Faille de sécurité de Microsoft Azure : ce que doivent faire les entreprises

Ces dernières années, la plateforme cloud Azure de Microsoft a connu plusieurs failles de sécurité majeures. Or, cela n’a pas empêché les clients européens de Microsoft de se voir imposer une série de hausses de prix pour les abonnements et les services cloud. Et voilà que maintenant le désastre est complet : des pirates informatiques chinois ont volé la clé principale (master key) du cloud de Microsoft. Une attaque qui a également affecté des services tels qu’Outlook et Exchange. Dans ce contexte, la gestion de la crise par Microsoft est loin d’avoir été exemplaire. Cela démontre une fois de plus que les entreprises ne doivent pas être tributaires des géants du cloud ni se fier à leurs architectures de sécurité. Mieux vaut pour elles de privilégier à nouveau une combinaison de licences sur site et d’infrastructures cloud de différents fournisseurs.

La faille de sécurité de Microsoft Azure est loin d’être un cas isolé

Dans le cloud de Microsoft, on n’en est pas à la première bévue de taille. En 2021 par exemple, c’est la faille « OMIGOD » qui a fait le buzz : une vulnérabilité affectant un agent logiciel installé par Microsoft à l’insu des clients permettait d’avoir pleinement accès aux serveurs d’Azure. Les pirates avaient ainsi la possibilité d’exécuter n’importe quel code malveillant grâce aux droits root. Côté client, les administrateurs ne se doutaient de rien, puisqu’ils ne connaissaient pas l’existence de cet élément compromis. À l’époque, Microsoft avait réagi mollement à cette attaque, laissant même en partie les entreprises résoudre le problème toutes seules. Parce que les mises à jour de sécurité nécessaires n’ont pas été installées automatiquement lors du Patch Day, les administrateurs ont dû faire l’installation eux-mêmes.

ExtraReplica, la faille de sécurité suivante d’Azure, est intervenue en janvier 2022. Les experts en sécurité de Wiz, start-up américaine spécialisée en cybersécurité des environnements cloud, ont découvert qu’une vulnérabilité sur le serveur flexible Azure Database pour PostgreSQL avait permis aux hackers d’accéder aux bases de données de plusieurs comptes sans autorisation. Une erreur de configuration sur un point de terminaison (BlueBleed) a ainsi exposé les données sensibles de dizaines de milliers de clients. Le 19 octobre 2022, Microsoft a confirmé que 65 000 entreprises dans 111 pays étaient concernées. Cette série se poursuit allègrement en 2023 avec BingBang, une faille de sécurité affectant le service Azure Active Directory (ADD). Cette fois-ci, c’est une mauvaise configuration d’une application de quiz de Bing qui permettait de manipuler les contenus figurant sur Bing.com. Ainsi, les cybercriminels auraient notamment pu effectuer une attaque de type cross-site scripting (XSS) pour accéder aux comptes Microsoft 365 de millions de clients.

Ce que nous savons sur la dernière vulnérabilité d’Azure

Dès le 30 mars 2023, les experts en sécurité informatique de Tenable ont annoncé à Microsoft avoir découvert une vulnérabilité critique dans le système d’authentification central de la plateforme Microsoft Power. En juin, une administration américaine a enregistré des activités anormales dans ses comptes Exchange. Microsoft a réagi tardivement alors que l’on pouvait déjà supposer qu’il s’agissait là d’un problème de sécurité majeur. Ce n’est que le 11 juillet, soit des mois plus tard et suite à l’insistance de Tenable, que Microsoft a annoncé dans un billet de blog que la plateforme Power avait été affectée par une cyberattaque massive. Il faudra attendre encore près d’un mois pour que le géant des logiciels finisse par publier un correctif visant à colmater la faille de sécurité responsable. C’est par un billet de blog (en anglais) pour le moins laconique que Microsoft a choisi de l’annoncer.

Pourquoi la faille de sécurité de Microsoft s’apparente à un immense fiasco

Lors de la cyberattaque, les hackers se sont emparés d’une clé de signature de Microsoft qui leur a donné accès à Outlook.com et à Outlook Web Access, où ils ont pu notamment télécharger des e-mails et des pièces jointes. Mais ce n’est pas tout : la clé dérobée étant une clé de signature openID pour l’ADD, les cybercriminels ont pu créer des jetons d’accès pour les comptes utilisateurs de presque tous les services cloud de Microsoft. Ils ont également eu accès aux instances AD d’Azure que les entreprises exploitent elles-mêmes, à condition qu’elles fassent confiance à d’autres instances ADD et qu’un « Login with Microsoft » (connexion avec Microsoft) soit possible. Depuis, Microsoft a certes bloqué la clé, mais on ne sait pas dans quelle mesure les pirates ont eu le temps d’installer des portes dérobées dans l’ensemble du cloud de Microsoft. À ce jour, Microsoft n’a fourni aucune explication convaincante sur la manière dont la cyberattaque a pu se produire et sur son déroulement précis.

Les clients revoient leur stratégie

Compte tenu de ces incidents, il est évident que la dernière faille de sécurité d’Azure ne sera pas la dernière. Les entreprises doivent donc agir de toute urgence et repenser leur stratégie. En effet, être dépendant de quelques grands fournisseurs de cloud, c’est s’exposer à des risques conséquents. L’interruption des services des dits fournisseurs, que ce soit suite à la défaillance des mesures de sécurité ou pour d’autres raisons, met considérablement à mal l’infrastructure de ces entreprises. Les répercussions sont d’autant plus graves si l’on utilise plusieurs services cloud d’un même fournisseur. Aux clients d’en tirer eux-mêmes les conséquences. Plutôt que de suivre aveuglément la tendance du cloud, mieux vaut, pour des raisons de sécurité, recourir à une stratégie hybride. En combinant les offres IaaS de différents fournisseurs avec des logiciels classiques sur site, les entreprises peuvent éviter l’effet « lock-in » ou « effet propriétaire » et répartir les risques. C’est là une stratégie qui s’avère également payante sur le plan économique, puisque les clients ne subissent plus les hausses de prix répétées des éditeurs. Les licences sur site ont en outre l’avantage de pouvoir être également achetées d’occasion. De quoi faire des économies en évitant la dépendance numérique.