Après sept mois d'enquête, le Cyber Safety Review Board (CSRB), dirigé par le ministère américain de la sécurité intérieure, a rendu un rapport lundi sur l'incident impliquant l'acteur de cyberespionnage Storm-0558, affilié à la Chine. Pour rappel, cette opération, découverte pour la première fois par le département d'État américain en juin 2023, comprenait le piratage de courriels officiels et personnels de la ministre du Commerce, Gina Raimondo, et de l'ambassadeur des États-Unis en Chine, Nicholas Burns.

Les pirates ont pu les atteindre en passant par les serveurs de Microsoft, qui fournit des services informatiques hébergés sur le cloud (informatique à distance) et assure le stockage de données sensibles pour de nombreuses entreprises et gouvernements. La firme américaine est d'ailleurs sévèrement pointée du doigt dans le rapport.

Lire aussiPiratage de Microsoft par des hackers chinois : que s'est-il passé ?

Sécurité manquée

La CSRB critique en effet la culture d'entreprise de Microsoft qui est « en contradiction avec la place centrale qu'occupe l'entreprise dans l'écosystème technologique et avec le niveau de confiance que les clients placent dans l'entreprise ».

« La Commission estime que cette intrusion aurait pu être évitée et n'aurait jamais dû se produire », assènent les auteurs du rapport, qui met en évidence « la cascade d'erreurs évitables de Microsoft qui ont permis à cette intrusion de réussir ».

L'étude a mis en évidence une série de décisions opérationnelles et stratégiques prises par Microsoft qui ont ouvert la voie au piratage, notamment le fait de ne pas avoir identifié l'ordinateur portable compromis d'un nouvel employé à la suite d'une acquisition d'entreprise en 2021. Il a également constaté que Microsoft n'a pas respecté les normes de sécurité en vigueur dans les entreprises de cloud concurrentes, notamment Google, Amazon et Oracle.

« Le cloud est l'une des infrastructures les plus critiques que nous ayons. Il est impératif que les fournisseurs de services de cloud accordent la priorité à la sécurité et l'intègrent dès la conception », a déclaré le président du CSRB, Robert Silvers.

Le gouvernement a remercié Microsoft, qui n'a pas répondu immédiatement à une demande de commentaire, d'avoir pleinement coopéré à son examen.

Lire aussiMicrosoft recrute Mustafa Suleyman, figure emblématique de l'intelligence artificielle

Réformes préconisées

Le rapport en tire les conséquences, et recommande à Microsoft d'élaborer et de rendre public un plan assorti d'un calendrier pour mettre en œuvre des réformes de sécurité de grande envergure. Car, dans le futur, les tentatives d'intrusion, déjà nombreuses actuellement, risquent bien de se poursuivre.

Le vice-président du CSRB, Dmitri Alperovitch, a ainsi qualifié Storm-0558 et d'autres acteurs similaires de « menaces persistantes et pernicieuses » qui ont « la capacité et l'intention de compromettre les systèmes d'identité pour accéder à des données sensibles, y compris les courriels de personnes présentant un intérêt pour le gouvernement chinois ».

Les États-Unis estiment d'ailleurs la Chine comme « la plus grande menace de cyberespionnage » ainsi que « la plus active et continue » pour le gouvernement et les entreprises du pays. Et les exemples ne manquent pas. Le ministère de la Justice américain a annoncé ce lundi avoir inculpé sept Chinois pour une « prolifique opération de piratage informatique à l'échelle mondiale » menée pendant 14 ans. Et, début février, les autorités américaines ont annoncé avoir neutralisé un réseau de cyberpirates, baptisé Volt Typhoon, visant les infrastructures civiles du pays pour le compte de la Chine, selon elles.

(Avec AFP)