Longtemps relativement épargné par les autorités américaines par comparaison avec d'autres géants technologiques américains comme Facebook, Apple et Twitter, Microsoft est actuellement sous le feu des critiques de certains élus américains. Ils lui reprochent des négligences ayant conduit à un piratage lourd de conséquences.

Ronald Wyden, le sénateur démocrate de l'Oregon, a notamment demandé au Département de la Justice d'ouvrir une enquête pour éclaircir les circonstances de l'attaque.

Une attaque qui touche aux plus hauts niveaux de l'État américain

Durant le mois de juillet, Microsoft et l'Agence de cybersécurité et de sécurité des infrastructures (CISA) ont fait état d'une cyberattaque réussie ayant touché plusieurs clients des services de messagerie de Microsoft Exchange Online et Outlook.

L'affaire est d'autant plus sérieuse que le piratage ne touche pas seulement des internautes lambda, mais également des membres hauts placés du gouvernement. Parmi les individus concernés, figurent notamment l'ambassadeur américain en Chine, Nicholas Burns, ainsi que Gina Raimondo, la secrétaire du commerce, et un membre du département d'État dont le nom n'a pas été révélé. L'attaque est pour l'heure attribuée à un groupe chinois non identifié, baptisé Storm-0558. Un officiel chinois a nié toute responsabilité de son pays dans l'attaque.

« L'affaire est toujours en cours d'investigation, mais étant donné que la faille semble avoir pénétré au cœur des systèmes d'information d'Azure, la situation est très inquiétante et l'on n'en a sans doute pas encore mesuré toutes les conséquences », affirme Eric Le Quellenec, avocat chez Simmons & Simmons, spécialisé dans la cybersécurité et la confidentialité des données.

Lire aussiCybersécurité : « L'univers du logiciel s'est complexifié, effectuer des tests de sécurité ne suffit plus »

Une faille dans l'usage des clefs de chiffrement chez Microsoft

Les pirates sont parvenus à mettre la main sur une clef de chiffrement privée Microsoft Azure. Elle leur a ensuite permis de générer des jetons d'authentification. Ces derniers fonctionnent comme des laissez-passer numériques. En effet, ils certifient à un serveur qu'un utilisateur est en droit d'y accéder. En possession de ces jetons, les cybercriminels ont ainsi pu s'infiltrer dans les serveurs de messagerie, comme s'ils étaient des utilisateurs légitimes.

Il semble que les cybercriminels aient réussi à mettre la main sur la clef privée d'un ancien employé, qui aurait dû être désactivée, mais ne l'a pas été. « Il s'agirait d'une clef de chiffrement expirée qu'ils ont réussi à prolonger, usurpant ainsi l'identité des anciens titulaires légitimes de celle-ci. Normalement, la désactivation aurait dû être immuable, c'est un manquement qui interroge de la part de Microsoft », analyse Eric Le Quellenec.

On ignore pour l'heure comment ils ont réussi à entrer en possession de cette clef de chiffrement, que l'utilisateur est normalement le seul à détenir.

Lire aussiCyber, IA : les leçons de la guerre en Ukraine

Microsoft a-t-il minimisé l'affaire ?

Outre le fait que les sommets de l'État américain soient affectés, ce piratage fait également parler de lui car Microsoft est accusé d'avoir voulu minimiser son ampleur. C'est du moins ce qu'affirme une enquête de Wiz, une jeune pousse basée à New York et spécialisée dans la sécurité du cloud. Dans un rapport sur l'accident, la startup affirme notamment que, contrairement à ce qu'affirme Microsoft, la clef dérobée par les pirates ouvre l'accès à pratiquement toutes les applications hébergées sur Azure, dont, entre autres, SharePoint, Teams ou encore OneDrive, et pas seulement à Outlook.

Si, en l'occurrence, c'est Microsoft qui a été la cible de ce piratage, Wiz ajoute toutefois que cette défaillance sécuritaire concerne tous les acteurs du cloud.

« Notre industrie, et en particulier les fournisseurs cloud, doit adopter un plus haut niveau de sécurité et de transparence quant à la façon dont elle protège les clefs privées comme celle-ci, afin d'éviter de futurs incidents et de limiter leur impact potentiel », écrit ainsi Shir Tamari, à la tête de la recherche chez Wiz, dans un article de blog résumant les conclusions de l'enquête menée par la jeune pousse.

Autre problème, selon Wiz : il pourrait être très difficile pour les clients de Microsoft touchés par le piratage de détecter les jetons d'authentification qui ont été créés frauduleusement, et donc de déterminer s'ils ont été victimes d'une intrusion.

