Le gouvernement américain demande à Microsoft d'améliorer sa sécurité avant d'ajouter de nouvelles fonctionnalités.

Le piratage de Microsoft par la Chine montre pourquoi la sécurité doit toujours être privilégiée par rapport aux fonctionnalités et pourquoi il ne doit pas y avoir de clé générale pouvant être utilisée comme "porte dérobée".

Microsoft got hacked by China, and a new report draws a devastating conclusion.

La Chine a réussi à pirater les serveurs de messagerie de Microsoft en 2023. Microsoft n'a pas détecté l'attaque, mais a dû en être informé par des représentants du gouvernement américain. Ce scandale a incité les États-Unis à enquêter sur les normes de sécurité de Microsoft. Le rapport qui vient d'être publié dresse un tableau dévastateur de la situation : Il recommande à Microsoft de suspendre l'introduction de nouvelles fonctionnalités jusqu'à ce qu'elle ait résolu ses problèmes de sécurité et mis en place une culture d'entreprise adéquate en matière de sécurité.


Ce qui s’est passé

En juillet 2023, un grave problème de sécurité a été révélé dans les serveurs de messagerie de Microsoft. Selon les rapports, Microsoft a perdu une clé de connexion générale à l’ensemble de son système de messagerie, ce qui a entraîné le piratage du gouvernement américain. Des attaquants malveillants supposés être liés au gouvernement chinois ont été en mesure de siphonner environ 60 000 courriels du département d’État américain, de l’ambassadeur américain en Chine et d’autres courriels de représentants du gouvernement américain.

Microsoft elle-même n’a pas détecté la violation de données, dont la Chine a abusé depuis la mi-mai 2023. En revanche, les fonctionnaires du département d’État ont pu la détecter eux-mêmes en juin 2023 et l’ont notifiée à Microsoft. Qui plus est, le département d’État américain n’a pu enquêter sur la violation que parce qu’il utilisait un plan Microsoft plus onéreux, qui permettait d’accéder aux journaux - une fonction qui, jusqu’alors, n’était pas disponible dans les plans moins onéreux. À la suite de l’incident, Microsoft a autorisé l’accès à ces journaux pour les niveaux de prix inférieurs de son produit. C’était au moins la bonne décision, car nous pensons qu’une fonction de sécurité ne doit pas être enfermée derrière un mur payant !

Microsoft, l’entreprise la plus précieuse au monde, n’a pas été en mesure de détecter la faille toute seule. Après avoir été informés par les autorités américaines, les experts en sécurité de Microsoft ont approfondi leur enquête et découvert que les comptes de messagerie Microsoft Exchange Online de 22 organisations et de 503 personnes avaient été touchés par l’attaque. Ils ont découvert que des attaquants chinois du groupe Storm-0558 avaient réussi à obtenir un code de sécurité spécial qui leur permettait d’accéder à n’importe quel compte de messagerie de Microsoft. Les services de renseignement américains ont révélé que l’attaque avait été menée pour l’un des services d’espionnage les plus puissants de Pékin, le ministère de la sécurité d’État (MSS), qui mène de vastes opérations de piratage informatique à l’échelle de l’État-nation.

Le tollé a été énorme et le ministère de la sécurité intérieure a annoncé qu’il mettrait en place un comité d’examen de la cybersécurité (Cyber Safety Review Board - CSRB) pour examiner les pratiques de Microsoft en matière de sécurité dans le nuage. La tâche principale de ce comité indépendant était la suivante :

“Le CSRB évaluera la récente intrusion de Microsoft Exchange Online, initialement signalée en juillet 2023, et procédera à un examen plus large des questions relatives à l’infrastructure d’identité et d’authentification basée sur le cloud, affectant les FSC concernés et leurs clients” … “Le Conseil élaborera des recommandations exploitables qui feront progresser les pratiques de cybersécurité à la fois pour les clients de l’informatique en nuage et pour les FSC eux-mêmes”.

Le rapport tire une conclusion dévastatrice pour Microsoft

Le comité indépendant d’examen de la cybersécurité mandaté par le président américain Joe Biden vient de publier ses conclusions, et elles sont mauvaises, vraiment mauvaises.

Le rapport conclut que “l’intrusion de Storm-0558, un groupe de pirates informatiques considéré comme affilié à la République populaire de Chine, aurait pu être évitée” et que la violation de données “n’aurait jamais dû se produire”.

Le rapport soulève de vives inquiétudes car Microsoft ne sait toujours pas comment les Chinois ont pu accéder aux boîtes aux lettres Microsoft Exchange Online et accuse Microsoft d’avoir de très mauvaises pratiques en matière de cybersécurité, une absence intentionnelle de transparence et des pratiques laxistes en matière de sécurité d’entreprise.

Selon le rapport, Microsoft a commis une “cascade d’erreurs évitables” qui résultent directement d’une mauvaise culture de la sécurité. Par exemple, la clé utilisée pour accéder aux comptes de messagerie aurait déjà dû être désactivée en 2021 et n’aurait jamais dû permettre d’accéder aux comptes de messagerie du ministère des affaires étrangères.

