La sécurité de Microsoft remise en question après une cyberattaque chinoise.

La récente cyberintrusion chinoise a déclenché un débat important sur la responsabilité des fournisseurs de services cloud dans la garantie de la sécurité de leurs clients. Le service cloud haut de gamme de Microsoft, qui semble offrir une meilleure sécurité, est devenu un point central, les responsables de l'administration Biden et le sénateur Ron Wyden critiquant l'entreprise pour ne pas mettre les informations cruciales de connexion à la disposition de tous les utilisateurs.

Les logiciels de journalisation jouent un rôle essentiel dans la détection et l'investigation des cyberattaques, en assurant le suivi de toutes les activités du serveur. Cependant, cet incident a révélé que les données de journalisation critiques nécessaires pour identifier l'attaque étaient exclusivement accessibles aux clients du service cloud premium de Microsoft, selon les responsables de l'Agence de cybersécurité et de sécurité des infrastructures (CISA) du département de la Sécurité intérieure qui travaillent avec l'équipe d'intervention en cas d'incident de Microsoft DART.

Le piratage révélé a touché près d'une vingtaine d'organisations à travers le monde, dont les départements d'État et du Commerce. Il ne s'agissait pas d'une simple violation de données, mais d'une attaque d'une sophistication technique inhabituelle, ciblant des victimes spécifiques, qui souligne les enjeux de la cybersécurité à l'ère numérique.

Le département d'État a été le premier à identifier l'intrusion et l'a signalée à Microsoft le mois dernier. Cependant, l'outil utilisé pour découvrir la faille n'est pas inclus dans tous les packages Microsoft 365. Cet outil fait partie du package de licence Microsoft 365 le plus haut de gamme, connu sous le nom de E5, dont le prix est environ 60 % plus élevé que celui du package E3, mais qui offre un éventail de fonctionnalités plus large. Pour les entités gouvernementales, ces packages sont respectivement identifiés comme G5 et G3.

À la suite de cet épisode de piratage, les responsables de l'administration Biden ont déclaré mercredi que Microsoft devait rendre ces informations vitales largement accessibles. Lors d'une conférence de presse consacrée à cet incident, un haut responsable de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a souligné que « toute organisation utilisant un service technologique tel que Microsoft 365 devrait avoir accès aux journaux et autres données de sécurité dès le départ afin de pouvoir détecter de manière raisonnable les activités cybermalveillantes ».

Toute organisation utilisant un service technologique tel que Microsoft 365 devrait avoir accès à des données de connexion et autres données de sécurité prêtes à l'emploi afin de détecter de manière raisonnable les activités cybercriminelles malveillantes.

- Haut responsable de la CISA

Parallèlement, une enquête est en cours afin de déterminer si Microsoft a respecté les dispositions fédérales en matière de cybersécurité applicables aux fournisseurs de services cloud. Le sénateur Ron Wyden, figure active de la commission sénatoriale du renseignement chargée des questions de cybersécurité et de politique technologique, a critiqué la pratique consistant à facturer des frais supplémentaires pour des fonctionnalités de sécurité essentielles. Il a comparé cette pratique à la vente d'une voiture puis à la facturation de frais supplémentaires pour les ceintures de sécurité et les airbags.

En réponse à la pression croissante, Microsoft a annoncé qu'il étudiait des solutions potentielles. Un porte-parole de Microsoft a déclaré jeudi : « Nous évaluons les commentaires et sommes ouverts à d'autres modèles. Nous collaborons activement avec la CISA et d'autres agences à ce sujet. »

La découverte de cette vaste campagne de piratage est due aux spécialistes en sécurité du Département d'État qui, équipés d'outils de journalisation, ont remarqué une activité inhabituelle sur leur réseau en juin. Après avoir été informé de la situation, Microsoft a réussi à identifier les victimes, même celles qui n'étaient pas abonnées au service premium.

Le nœud du problème réside dans les fichiers journaux, qui sont des enregistrements numériques permettant de suivre l'activité sur le cloud de Microsoft. Ces journaux contiennent des informations précieuses, telles que le navigateur et le système d'exploitation utilisés pour accéder au système, qui sont essentielles pour retracer les activités criminelles après un piratage.

La complexité apparaît avec l'avènement du cloud computing, où les responsabilités sont réparties entre les opérateurs cloud tels que Microsoft et leurs clients. Les fournisseurs affirment que la conservation de volumes importants de données de ce type peut être coûteuse, tandis que les clients ignorent souvent la nécessité de ces journaux jusqu'à ce qu'un piratage se produise, moment auquel il peut être trop tard pour les récupérer.

Volexity, une entreprise spécialisée dans la cybersécurité, a mis en lumière un cas spécifique où les journaux limités de la licence Microsoft 365 E3 moins coûteuse d'un client n'ont pas permis de révéler les preuves de l'attaque. Ce problème souligne l'importance de disposer de capacités de journalisation complètes et soulève la question de savoir si les fonctionnalités de sécurité haut de gamme devraient être accessibles à tous les utilisateurs.

À mesure que le cloud computing se généralise, il incombe tant aux fournisseurs de services cloud qu'aux clients de veiller à ce que des mesures adéquates soient mises en place pour détecter et atténuer les cyberattaques. Cet incident rappelle de manière frappante les lacunes qui peuvent exister dans les infrastructures de cybersécurité et l'importance d'adopter une approche globale en matière de sécurité numérique.