Le scandale d’espionnage impliquant un vol de clés MSA de Microsoft résonne encore. Les experts et les décideurs politiques contestent ouvertement le rôle de Microsoft dans cette affaire et la manière dont l’entreprise sécurise son cloud Azure.
En juillet, on a découvert qu’au moins 25 organisations occidentales avaient été espionnées par un collectif de pirates informatiques chinois, Storm-0558, bien que l’on pense que l’impact soit plus vaste. Les pirates ont réussi à pénétrer dans les boîtes de réception des victimes via les versions web de Microsoft Exchange et Outlook, où ils ont pu librement explorer pendant des mois. Ils ont accédé au système en imitant une clé MSA.
Bien que Microsoft ait décrit minutieusement dans des articles de blog la manière dont les pirates ont procédé, on ne sait toujours pas exactement comment ils ont obtenu la clé. Pour falsifier un MSA, il faut avoir obtenu la clé d’origine de Microsoft. Les critiques accusent donc de plus en plus explicitement Microsoft d’être le principal coupable et lui reprochent de ne pas avoir agi assez fermement contre les failles de sa propre sécurité.
Amit Yoran, PDG de la société de sécurité Tenable, prend le rôle de dénonciateur. Il déverse sa bile sur LinkedIn, juste pour être sûr que Microsoft lise ce qu’il dit. Yoran écrit que son entreprise a découvert la vulnérabilité en mars et qu’elle en a immédiatement informé Microsoft en raison de sa sévérité. Un premier correctif limité n’a suivi qu’après 90 jours et un correctif intégral n’a suivi qu’en septembre. Bien que la fuite ait été colmatée, Yoran pense tout de même que Microsoft a agi de manière « irresponsable ».
Principes de base de la cybersécurité
Le mot « irresponsable » revient également dans les discussions avec d’autres personnes. Cette affaire est particulièrement mal perçue au sein du gouvernement américain. L’une des cibles les plus visibles de la campagne d’espionnage était Gina Raimondo, ministre des affaires économiques. Le sénateur Ron Wyden accuse Microsoft dans une lettre adressée au centre américain de cybersécurité.
Le sénateur se demande notamment pourquoi il est possible que les attaquants n’aient besoin que d’une seule clé pour accéder aux communications privées des utilisateurs. Pour Wyden, le fait que la clé en question n’ait pas été modifiée depuis cinq ans sème la zizanie. « Alors que les ingénieurs de Microsoft n’auraient jamais dû mettre en place des systèmes violant des principes de cybersécurité aussi fondamentaux, ces failles évidentes auraient dû être découvertes par des audits de sécurité internes et externes », souligne le sénateur.
Perte de confiance
La confiance en Microsoft a été gravement compromise. « Microsoft ne dit que des mots creux comme « faites nous confiance », mais on ne trouve que peu de transparence et de mystère. Comment faire confiance à Microsoft pour faire ce qu’il faut ? Les méthodes de Microsoft nous mettent tous en danger, et c’est encore pire que ce que l’on pensait », dit Yoran, sans aucune pitié.
Microsoft se défend via Ars Technica. « Cet incident souligne l’évolution des défis en matière de cybersécurité face aux attaques avancées. Nous continuons à travailler directement avec les agences gouvernementales sur cette question. » Redmond conseille de consulter son blog Threat Intelligence. Quoi qu’il en soit, Microsoft doit se préparer au pire.