Un porte-parole de Microsoft a déclaré au Washington Post que

”les événements récents ont démontré la nécessité d’adopter une nouvelle culture de sécurité technique dans nos propres réseaux. Bien qu’aucune organisation ne soit à l’abri d’une cyberattaque de la part d’adversaires disposant de ressources suffisantes, nous avons mobilisé nos équipes d’ingénieurs afin d’identifier et d’atténuer les infrastructures existantes, d’améliorer les processus et d’appliquer les normes de sécurité.”

Le rapport indique toutefois que cela n’est pas suffisant : La “culture de sécurité de Microsoft était inadéquate et nécessite une refonte”.

Cascade d’erreurs de Microsoft

Microsoft ist das wertvollste Unternehmen der Welt, obwohl es eine schlechte Sicherheitskultur hat. Microsoft ist das wertvollste Unternehmen der Welt, obwohl es eine schlechte Sicherheitskultur hat. Microsoft est l’entreprise la plus précieuse au monde, même si sa culture de la sécurité laisse à désirer.

Le rapport souligne que de multiples erreurs de la part de Microsoft ont conduit à la vulnérabilité des boîtes aux lettres Exchange.

  1. L’ancienne clé de signature utilisée par les pirates chinois pour pénétrer dans le système aurait déjà dû être désactivée en 2016.
  2. Microsoft aurait dû passer d’une rotation manuelle à une rotation automatisée des clés - ce qui aurait automatiquement désactivé l’ancienne clé - mais ne l’a pas fait.
  3. La clé a fonctionné comme une porte dérobée vers les réseaux des consommateurs et des entreprises, ce qui constitue une violation des protocoles de sécurité.
  4. Un ingénieur d’une entreprise acquise par Microsoft en 2020 travaillait sur un ordinateur portable compromis et, en 2021, a accédé au réseau de l’entreprise à partir de cette machine. Il n’est pas certain que cet ordinateur portable soit à l’origine de la faille, mais Microsoft a publié une mise à jour en mars 2024 indiquant qu’un “compte d’ingénieur compromis” est la “principale hypothèse” pour la cause de la faille.
  5. Au lieu de laisser cette compromission passer inaperçue, Microsoft aurait dû procéder à une évaluation correcte de la sécurité du réseau de l’entreprise après son acquisition - ce qu’elle n’a pas fait.

Dans l’ensemble, cette chaîne d’erreurs montre que la sécurité n’est pas la priorité de Microsoft, ce que le rapport critique vivement.

Il va jusqu’à dire que Microsoft devrait écouter son fondateur Bill Gates qui souligne l’importance de la sécurité dans un courriel de l’entreprise en 2002 déjà :

“Par le passé, nous avons rendu nos logiciels et nos services plus attrayants pour les utilisateurs en ajoutant de nouvelles caractéristiques et fonctionnalités. … Aujourd’hui, lorsque nous devons choisir entre l’ajout de fonctionnalités et la résolution de problèmes de sécurité, nous devons opter pour la sécurité”.

Risque pour la sécurité nationale

La violation de données causée par une culture de sécurité laxiste chez Microsoft devient encore plus grave si l’on considère que Microsoft est le principal fournisseur de nombreux gouvernements, non seulement aux États-Unis, mais aussi en Allemagne et dans de nombreux autres pays européens.

Le risque ne se limite pas à Microsoft. Les grands fournisseurs de services en nuage, tels que Google, Apple, Amazon et Microsoft, sont des cibles lucratives pour les adversaires des pays occidentaux et doivent se concentrer sur la sécurité. Le rapport du Comité d’examen de la cybersécurité se termine par une déclaration : “L’ensemble du secteur doit s’unir pour améliorer considérablement l’infrastructure d’identité et d’accès. La sécurité mondiale en dépend”.

Si des attaquants malveillants parviennent à s’introduire dans les comptes de courrier électronique de fonctionnaires, d’autorités publiques, voire de services de renseignement, des pays comme la Chine et la Russie peuvent mettre la main sur des informations très sensibles, mettant ainsi en péril notre sécurité nationale.

Et il semble que les adversaires aient appris à connaître les faiblesses de Microsoft.

En 2021, des attaquants malveillants venus de Chine - toujours avec le soutien du gouvernement chinois - ont réussi à compromettre les serveurs de messagerie Microsoft Exchange, ce qui a affecté au moins 30 000 comptes organisationnels d’entreprises et d’entités gouvernementales.

Toujours en 2021, la société Wiz, spécialisée dans la sécurité, a révélé une vulnérabilité dans l’infrastructure Microsoft Azure qui a permis à des attaquants d’accéder, de modifier et de supprimer les données de milliers de clients Azure. À l’époque, cette faille a été décrite comme “la pire vulnérabilité dans le nuage que l’on puisse imaginer” (bien que le piratage chinois de 2023 l’ait surpassée), car Wiz pouvait accéder à littéralement n’importe quelle base de données de clients de Microsoft Azure.

