![\"Le](\"https:\/\/media.lesechos.com\/api\/v1\/images\/view\/6128940cd286c261e50ed326\/1280x720\/0611599836282-web-tete.jpg\")
<\/h2>\n<\/h2>\nLes efforts de Microsoft en mati\u00e8re de s\u00e9curit\u00e9 et de protection de la vie priv\u00e9e ont connu deux ann\u00e9es difficiles. Des terminaux mal configur\u00e9s, des certificats de s\u00e9curit\u00e9 malveillants et des mots de passe faibles ont tous caus\u00e9 ou risqu\u00e9 de causer l’exposition de donn\u00e9es sensibles, et Microsoft a \u00e9t\u00e9 critiqu\u00e9 par des chercheurs en s\u00e9curit\u00e9, des l\u00e9gislateurs am\u00e9ricains et des organismes de r\u00e9glementation pour la fa\u00e7on dont il a r\u00e9pondu \u00e0 ces menaces et les a divulgu\u00e9es.<\/p>\n
Les violations les plus m\u00e9diatis\u00e9es ont impliqu\u00e9 un groupe de hackers bas\u00e9 en Chine, nomm\u00e9 Storm-0558, qui a r\u00e9ussi \u00e0 p\u00e9n\u00e9trer le service Azure de Microsoft et \u00e0 collecter des donn\u00e9es pendant plus d\u2019un mois \u00e0 la mi-2023 avant d\u2019\u00eatre d\u00e9couvert et \u00e9vinc\u00e9. Apr\u00e8s des mois d\u2019ambigu\u00eft\u00e9, Microsoft a r\u00e9v\u00e9l\u00e9 qu\u2019une s\u00e9rie de d\u00e9faillances de s\u00e9curit\u00e9 avait permis \u00e0 Storm-0558 d\u2019acc\u00e9der au compte d\u2019un ing\u00e9nieur, ce qui lui a permis de collecter des donn\u00e9es de 25 clients Azure de Microsoft, y compris des agences f\u00e9d\u00e9rales am\u00e9ricaines.<\/p>\n
Fin janvier, Microsoft a reconnu une nouvelle violation de donn\u00e9es, d\u00e9clarant\u00a0dans un rapport\u00a0que des pirates informatiques affili\u00e9s \u00e0 l’\u00c9tat russe se sont introduits dans son syst\u00e8me de messagerie \u00e9lectronique interne et ont acc\u00e9d\u00e9 aux comptes des membres de l’\u00e9quipe dirigeante, ainsi qu’\u00e0 ceux des employ\u00e9s des \u00e9quipes charg\u00e9es de la cybers\u00e9curit\u00e9 et des affaires juridiques. Microsoft a ajout\u00e9 que l’intrusion a commenc\u00e9 fin novembre et a \u00e9t\u00e9 d\u00e9couverte le 12 janvier.<\/p>\n
Microsoft a attribu\u00e9 l’attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l’entreprise, il s’agit d’un groupe de pirates hautement qualifi\u00e9s parrain\u00e9s par l’\u00c9tat russe et qui sont\u00a0\u00e0 l’origine\u00a0de l’intrusion dans les syst\u00e8mes de SolarWinds il y a quelques ann\u00e9es. La violation aurait permis aux pirates d’exfiltrer des identifiants de connexion qu’ils utiliseraient d\u00e9sormais afin de farfouiller dans les syst\u00e8mes de Microsoft. L’entreprise a publi\u00e9 en mars\u00a0un autre rapport\u00a0qui r\u00e9v\u00e8le que le groupe a \u00e9galement vol\u00e9 du code source et qu’il \u00e9tait peut-\u00eatre encore en train de fouiller dans ses syst\u00e8mes informatiques internes.<\/p>\n
