Microsoft a annonc que la rmunration de ses dirigeants serait dsormais lie la scurit de lentreprise, suite une srie dchecs et de violations de scurit. Cette dcision fait suite des critiques concernant des failles de scurit juges vitables et une communication estime insuffisante.
Les efforts de Microsoft en matire de scurit et de protection de la vie prive ont connu deux annes difficiles. Des terminaux mal configurs, des certificats de scurit malveillants et des mots de passe faibles ont tous caus ou risqu de causer l’exposition de donnes sensibles, et Microsoft a t critiqu par des chercheurs en scurit, des lgislateurs amricains et des organismes de rglementation pour la faon dont il a rpondu ces menaces et les a divulgues.
Les violations les plus mdiatises ont impliqu un groupe de hackers bas en Chine, nomm Storm-0558, qui a russi pntrer le service Azure de Microsoft et collecter des donnes pendant plus dun mois la mi-2023 avant dtre dcouvert et vinc. Aprs des mois dambigut, Microsoft a rvl quune srie de dfaillances de scurit avait permis Storm-0558 daccder au compte dun ingnieur, ce qui lui a permis de collecter des donnes de 25 clients Azure de Microsoft, y compris des agences fdrales amricaines.
Fin janvier, Microsoft a reconnu une nouvelle violation de donnes, dclarant dans un rapport que des pirates informatiques affilis l’tat russe se sont introduits dans son systme de messagerie lectronique interne et ont accd aux comptes des membres de l’quipe dirigeante, ainsi qu’ ceux des employs des quipes charges de la cyberscurit et des affaires juridiques. Microsoft a ajout que l’intrusion a commenc fin novembre et a t dcouverte le 12 janvier.
Microsoft a attribu l’attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l’entreprise, il s’agit d’un groupe de pirates hautement qualifis parrains par l’tat russe et qui sont l’origine de l’intrusion dans les systmes de SolarWinds il y a quelques annes. La violation aurait permis aux pirates d’exfiltrer des identifiants de connexion qu’ils utiliseraient dsormais afin de farfouiller dans les systmes de Microsoft. L’entreprise a publi en mars un autre rapport qui rvle que le groupe a galement vol du code source et qu’il tait peut-tre encore en train de fouiller dans ses systmes informatiques internes.
Ces dernires semaines, nous avons constat que Midnight Blizzard utilisait des informations initialement exfiltres de nos systmes de messagerie d’entreprise dans le but d’obtenir, ou tenter d’obtenir, un accs non autoris. Cela inclut l’accs certains rfrentiels de code source de Microsoft et des systmes internes. ce jour, nous n’avons trouv aucune preuve que les systmes clients hbergs par Microsoft ont t compromis , explique Microsoft dans un billet de blog.
Le groupe tenterait notamment d’utiliser les secrets de diffrents types qu’il a trouvs pour compromettre davantage Microsoft et potentiellement ses clients. Certains de ces secrets ont t partags entre des clients et Microsoft dans des courriels, et mesure que nous les dcouvrons dans nos courriels exfiltrs, nous avons pris contact avec ces clients pour les aider prendre des mesures d’attnuation , prcise Microsoft. Il faut rappeler que l’attaque massive de SolarWinds en 2020 a compromis des milliers d’organisations, y compris des entits publiques amricaines, dont les dpartements du Trsor et du Commerce.
L’obtention du code source est une grande victoire pour les pirates, car elle leur permet de dcouvrir le fonctionnement d’un logiciel et d’en dtecter les faiblesses. Ces connaissances peuvent tre utilises ensuite pour lancer des attaques de suivi de manire inattendue. Microsoft est un gant mondial de la technologie dont les produits et services, comme Windows et Exchange, sont largement utiliss, y compris par l’establishment et agence de scurit nationale. Ainsi, cette rvlation a alarm certains analystes qui ont fait part de leurs inquitudes croissantes quant la scurit des systmes et des services de Microsoft.
