Le gouvernement américain a déclaré le jeudi 11 avril que les pirates informatiques du gouvernement russe qui ont récemment volé des courriels d’entreprise de Microsoft ont obtenu des mots de passe et d’autres documents secrets qui pourraient leur permettre de pénétrer dans plusieurs agences américaines. L’agence pour la cybersécurité et la sécurité des infrastructures, qui dépend du ministère de la Sécurité intérieure, a émis le mardi 9 avril une directive contraignante rare à l’intention d’un nombre indéterminé d’agences, leur demandant de modifier les identifiants de connexion qui ont été utilisés et d’enquêter sur les autres éléments susceptibles de présenter un risque. La directive a été rendue publique le jeudi, après que les destinataires ont commencé à renforcer leurs défenses.

« La compromission réussie des comptes de messagerie d’entreprise de Microsoft et l’exfiltration de la correspondance entre les agences et Microsoft présentent un risque grave et inacceptable pour les agences« , a écrit la CISA. « Cette directive d’urgence exige que les agences analysent le contenu des courriels exfiltrés, réinitialisent les informations d’identification compromises et prennent des mesures supplémentaires pour s’assurer que les outils d’authentification des comptes Microsoft Azure privilégiés sont sécurisés. »

Les responsables de la CISA ont déclaré aux journalistes qu’il n’était pas encore clair si les pirates, associés à l’agence de renseignement militaire russe SVR, avaient obtenu quoi que ce soit des agences exposées. La CISA « n’a pas précisé l’étendue des risques pour les intérêts nationaux« . Mais le directeur adjoint de l’agence pour la cybersécurité a déclaré que « le potentiel d’exposition des informations d’authentification fédérales […] pose un risque urgent pour l’entreprise fédérale, d’où la nécessité de cette directive et des actions qu’elle contient« .

Le système d’exploitation Windows, la messagerie Outlook et d’autres logiciels de Microsoft sont utilisés par l’ensemble du gouvernement américain, ce qui confère à l’entreprise de Redmond, dans l’État de Washington, une énorme responsabilité en matière de cybersécurité des employés fédéraux et de leur travail. Mais cette relation de longue date montre de plus en plus de signes de tension…. Cette faille est l’une des quelques intrusions graves dont a été victime l’entreprise et qui ont exposé de nombreuses autres entreprises à des risques de piratage. Un autre de ces incidents – au cours duquel des pirates du gouvernement chinois ont percé la sécurité des logiciels cloud de Microsoft pour voler les courriels de fonctionnaires du département d’État et du département du commerce – a déclenché un examen fédéral majeur qui, la semaine dernière, a appelé l’entreprise à revoir sa culture, que le Conseil d’examen de la cybersécurité a citée comme ayant permis une « cascade d’erreurs évitables ».

La directive contraignante émise par la CISA à l’intention des agences américaines est présentée ci-dessous. Il s’agit d’une version conviviale de la directive d’urgence 24-02 de l’Agence pour la cybersécurité et la sécurité des infrastructures, intitulée « Atténuer le risque important de compromission par un État-nation du système de messagerie électronique de l’entreprise Microsoft. »

La section 3553(h) du titre 44, U.S. Code, autorise le secrétaire à la sécurité intérieure, en réponse à une menace, une vulnérabilité ou un incident connu ou raisonnablement suspecté en matière de sécurité de l’information qui représente une menace substantielle pour la sécurité de l’information d’une agence, à « émettre une directive d’urgence à l’intention du responsable d’une agence pour qu’il prenne toute mesure légale concernant le fonctionnement du système d’information, y compris les systèmes utilisés ou exploités par une autre entité pour le compte d’une agence, qui recueille, traite, stocke, transmet, diffuse ou conserve d’une autre manière les informations de l’agence, dans le but de protéger le système d’information contre une menace pour la sécurité de l’information ou d’en atténuer les effets ». La section 2205(3) du Homeland Security Act de 2002, tel que modifié, délègue cette autorité au directeur de la Cybersecurity and Infrastructure Security Agency. Les agences fédérales sont tenues de se conformer à ces directives. Ces directives ne s’appliquent pas aux « systèmes de sécurité nationale » définis par la loi, ni aux systèmes exploités par le ministère de la défense ou la communauté du renseignement.

Contexte

Le cyberacteur parrainé par l’État russe, connu sous le nom de Midnight Blizzard, a exfiltré la correspondance électronique entre les agences du Federal Civilian Executive Branch (FCEB) et Microsoft grâce à la compromission réussie des comptes de messagerie d’entreprise de Microsoft. Microsoft a divulgué l’incident et les mises à jour ultérieures par le biais de plusieurs communications, à partir de janvier 2024.

L’acteur de la menace utilise les informations initialement exfiltrées des systèmes de messagerie de l’entreprise, y compris les détails d’authentification partagés entre les clients de Microsoft et Microsoft par courrier électronique, pour obtenir, ou tenter d’obtenir, un accès supplémentaire aux systèmes des clients de Microsoft. Selon Microsoft, Midnight Blizzard a multiplié par 10 le volume de certains aspects de la campagne d’intrusion, tels que les pulvérisations de mots de passe, en février, par rapport à un volume déjà important observé en janvier 2024.

