Le CSRB le confirme : la sécurité de Microsoft Cloud est compromise

Depuis longtemps déjà, les produits et services de Microsoft sont en ligne de mire. En cause : les pratiques peu transparentes de collecte de données, les risques en matière de protection des données et les failles de sécurité du géant du numérique. Ces accusations concernent d’autant plus les services cloud de Microsoft. En 2021 et 2022 déjà, Microsoft Azure avait fait l’objet de plusieurs graves incidents de sécurité. Mais c’est l’année dernière que le programme a connu le plus grand fiasco lorsque le groupe de pirates chinois Storm-0558 est parvenu à dérober une clé de signature pour Azure. Ces derniers ont ainsi pu accéder à de nombreux comptes d’e-mail de l’univers Microsoft, y compris à ceux d’employés du gouvernement des États-Unis. Un rapport récent du Cyber Safety Review Board (CSRB), la commission américaine chargée des incidents de cybersécurité, révèle cependant que Microsoft aurait pu empêcher cette attaque.

Petit récapitulatif de la situation : en juin, une administration américaine a enregistré des activités anormales dans ses comptes Exchange en ligne et en a informé Microsoft. Les recherches qui ont suivi ont mis au jour des problèmes de sécurité conséquents que le géant du numérique n’a révélés que timidement et au compte-gouttes. Visiblement, les pirates se sont emparés d’une clé de signature qui leur a permis de se générer leurs propres autorisations d’accès à Outlook Web Access et Outlook.com. Pire encore, la clé Microsoft volée était ce que l’on appelle une « OpenID Signing Key » pour l’Active Directory d’Azure (ou AAD). Les acteurs malveillants ont ainsi pu créer des jetons d’accès pour presque tous les services cloud de Microsoft et même pu accéder à des instances AAD internes aux entreprises ainsi qu’à leurs applications cloud lorsque celles-ci permettaient la connexion via Microsoft (« Login with Microsoft »). Microsoft a par la suite bloqué la clé compromise. Cependant, comme le révèlent des rapports détaillés de la plateforme informatique Heise, nul ne sait si les pirates n’en ont pas profité pour installer des portes dérobées dans l’ensemble du nuage Microsoft. Même un mois plus tard, l’entreprise était incapable de véritablement comprendre comment ce vol avait pu se produire. De même, l’incertitude plane quant à la raison pour laquelle les autorisations d’accès générées à l’aide de la clé dérobée ont fonctionné.

Des failles de sécurité chez Microsoft critiquées par le rapport du CSRB
Pour faire toute la lumière sur cet incident, le ministère de la Sécurité intérieure des États-Unis (« Department of Homeland Security ») a ouvert une enquête qui a révélé d’importantes failles de sécurité chez Microsoft. Selon le tout récent rapport du CSRB, le géant du numérique aurait pu éviter ce piratage dévastateur. Visiblement, la culture d’entreprise qui règne chez Microsoft néglige les investissements pourtant nécessaires dans la gestion des risques et la cybersécurité. Cette attitude est pourtant en contradiction avec le rôle central que joue l’éditeur dans l’écosystème technologique, comme le rappelle le CSRB. Ce faisant, il trahit la confiance qui lui est portée par la clientèle. Le CSRB recommande vivement à Microsoft de publier un calendrier présentant précisément comment l’entreprise entend fondamentalement réformer les dispositifs de sécurité. Le rapport critique également tout particulièrement un point : la communication insuffisante de Microsoft. En effet, alors que l’entreprise savait depuis novembre 2023 que son billet de blog du 6 septembre 2023 comportait des informations erronées sur les causes du piratage, le texte n’a été mis à jour que le 12 mars 2024, à savoir après la fin du contrôle du CSRB et suite à plusieurs mises en demeure.

De nouveaux incidents de sécurité à déplorer chez Microsoft
Cette année a une fois de plus vu la liste des incidents s’allonger. Ainsi, au moins de mars, les pirates informatiques du groupe Midnight Blizzard ont visiblement pu accéder à des systèmes et données. Dans un billet de blog, Microsoft a admis ne pas encore avoir réussi à stopper les hackers. Compte tenu de tels risques, les clients feraient bien de se demander s’ils souhaitent vraiment utiliser les services du géant du cloud ou s’ils ne feraient pas mieux de prévoir un retrait ordonné. Au travers de ses différentes administrations et institutions, l’État utilise lui aussi les services Microsoft, comme chacun sait. Au fil des décennies, il s’est ainsi condamné à une relation de dépendance irréfléchie et incontestablement dangereuse. Aux États-Unis, l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a quant à elle réagi en publiant sa directive d’urgence ED 24-02. Celle-ci contraint les services informatiques des administrations civiles américaines à prendre des mesures de protection.

Le CEPD rappelle à l’ordre la Commission européenne quant à son utilisation de Microsoft 365
Tout cela n’a visiblement pas vraiment choqué la Commission européenne, qui a continué à utiliser allègrement Microsoft 365 jusqu’à ce que le Contrôleur européen de la protection des données (CEPD) y mette le holà. Dans un de ses rapports, celui-ci a constaté que l’utilisation de la version sur le nuage d’Office ne respectait pas les normes de protection des données en vigueur. La Commission doit donc prendre des mesures pour assurer sa conformité avec le RGPD. Elle est tenue de faire contrôler soigneusement les systèmes existants et, si nécessaire, de migrer vers des solutions respectueuses des plus hautes normes de protection de données. Dans son rapport, le CEPD a en quelque sorte dit tout haut ce que tout le monde savait depuis belle lurette, contraignant ainsi la Commission à agir.

Les clients aussi doivent passer à l’action
Bon nombre de clients n’ont visiblement pas encore compris la portée de l’attitude cavalière de Microsoft vis-à-vis des normes de sécurité et de protection des données et c’est consternant. Malgré des défaillances pourtant confirmées par des sources officielles et des incidents de sécurité répétés, ils ne démordent pas de Microsoft 365 alors même que son utilisation pose problème pour leur propre conformité. On ne veut même pas s’imaginer quelles conséquences pourrait avoir le fait de confier des données à des outils d’IA de Microsoft. Au lieu de cela, les entreprises et collectivités devraient faire tout ce qui est en leur pouvoir pour reprendre le contrôle de leurs systèmes informatiques.

Une mesure d’urgence efficace serait de passer à des logiciels installés sur site. En exploitant les produits Microsoft sur leurs propres serveurs ou dans leurs propres centres de données, les clients peuvent veiller au respect de leurs propres règles de sécurité tout en préservant leur souveraineté numérique. Les licences d’occasion offrent quant à elles de belles économies à la clé, sachant que les produits Microsoft récents sont eux aussi proposés sur le marché de la seconde main. Et pour ceux et celles qui ne peuvent se passer du cloud, la meilleure solution est de combiner plusieurs prestataires pour réduire les risques de sécurité et éviter les situations de dépendance unilatérale.