Une culture de la scurit inadquate
Certains analystes se sont inquits des risques pour la scurit nationale amricaine. Le fait que l’un des plus grands fournisseurs de logiciels soit lui-mme en train d’apprendre les choses au fur et mesure est un peu effrayant. Vous n’avez pas l’assurance, en tant que client, qu’il ne se passe pas quelque chose de plus grave. Ces attaques tmoignent galement de l’agressivit des pirates , a dclar Jerome Segura, chercheur principal chercheur en menace de la socit de cyberscurit Malwarebytes. Segura a ajout qu’il est dconcertant que l’attaque soit toujours en cours malgr les efforts dploys par Microsoft.
C’est le genre de chose qui nous inquite vraiment. L’acteur de la menace voudrait utiliser les secrets (de Microsoft) pour pntrer dans les environnements de production, puis compromettre les logiciels et installer des portes drobes et d’autres choses de ce genre , a dclar Segura. Dans un document dpos auprs de la Securities and Exchange Commission (SEC), Microsoft a dclar que l’attaque n’avait pas eu d’impact matriel sur ses activits, mais a averti que cela restait une possibilit, malgr des investissements accrus en matire de scurit et la coordination avec les autorits charges de l’application de la loi.
Tout cela a abouti un rapport du US Cyber Safety Review Board, qui a fustig Microsoft pour sa culture de scurit inadquate , ses dclarations publiques inexactes et sa rponse des failles de scurit vitables :
La Commission estime que cette intrusion tait vitable et n’aurait jamais d se produire. La Commission conclut galement que la culture de scurit de Microsoft tait inadquate et ncessite une refonte, en particulier la lumire du rle central de la socit dans l’cosystme technologique et du niveau de confiance que les clients placent dans la socit pour protger leurs donnes et leurs oprations. La Commission est parvenue cette conclusion sur la base des lments suivants :
- la cascade d’erreurs vitables de Microsoft qui ont permis cette intrusion de russir ;
- L’incapacit de Microsoft dtecter par elle-mme la compromission de ses joyaux cryptographiques, en s’en remettant un client pour identifier les anomalies qu’il avait observes ;
- l’valuation par la Commission des pratiques de scurit d’autres fournisseurs de services en nuage, qui ont mis en place des contrles de scurit que Microsoft n’a pas effectus ;
- Le fait que Microsoft n’ait pas dtect la compromission de l’ordinateur portable d’un employ d’une socit rcemment acquise avant de l’autoriser se connecter au rseau d’entreprise de Microsoft en 2021 ;
- La dcision de Microsoft de ne pas corriger, en temps opportun, ses dclarations publiques inexactes sur cet incident, y compris une dclaration d’entreprise selon laquelle Microsoft pensait avoir dtermin la cause premire probable de l’intrusion alors qu’en fait, elle ne l’a toujours pas fait ; mme si Microsoft a reconnu devant la Commission en novembre 2023 que son billet de blog du 6 septembre 2023 sur la cause premire tait inexact, elle n’a pas mis jour ce billet avant le 12 mars 2024, alors que la Commission concluait son examen et seulement aprs les questions rptes de la Commission sur les plans de Microsoft pour publier une correction ;
- l’observation par la Commission d’un incident distinct, divulgu par Microsoft en janvier 2024, dont l’enqute n’tait pas du ressort de la Commission, qui a rvl une compromission permettant un acteur tatique diffrent d’accder des comptes de messagerie d’entreprise, des rfrentiels de code source et des systmes internes hautement sensibles de Microsoft ; et
- la faon dont les produits omniprsents et critiques de Microsoft, qui sous-tendent des services essentiels soutenant la scurit nationale, les fondements de notre conomie, ainsi que la sant et la scurit publiques, exigent que l’entreprise applique les normes les plus leves en matire de scurit, de responsabilit et de transparence.