« Malheureusement, il y a un manque de pratiques standardisées lorsqu'il s'agit de se connecter à des applications spécifiques, poursuit Shir Tamari. Ainsi, dans la plupart des cas, les propriétaires d'applications n'ont pas les détails de connexion contenant le jeton d'accès ou la clef de chiffrement. Par conséquent, identifier et enquêter sur de tels événements peut s'avérer extrêmement difficile pour les propriétaires d'applications. »

Dans un communiqué, Microsoft a réagi à l'enquête de Wiz. Le géant américain affirme que celle-ci se basait sur de simples suppositions. « Cet article de blog met en lumière des scenarii d'attaque hypothétiques, mais nous ne les avons pas observés dans la réalité », affirme l'entreprise.

Comment les entreprises peuvent et doivent réagir

Pour Eric Le Quellenec, l'affaire doit surtout servir de mise en garde pour toutes les sociétés clientes des hyperscalers.

« On lit beaucoup dans la presse que Microsoft doit faire ceci ou bien cela, mais c'est aussi et surtout aux sociétés clientes de prendre leurs dispositions en matière de sécurité : on voit que même une société aussi puissante et technologiquement avancée que Microsoft ne peut pas garantir le risque zéro.

Cela implique de mettre en place systématiquement l'authentification multifacteur, mais aussi de se doter de son propre SOC avec une cellule de veille et un dispositif d'alerte en cas d'intrusion et d'événement anormal, en plus de celui apporté par le ou les fournisseurs cloud. Enfin, les dispositifs du type "bring your own key", où le client apporte sa propre clef privée,, plutôt que de s'appuyer sur la technologie de son fournisseur cloud pour la générer, sont amenés à se généraliser. Cela évite d'avoir un système ou la clef et le verrou sont entre les mains du fournisseur cloud. »

Microsoft a déjà effectué un geste commercial en faisant de l'authentification double facteur, un paramètre par défaut pour la plupart de ses utilisateurs, alors qu'il revenait auparavant à l'administrateur du système d'information de l'activer ou non. Les clients d'Azure pourront en outre consulter gratuitement les journaux de sécurité d'importance critique, qui permettent de savoir qui se connecte au système et à partir d'où, pour lesquels il fallait jusqu'à présent payer.

Lire aussiCyber-espionnage : les Chinois Huawei et ZTE dans le viseur de la Commission européenne

Les élus américains demandent des comptes à Microsoft

Il en faudra toutefois sans doute davantage pour convaincre les élus américains, qui ont bien l'intention de pousser plus avant l'investigation. Le sénateur Ronald Wyden n'y va pas de main morte. Il a réclamé l'ouverture de plusieurs enquêtes par le Département de la Justice, pointant directement la responsabilité de la firme de Redmond.

« Même avec la quantité de détails limitée qui a été rendue publique jusqu'à présent, Microsoft porte une responsabilité significative dans ce nouvel incident », écrit-il dans une lettre publique.

Il demande au Département de la Justice de déterminer si Microsoft a bien respecté les standards de cybersécurité applicables aux entreprises privées qui travaillent avec le gouvernement américain. Il demande également à la Federal Trade Commission (FTC), le gendarme américain de la concurrence, d'enquêter sur les pratiques de Microsoft en matière de protection de la vie privée et de sécurité des données. Enfin, le sénateur demande au Cyber Safety Review Board, une agence du département de la Sécurité intérieure, de déterminer pourquoi les manquements de Microsoft en matière de cybersécurité n'ont pas été mis en lumière par les précédents audits gouvernementaux.

Un séisme géopolitique ?

À l'heure où les tensions entre les États-Unis et la Chine atteignent un niveau historique, le piratage de comptes de membres hauts placés du gouvernement par des hackers chinois constitue aussi, et surtout, un risque géopolitique, et ce, d'autant plus s'il s'avère après enquête que le gouvernement chinois est, de près ou de loin, mêlé à l'opération. « On pourra alors dire que la cyberguerre a vraiment démarré », selon Eric Le Quellenec, qui souligne l'existence d'outils susceptibles d'éviter que la situation ne dégénère.

« Malgré tout ce que l'on peut reprocher à Donald Trump, il était parvenu en 2017 à signer une collaboration renforcée sur la cybercriminalité avec Xi Jinping, il faudrait que toutes les mesures soient prises au niveau intergouvernemental pour partir de cette base et établir un dialogue avec la Chine, ce que Joe Biden n'a pour l'heure visiblement pas fait. »

Le silence émanant des instances européennes et françaises étant selon lui non moins sidérant que celui de Washington. « Nous sommes tout aussi exposés que les États-Unis, il est inquiétant que l'Anssi n'ait par exemple pas encore commenté l'affaire et donné des recommandations aux entreprises françaises », s'étonne l'avocat.