Microsoft a vraiment tout gâché, selon un rapport du gouvernement sur les piratages chinois
La culture de sécurité de Microsoft doit être améliorée, affirme un conseil de cybersécurité soutenu par le gouvernement dans un nouveau rapport.
Et la sécurité médiocre du géant de la technologie a permis à un groupe de pirates informatiques associés à la Chine de pirater les réseaux de l'entreprise, y compris les courriels de hauts responsables américains, lors d'une attaque évitable l'été dernier, selon le rapport.
Le département américain de la Sécurité intérieure a publié mardi le rapport du Cyber Safety Review Board (CSRB). Dans ce document, le conseil détaille une « cascade » d'« erreurs évitables » dans les systèmes de sécurité de Microsoft.
Plus précisément, le conseil a déclaré que les pirates informatiques – un groupe d'espionnage affilié au gouvernement chinois appelé Storm-0558 – étaient capables d'exploiter plusieurs failles du système d'authentification de Microsoft, leur permettant de se connecter à « essentiellement n'importe quel compte Exchange Online n'importe où dans le monde ». «
Parce que Microsoft n'a pas correctement protégé les clés de signature, les pirates ont eu accès aux comptes de messagerie de hauts diplomates américains, notamment la secrétaire au Commerce Gina Raimondo, l'ambassadeur des États-Unis en République populaire de Chine R. Nicholas Burns et le membre du Congrès Don Bacon, le dit le rapport.
Le rapport reproche également à Microsoft de ne pas avoir détecté lui-même les comptes compromis et de n'avoir réalisé que quelque chose n'allait pas lorsqu'un client a signalé un problème.
« Le Conseil estime que cette intrusion était évitable et n'aurait jamais dû se produire », a écrit le Cyber Safety Review Board dans son rapport. « Le Conseil conclut également que la culture de sécurité de Microsoft était inadéquate et nécessite une refonte, en particulier à la lumière du rôle central de l'entreprise dans l'écosystème technologique et du niveau de confiance que les clients accordent à l'entreprise pour protéger leurs données et leurs opérations. »
Dans une déclaration à Trading Insider, un porte-parole de Microsoft a déclaré que « les événements récents ont démontré la nécessité d'adopter une nouvelle culture d'ingénierie de sécurité dans nos propres réseaux ».
« Bien qu'aucune organisation ne soit à l'abri d'une cyberattaque provenant d'adversaires disposant de ressources suffisantes, nous avons mobilisé nos équipes d'ingénierie pour identifier et atténuer les infrastructures existantes, améliorer les processus et appliquer des critères de sécurité », a déclaré le porte-parole de Microsoft.
Le conseil d'administration a également réprimandé Microsoft pour avoir annoncé en septembre 2023 avoir trouvé la cause profonde de l'attaque. Mais deux mois plus tard, il a admis au conseil d'administration qu'il s'était trompé sur la cause – et n'a mis à jour l'annonce pour refléter cette inexactitude qu'en mars 2024, indique le rapport.
Le CSRB a conclu que, dans la mesure où les systèmes de Microsoft sont essentiels à la sécurité nationale et à l'économie mondiale, l'entreprise doit remédier rapidement et substantiellement à ses vulnérabilités en matière de sécurité.