Pour tenter de redresser la barre, Microsoft a annonc en novembre 2023 ce qu’elle a appel la Secure Future Initiative
En rponse, Microsoft a lanc linitiative Secure Future Initiative (initiative pour un avenir sr) en novembre 2023, annonant une srie de plans et de changements dans ses pratiques de scurit, dont certains ont dj t mis en uvre. Dans le cadre de cette initiative, Microsoft a annonc hier une srie de plans et de modifications de ses pratiques de scurit, y compris quelques changements dj effectus.
Charlie Bell, vice-prsident excutif de la scurit chez Microsoft, a crit : Nous faisons de la scurit notre priorit absolue chez Microsoft, avant tout le reste avant toutes les autres fonctionnalits . Nous largissons le champ d’application du SFI, en intgrant les rcentes recommandations du CSRB ainsi que les enseignements tirs de Midnight Blizzard, afin de garantir que notre approche de la cyberscurit reste solide et adapte l’volution du paysage des menaces .
Dans le cadre de ces changements, la rmunration de lquipe de direction senior de Microsoft dpendra en partie de la ralisation des plans et objectifs de scurit de lentreprise, bien que Bell nait pas prcis quelle part de la rmunration des dirigeants serait dpendante de ces objectifs de scurit :
Nous mobiliserons les piliers et les objectifs largis de la SFI dans l’ensemble de Microsoft et cette dimension sera prise en compte dans nos dcisions de recrutement. En outre, nous instillerons la responsabilit en basant une partie de la rmunration de l’quipe dirigeante de l’entreprise sur les progrs raliss dans la mise en uvre de nos plans et de nos tapes en matire de scurit .
Trois principes de scurit
Le message de Microsoft dcrit trois principes de scurit ( secure by design , secure by default et secure operations ) et six piliers de scurit destins remdier aux diffrentes faiblesses des systmes et des pratiques de dveloppement de Microsoft. L’entreprise affirme qu’elle prvoit de scuriser 100 % de ses comptes d’utilisateurs par une authentification multifactorielle scurise et rsistante l’hameonnage , d’appliquer l’accs au moindre privilge toutes les applications et tous les comptes d’utilisateurs, d’amliorer la surveillance et l’isolation du rseau et de conserver tous les journaux de scurit du systme pendant au moins deux ans, entre autres promesses. Microsoft prvoit galement de nommer de nouveaux responsables adjoints de la scurit de l’information au sein de diffrentes quipes d’ingnieurs afin de suivre leurs progrs et de rendre compte l’quipe de direction et au conseil d’administration.
En ce qui concerne les solutions concrtes que Microsoft a dj mises en uvre, Bell crit que Microsoft a mis en uvre l’application automatique de l’authentification multifactorielle par dfaut sur plus d’un million de locataires Microsoft Entra ID au sein de Microsoft , supprim 730 000 applications anciennes et/ou non scurises ce jour sur les locataires de production et d’entreprise , tendu sa journalisation de scurit et adopt la norme CWE (Common Weakness Enumeration) pour ses divulgations de scurit.
Conclusion
Cette initiative marque un tournant dans la manire dont les entreprises technologiques abordent la scurit et la responsabilit, soulignant limportance croissante de la cyberscurit dans le paysage des affaires modernes.
Sources : Microsoft, US Cyber Safety Review Board (au format PDF)
Quelle importance accordez-vous la scurit informatique dans le choix des produits technologiques que vous utilisez ?
Pensez-vous que lier la rmunration des dirigeants la scurit peut effectivement amliorer les pratiques de scurit dune entreprise ?
Comment valuez-vous linitiative Secure Future Initiative de Microsoft par rapport aux efforts de scurit dautres entreprises technologiques ?
Quels impacts pensez-vous que cette politique aura sur la culture de la scurit au sein des grandes entreprises ?
La transparence de Microsoft sur ses failles de scurit change-t-elle votre perception de lentreprise ?
Quelles mesures supplmentaires suggreriez-vous pour renforcer la scurit des services en ligne ?