\u00ab Ces derni\u00e8res semaines, nous avons constat\u00e9 que Midnight Blizzard utilisait des informations initialement exfiltr\u00e9es de nos syst\u00e8mes de messagerie d’entreprise dans le but d’obtenir, ou tenter d’obtenir, un acc\u00e8s non autoris\u00e9. Cela inclut l’acc\u00e8s \u00e0 certains r\u00e9f\u00e9rentiels de code source de Microsoft et \u00e0 des syst\u00e8mes internes. \u00c0 ce jour, nous n’avons trouv\u00e9 aucune preuve que les syst\u00e8mes clients h\u00e9berg\u00e9s par Microsoft ont \u00e9t\u00e9 compromis \u00bb, explique Microsoft dans un billet de blog.<\/p>\n
Le groupe tenterait notamment d’utiliser \u00ab les secrets de diff\u00e9rents types qu’il a trouv\u00e9s \u00bb pour compromettre davantage Microsoft et potentiellement ses clients. \u00ab Certains de ces secrets ont \u00e9t\u00e9 partag\u00e9s entre des clients et Microsoft dans des courriels, et \u00e0 mesure que nous les d\u00e9couvrons dans nos courriels exfiltr\u00e9s, nous avons pris contact avec ces clients pour les aider \u00e0 prendre des mesures d’att\u00e9nuation \u00bb, pr\u00e9cise Microsoft. Il faut rappeler que l’attaque massive de SolarWinds en 2020 a compromis des milliers d’organisations, y compris des entit\u00e9s publiques am\u00e9ricaines, dont les d\u00e9partements du Tr\u00e9sor et du Commerce.<\/p>\n
L’obtention du code source est une grande victoire pour les pirates, car elle leur permet de d\u00e9couvrir le fonctionnement d’un logiciel et d’en d\u00e9tecter les faiblesses. Ces connaissances peuvent \u00eatre utilis\u00e9es ensuite pour lancer des attaques de suivi de mani\u00e8re inattendue. Microsoft est un g\u00e9ant mondial de la technologie dont les produits et services, comme Windows et Exchange, sont largement utilis\u00e9s, y compris par l’establishment et agence de s\u00e9curit\u00e9 nationale. Ainsi, cette r\u00e9v\u00e9lation a alarm\u00e9 certains analystes qui ont fait part de leurs inqui\u00e9tudes croissantes quant \u00e0 la s\u00e9curit\u00e9 des syst\u00e8mes et des services de Microsoft.<\/p>\n
<\/p>\n
Certains analystes se sont inqui\u00e9t\u00e9s des risques pour la s\u00e9curit\u00e9 nationale am\u00e9ricaine. \u00ab Le fait que l’un des plus grands fournisseurs de logiciels soit lui-m\u00eame en train d’apprendre les choses au fur et \u00e0 mesure est un peu effrayant. Vous n’avez pas l’assurance, en tant que client, qu’il ne se passe pas quelque chose de plus grave. Ces attaques t\u00e9moignent \u00e9galement de l’agressivit\u00e9 des pirates \u00bb, a d\u00e9clar\u00e9 Jerome Segura, chercheur principal chercheur en menace de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Malwarebytes. Segura a ajout\u00e9 qu’il est d\u00e9concertant que l’attaque soit toujours en cours malgr\u00e9 les efforts d\u00e9ploy\u00e9s par Microsoft.<\/p>\n
\u00ab C’est le genre de chose qui nous inqui\u00e8te vraiment. L’acteur de la menace voudrait utiliser les secrets (de Microsoft) pour p\u00e9n\u00e9trer dans les environnements de production, puis compromettre les logiciels et installer des portes d\u00e9rob\u00e9es et d’autres choses de ce genre \u00bb, a d\u00e9clar\u00e9 Segura. Dans un document d\u00e9pos\u00e9 aupr\u00e8s de la Securities and Exchange Commission (SEC), Microsoft a d\u00e9clar\u00e9 que l’attaque n’avait pas eu d’impact mat\u00e9riel sur ses activit\u00e9s, mais a averti que cela restait une possibilit\u00e9, malgr\u00e9 des investissements accrus en mati\u00e8re de s\u00e9curit\u00e9 et la coordination avec les autorit\u00e9s charg\u00e9es de l’application de la loi.<\/p>\n
