit. Les autorits amricaines ont confirm les informations selon lesquelles une quipe de pirates informatiques russes parraine par l’tat avait men SolarWinds, l’une des plus grandes cyberattaques de l’histoire des tats-Unis. Ils ont utilis la faille identifie par Harris pour aspirer des donnes sensibles provenant d’un certain nombre d’agences fdrales, dont, selon ProPublica, la National Nuclear Security Administration, qui gre le stock d’armes nuclaires des tats-Unis, et les National Institutes of Health, qui, l’poque, menaient des recherches sur le COVID-19 et distribuaient des vaccins. Les Russes ont galement utilis cette faiblesse pour compromettre des dizaines de comptes de courrier lectronique du dpartement du Trsor, y compris ceux de ses plus hauts fonctionnaires. Un fonctionnaire fdral a dcrit cette intrusion comme une campagne d’espionnage conue pour la collecte de renseignements long terme .
Le rcit de Harris, tay par des entretiens avec d’anciens collgues et associs, ainsi que par des messages publis sur les rseaux sociaux, bouleverse l’ide que le public se fait gnralement du piratage de SolarWinds.
Ds que le piratage a fait surface, Microsoft a insist sur le fait qu’elle n’avait rien se reprocher. Le prsident de Microsoft, Brad Smith, a assur au Congrs en 2021 qu’aucune vulnrabilit d’un produit ou d’un service Microsoft n’avait t exploite dans SolarWinds.
Il a galement dclar que les clients auraient pu faire davantage pour se protger.
Selon Harris, ils n’en ont jamais eu l’occasion. Les dcisions ne sont pas bases sur ce qui est le mieux pour les clients de Microsoft, mais sur ce qui est le mieux pour Microsoft , a dclar Harris, qui travaille aujourd’hui pour CrowdStrike, une socit de cyberscurit concurrente de Microsoft.
ProPublica, qui a publi son change avec Harris, assure que Microsoft a refus de lui accorder des entretiens avec Smith et d’autres hauts fonctionnaires, mais n’a pas contest les conclusions de ProPublica. Au lieu de cela, l’entreprise a publi une dclaration en rponse des questions crites. La protection des clients est toujours notre priorit absolue , a dclar un porte-parole. Notre quipe de rponse la scurit prend tous les problmes de scurit au srieux et fait preuve de diligence raisonnable dans chaque cas en procdant une valuation manuelle approfondie, ainsi qu’ des confirmations croises avec des partenaires en ingnierie et en scurit. Notre valuation de ce problme a fait l’objet de plusieurs examens et a t aligne sur le consensus de l’industrie .
Une enqute qui intervient alors que le Pentagone cherche tendre son utilisation des produits Microsoft
D’ailleurs, cette dmarche qui a attir l’attention des lgislateurs fdraux la suite d’une srie de cyberattaques contre le gouvernement.
Smith doit tmoigner jeudi devant la commission de la scurit intrieure de la Chambre des reprsentants, qui examine le rle de Microsoft dans une intrusion perptre l’anne dernire par des pirates informatiques lis au gouvernement chinois. Les pirates ont exploit les failles de scurit de Microsoft pour accder aux courriels de hauts fonctionnaires amricains. En enqutant sur l’attaque, le comit fdral d’examen de la cyberscurit a constat que la culture de scurit de Microsoft tait inadquate et ncessitait une refonte .
Pour sa part, Microsoft a dclar que le travail avait dj commenc et que la priorit absolue de l’entreprise tait la scurit avant tout . Une partie de l’effort consiste adopter les recommandations du conseil d’administration. Si vous devez choisir entre la scurit et une autre priorit, votre rponse est claire : privilgiez la scurit , a dclar le PDG de l’entreprise, Satya Nadella, ses employs la suite du rapport du conseil d’administration, qui a identifi une culture d’entreprise qui privait de priorit la fois les investissements dans la scurit de l’entreprise et la gestion rigoureuse des risques .
L’enqute de ProPublica apporte de nouveaux dtails et un contexte essentiel sur cette culture, offrant un regard troublant sur la faon dont le plus grand fournisseur de logiciels au monde gre la scurit de ses propres produits omniprsents. Elle permet galement de comprendre quel point la recherche de profits peut influencer ces dcisions en matire de scurit, en particulier lorsque les gants de la technologie s’efforcent de dominer les frontires les plus rcentes et les plus lucratives, y compris le march de l’informatique dmatrialise (cloud).
Sources : Microsoft (1, 2), Maison Blanche, snateur de la Commission des finances, ProPublica, tmoignage de Microsoft devant le Congrs
Et vous ?
Quel est le rle des entreprises technologiques dans la protection contre les cybermenaces tatiques ?
Dans quelle mesure les utilisateurs peuvent-ils faire confiance aux services cloud, sachant que des vulnrabilits peuvent ne pas tre corriges ?
Comment la lgislation actuelle pourrait-elle tre amliore pour mieux protger les citoyens contre les failles de scurit non divulgues ?
Quelles consquences devraient subir les entreprises qui choisissent de ne pas corriger les vulnrabilits connues pour des raisons financires ?
Est-il thique pour une entreprise de sacrifier la scurit pour des avantages concurrentiels ?
Quel impact cette rvlation pourrait-elle avoir sur la relation entre les entreprises technologiques et les gouvernements ?
Les lanceurs dalerte comme Andrew Harris devraient-ils tre protgs ou rcompenss pour avoir mis en lumire de telles pratiques ?
Quelles mesures les consommateurs peuvent-ils prendre pour sassurer que leurs donnes sont scurises ?
Comment les rcentes cyberattaques influencent-elles votre perception de la scurit des donnes dans le cloud ?
Quelle responsabilit les individus ont-ils dans la scurisation de leurs propres donnes ?