Mais la Chine n’est pas le seul adversaire :

En janvier 2024, des attaquants russes sponsorisés par le Service de renseignement extérieur (SVR) de la Russie ont attaqué le service de messagerie d’entreprise de Microsoft. Microsoft a identifié les attaquants comme étant Midnight Blizzard; ils ont pu s’introduire dans les boîtes aux lettres de cadres supérieurs et d’employés chargés de la sécurité.

En 2020, des pirates informatiques russes, financés par le gouvernement russe, ont réussi à attaquer le logiciel de réseau de SolarWind, ce qui leur a permis de s’emparer des courriels d’au moins neuf agences fédérales américaines et d’une centaine d’entreprises. À la suite de cette attaque, Microsoft a appelé à “la nécessité d’une réponse forte et globale en matière de cybersécurité”.

Malheureusement, le rapport du CSRB montre que Microsoft n’a pas donné suite à son appel en faveur d’une meilleure stratégie de sécurité.

3 Leçons tirées du rapport du CSRB

Les vulnérabilités du service de messagerie électronique de Microsoft au cours des cinq dernières années ayant été dramatiques, il est important de se concentrer maintenant sur la résolution du problème sous-jacent : une culture de sécurité laxiste. Chez Tuta, nous construisons un service de courrier électronique et de calendrier chiffré de bout en bout, en mettant clairement l’accent sur la protection de la vie privée et la sécurité. Notre expérience nous permet d’affirmer que les meilleures pratiques en matière de sécurité doivent inclure les éléments suivants :

1. La sécurité doit toujours être prioritaire sur les fonctionnalités.

Il s’agit là d’une décision commerciale difficile à prendre, car la sécurité en elle-même ne permet pas de vendre un produit ; les fonctionnalités sont nécessaires à cet effet. Mais il est de la plus haute importance de corriger immédiatement les vulnérabilités et de chiffrer autant de données que possible, comme dans le cas de Tuta Mail. Il est également réjouissant de constater que le gouvernement allemand souhaite inscrire le droit au chiffrement dans la loi. En Allemagne, l’importance de la sécurité est déjà plus grande, par exemple dans le Schleswig-Holstein. L’État fédéral le plus septentrional d’Allemagne est en train de migrer de Windows à Linux, ce qui est un grand pas en avant en termes de sécurité et de souveraineté numérique.

Chez Tuta, nous sommes tout à fait d’accord avec la conclusion du rapport : La sécurité doit être privilégiée par rapport aux fonctionnalités.

2. Les clés générales pouvant être utilisées comme “portes dérobées” ne doivent pas exister.

Le dernier piratage de Microsoft Exchange n’a été possible que parce que des attaquants chinois ont volé une clé générale qui leur a permis de se connecter aux boîtes aux lettres Exchange. Il s’agissait d’une porte dérobée très lucrative pour la Chine, qui n’aurait jamais dû exister. Chez Tuta, nous suivons une pratique de sécurité stricte selon laquelle les clés de décryptage privées ne sont accessibles qu’à l’utilisateur, et jamais à nous en tant que fournisseur de services. Il n’y a pas de clé générale pour décrypter les données des utilisateurs - et il ne doit pas y en avoir pour des raisons de sécurité. L’absence d’une clé générale pouvant être utilisée comme porte dérobée garantit qu’une violation de données comme celle qui s’est produite chez Microsoft en 2023 est impossible avec Tuta Mail.

Notre fondateur Matthias Pfau explique pourquoi cela est important et pourquoi les clés privées ne doivent jamais être stockées sur un serveur central.

3. Les fonctions de sécurité doivent être disponibles gratuitement.

Le piratage de Microsoft Exchange n’a été découvert par le Département d’État américain que parce qu’il avait accès à une fonction de journal - qui n’était pas incluse dans les niveaux de prix inférieurs. Chez Tuta, toutes les fonctions de sécurité sont toujours disponibles pour tous les utilisateurs, même dans les plans gratuits. Cela inclut notre tout nouveau cryptage post-quantique ainsi que l’authentification à deux facteurs pour sécuriser les identifiants de connexion et le traitement des sessions.

C’est une bonne chose que Microsoft ait maintenant donné accès à la fonction d’enregistrement aux niveaux de prix inférieurs, mais il aurait dû le faire dès le début.

En conclusion, on en revient vraiment à ce que le fondateur de Microsoft, Bill Gates, a dit en 2002 : Il est important de donner la priorité à la sécurité plutôt qu’aux fonctionnalités, non seulement pour Microsoft, mais aussi pour tout fournisseur de services en nuage.

L’avenir nous dira si ce piratage par la Chine incite enfin Microsoft à instaurer une véritable culture de la sécurité.

D’ici là, n’hésitez pas à enregistrer une boîte aux lettres sécurisée et cryptée avec Tuta Mail.