Tout cela a abouti \u00e0 un rapport du US Cyber Safety Review Board, qui a fustig\u00e9 Microsoft pour sa culture de s\u00e9curit\u00e9 \u00ab inad\u00e9quate \u00bb, ses \u00ab d\u00e9clarations publiques inexactes \u00bb et sa r\u00e9ponse \u00e0 des failles de s\u00e9curit\u00e9 \u00ab \u00e9vitables \u00bb :<\/p>\n
La Commission estime que cette intrusion \u00e9tait \u00e9vitable et n’aurait jamais d\u00fb se produire. La Commission conclut \u00e9galement que la culture de s\u00e9curit\u00e9 de Microsoft \u00e9tait inad\u00e9quate et n\u00e9cessite une refonte, en particulier \u00e0 la lumi\u00e8re du r\u00f4le central de la soci\u00e9t\u00e9 dans l’\u00e9cosyst\u00e8me technologique et du niveau de confiance que les clients placent dans la soci\u00e9t\u00e9 pour prot\u00e9ger leurs donn\u00e9es et leurs op\u00e9rations. La Commission est parvenue \u00e0 cette conclusion sur la base des \u00e9l\u00e9ments suivants :<\/p>\n
Pour tenter de redresser la barre, Microsoft a annonc\u00e9 en novembre 2023 ce qu’elle a appel\u00e9 la \u00ab Secure Future Initiative \u00bb<\/span><\/b><\/p>\n En r\u00e9ponse, Microsoft a lanc\u00e9 l\u2019initiative \u00ab Secure Future Initiative \u00bb (initiative pour un avenir s\u00fbr) en novembre 2023, annon\u00e7ant une s\u00e9rie de plans et de changements dans ses pratiques de s\u00e9curit\u00e9, dont certains ont d\u00e9j\u00e0 \u00e9t\u00e9 mis en \u0153uvre. Dans le cadre de cette initiative, Microsoft a annonc\u00e9 hier une s\u00e9rie de plans et de modifications de ses pratiques de s\u00e9curit\u00e9, y compris quelques changements d\u00e9j\u00e0 effectu\u00e9s.<\/p>\n Charlie Bell, vice-pr\u00e9sident ex\u00e9cutif de la s\u00e9curit\u00e9 chez Microsoft, a \u00e9crit : \u00ab Nous faisons de la s\u00e9curit\u00e9 notre priorit\u00e9 absolue chez Microsoft, avant tout le reste \u2013 avant toutes les autres fonctionnalit\u00e9s \u00bb. \u00ab Nous \u00e9largissons le champ d’application du SFI, en int\u00e9grant les r\u00e9centes recommandations du CSRB ainsi que les enseignements tir\u00e9s de Midnight Blizzard, afin de garantir que notre approche de la cybers\u00e9curit\u00e9 reste solide et adapt\u00e9e \u00e0 l’\u00e9volution du paysage des menaces \u00bb.<\/p>\n Dans le cadre de ces changements, la r\u00e9mun\u00e9ration de l\u2019\u00e9quipe de direction senior de Microsoft d\u00e9pendra en partie de la r\u00e9alisation des plans et objectifs de s\u00e9curit\u00e9 de l\u2019entreprise, bien que Bell n\u2019ait pas pr\u00e9cis\u00e9 quelle part de la r\u00e9mun\u00e9ration des dirigeants serait d\u00e9pendante de ces objectifs de s\u00e9curit\u00e9 :<\/p>\n \u00ab Nous mobiliserons les piliers et les objectifs \u00e9largis de la SFI dans l’ensemble de Microsoft et cette dimension sera prise en compte dans nos d\u00e9cisions de recrutement. En outre, nous instillerons la responsabilit\u00e9 en basant une partie de la r\u00e9mun\u00e9ration de l’\u00e9quipe dirigeante de l’entreprise sur les progr\u00e8s r\u00e9alis\u00e9s dans la mise en \u0153uvre de nos plans et de nos \u00e9tapes en mati\u00e8re de s\u00e9curit\u00e9 \u00bb.