La compromission réussie par Midnight Blizzard des comptes de messagerie d’entreprise de Microsoft et l’exfiltration de la correspondance entre les agences et Microsoft présentent un risque grave et inacceptable pour les agences. Cette directive d’urgence exige que les agences analysent le contenu des courriels exfiltrés, réinitialisent les informations d’identification compromises et prennent des mesures supplémentaires pour s’assurer que les outils d’authentification pour les comptes Microsoft Azure privilégiés sont sécurisés. La CISA a évalué que les actions requises ci-dessous sont les plus appropriées pour comprendre et atténuer le risque posé par la possession par Midnight Blizzard de la correspondance exfiltrée entre les agences FCEB et Microsoft.

Microsoft et la CISA ont notifié toutes les agences fédérales dont la correspondance électronique avec Microsoft a été identifiée comme exfiltrée par Midnight Blizzard. La présente directive fera référence à ce groupe d’agences en tant qu' »agences affectées ».

En outre, Microsoft a déclaré à la CISA que pour le sous-ensemble d’agences concernées dont les courriels exfiltrés contiennent des secrets d’authentification, tels que des identifiants ou des mots de passe, Microsoft fournira à ces agences les métadonnées de ces courriels.

Enfin, Microsoft a accepté de fournir des métadonnées pour toute la correspondance exfiltrée des agences fédérales – indépendamment de la présence de secrets d’authentification – à la demande de la National Cyber Investigative Joint Task Force (NCIJTF), qui s’est portée volontaire pour être le point de contact fédéral unique pour cet incident.

Actions requises

Les agences concernées qui reçoivent de Microsoft des métadonnées de courrier électronique correspondant à des compromissions d’authentification connues ou suspectées, ou qui ont connaissance de détails spécifiques concernant ces compromissions, doivent prendre les mesures suivantes :

1. Prendre des mesures correctives immédiates pour les jetons, mots de passe, clés API ou autres informations d’authentification dont la compromission est avérée ou suspectée.
2. Pour toute compromission d’authentification connue ou suspectée identifiée par l’action 1, au plus tard le 30 avril 2024 :
   • Réinitialiser les informations d’identification dans les applications associées et désactiver les applications associées qui ne sont plus utilisées par l’agence.
   • Examiner les journaux de connexion, d’émission de jetons et d’autres activités de compte pour les utilisateurs et les services dont les informations d’identification ont été suspectées ou observées comme étant compromises, afin d’y déceler d’éventuelles activités malveillantes.

   Toutes les agences concernées doivent prendre les mesures suivantes :

3. Prendre des mesures pour identifier le contenu complet de la correspondance de l’agence avec les comptes Microsoft compromis et effectuer une analyse d’impact sur la cybersécurité, conformément aux détails identifiés dans l’annexe de la présente directive. Cette action doit être achevée au plus tard le 30 avril 2024.
4. Pour les compromissions d’authentification connues ou suspectées identifiées par l’analyse de l’agence, fournir une notification à la CISA et suivre les étapes 1 et 2. La CISA travaillera avec les agences sur un calendrier actualisé pour la réalisation de ces actions requises.

Communication de l’état d’avancement

Les agences doivent communiquer à la CISA l’état d’avancement de toutes les actions requises avant le 8 avril 2024 à 23h59, fournir une mise à jour de l’état d’avancement à la CISA avant le 1er mai 2024 à 23h59 et, le cas échéant, fournir des mises à jour hebdomadaires sur les actions de remédiation pour les compromissions d’authentification jusqu’à ce qu’elles soient achevées. La CISA fournira aux agences un modèle de rapport et des instructions en la matière.

Actions de la CISA

• La CISA fournira aux agences des instructions pour accéder au contenu des courriels des agences et analyser le contenu des courriels.
• La CISA poursuivra ses efforts pour identifier les cas et les compromissions potentielles associés à cette activité de menace, fournira des notifications aux partenaires et émettra des orientations et des directives supplémentaires, le cas échéant.
• La CISA fournira une assistance technique aux agences qui ne disposent pas de capacités internes suffisantes pour se conformer à cette directive.
• D’ici au 1er septembre 2024, la CISA fournira un rapport au secrétaire à la Sécurité intérieure et au directeur de l’Office of Management and Budget, dans lequel elle indiquera l’état d’avancement de la coopération entre les agences et les questions en suspens. La CISA fournira également une copie du rapport au directeur national du cyberespace.

Durée de la directive

Cette directive d’urgence reste en vigueur jusqu’à ce que la CISA détermine que les agences ont effectué toutes les actions requises par cette directive, ou jusqu’à ce qu’il soit mis fin à la directive par une autre action appropriée.

Source : « Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System » (Directive de la CISA)