<\/p>\n Trois principes de s\u00e9curit\u00e9<\/span><\/b><\/p>\n Le message de Microsoft d\u00e9crit trois principes de s\u00e9curit\u00e9 (\u00ab secure by design \u00bb, \u00ab secure by default \u00bb et \u00ab secure operations \u00bb) et six \u00ab piliers de s\u00e9curit\u00e9 \u00bb destin\u00e9s \u00e0 rem\u00e9dier aux diff\u00e9rentes faiblesses des syst\u00e8mes et des pratiques de d\u00e9veloppement de Microsoft. L’entreprise affirme qu’elle pr\u00e9voit de s\u00e9curiser 100 % de ses comptes d’utilisateurs par une \u00ab authentification multifactorielle s\u00e9curis\u00e9e et r\u00e9sistante \u00e0 l’hame\u00e7onnage \u00bb, d’appliquer l’acc\u00e8s au moindre privil\u00e8ge \u00e0 toutes les applications et \u00e0 tous les comptes d’utilisateurs, d’am\u00e9liorer la surveillance et l’isolation du r\u00e9seau et de conserver tous les journaux de s\u00e9curit\u00e9 du syst\u00e8me pendant au moins deux ans, entre autres promesses. Microsoft pr\u00e9voit \u00e9galement de nommer de nouveaux responsables adjoints de la s\u00e9curit\u00e9 de l’information au sein de diff\u00e9rentes \u00e9quipes d’ing\u00e9nieurs afin de suivre leurs progr\u00e8s et de rendre compte \u00e0 l’\u00e9quipe de direction et au conseil d’administration.<\/p>\n En ce qui concerne les solutions concr\u00e8tes que Microsoft a d\u00e9j\u00e0 mises en \u0153uvre, Bell \u00e9crit que Microsoft a \u00ab mis en \u0153uvre l’application automatique de l’authentification multifactorielle par d\u00e9faut sur plus d’un million de locataires Microsoft Entra ID au sein de Microsoft \u00bb, supprim\u00e9 730 000 applications anciennes et\/ou non s\u00e9curis\u00e9es \u00ab \u00e0 ce jour sur les locataires de production et d’entreprise \u00bb, \u00e9tendu sa journalisation de s\u00e9curit\u00e9 et adopt\u00e9 la norme CWE (Common Weakness Enumeration) pour ses divulgations de s\u00e9curit\u00e9.<\/p>\n Conclusion<\/span><\/b><\/p>\n Cette initiative marque un tournant dans la mani\u00e8re dont les entreprises technologiques abordent la s\u00e9curit\u00e9 et la responsabilit\u00e9, soulignant l\u2019importance croissante de la cybers\u00e9curit\u00e9 dans le paysage des affaires modernes.<\/p>\n <\/p>\n Microsoft, US Cyber Safety Review Board (au format PDF)<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Microsoft a annonc\u00e9 que la r\u00e9mun\u00e9ration de ses dirigeants serait d\u00e9sormais li\u00e9e \u00e0 la s\u00e9curit\u00e9 de l\u2019entreprise, suite \u00e0 une s\u00e9rie d\u2019\u00e9checs et de violations de s\u00e9curit\u00e9. Cette d\u00e9cision fait […]<\/p>\n","protected":false},"author":2,"featured_media":6570,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21,195,11],"tags":[],"class_list":["post-6567","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualite","category-cyberespionnage","category-cybersecurite"],"yoast_head":"\n<\/div>\n