La campagne de piratage de SolarWinds met Microsoft sur la sellette

BOSTON (AP) – La campagne de piratage tentaculaire considérée comme une grave menace pour la sécurité nationale des États-Unis a été baptisée SolarWinds, du nom de la société dont la mise à jour du logiciel a été ensemencée par des agents du renseignement russe avec des logiciels malveillants pour pénétrer les réseaux gouvernementaux et privés sensibles.

Pourtant, c’est Microsoft dont les cyberespions ont constamment abusé du code lors de la deuxième phase de la campagne, en fouillant dans les courriels et autres fichiers de cibles de grande valeur comme Chad Wolf, alors chef de la sécurité intérieure par intérim, et en s’infiltrant sans être détectés dans les réseaux des victimes.

Cela a mis la troisième entreprise la plus précieuse du monde sur la sellette. Étant donné que ses produits constituent une monoculture de facto au sein du gouvernement et de l’industrie – avec plus de 85 % de parts de marché – les législateurs fédéraux insistent pour que Microsoft améliore rapidement la sécurité pour atteindre le niveau qu’elle aurait dû fournir dès le départ, et ce sans escroquer les contribuables.

Afin d’apaiser les inquiétudes, Microsoft a offert la semaine dernière à toutes les agences fédérales une année de fonctions de sécurité « avancées » sans frais supplémentaires. Mais l’entreprise cherche également à détourner la responsabilité, en affirmant que ce sont les clients qui ne font pas toujours de la sécurité une priorité.

Les risques liés aux activités de Microsoft à l’étranger ont également été soulignés lorsque l’administration Biden a imposé jeudi des sanctions à une demi-douzaine de sociétés informatiques russes qui, selon elle, soutiennent le piratage du Kremlin. La plus importante était Positive Technologies, qui faisait partie des plus de 80 entreprises auxquelles Microsoft a fourni un accès précoce aux données sur les vulnérabilités détectées dans ses produits. Après l’annonce des sanctions, Microsoft a déclaré que Positive Tech ne faisait plus partie du programme et a retiré son nom de la liste des participants sur son site web.

Les pirates de SolarWinds ont tiré pleinement parti de ce que George Kurtz, PDG de la grande société de cybersécurité CrowdStrike, a appelé des « faiblesses systématiques » dans des éléments clés du code Microsoft pour miner au moins neuf agences gouvernementales américaines – dont les ministères de la Justice et du Trésor – et plus de 100 entreprises privées et groupes de réflexion, y compris des fournisseurs de logiciels et de télécommunications.

Selon un rapport du groupe de réflexion non partisan Atlantic Council, c’est l’utilisation abusive par les pirates de l’architecture d’identité et d’accès de Microsoft – qui valide l’identité des utilisateurs et leur donne accès aux courriels, aux documents et à d’autres données – qui a causé les dommages les plus graves. C’est ce qui a fait de ce piratage « un coup de force généralisé des services de renseignement ». Dans presque tous les cas de méfaits post-intrusion, les intrus « se sont déplacés silencieusement à travers les produits Microsoft, aspirant les courriels et les fichiers de dizaines d’organisations. »

Grâce en partie à la carte blanche que les réseaux victimes ont accordée au logiciel de gestion de réseau Solarwinds infecté sous la forme de privilèges administratifs, les intrus pouvaient se déplacer latéralement à travers eux, et même sauter entre les organisations. Ils s’en sont servis pour s’introduire dans l’entreprise de cybersécurité Malwarebytes et pour cibler les clients de Mimecast, une entreprise de sécurité de la messagerie électronique.

La « marque de fabrique » de la campagne était la capacité des intrus à se faire passer pour des utilisateurs légitimes et à créer de faux identifiants leur permettant de s’emparer des données stockées à distance par Microsoft Office, a déclaré Brandon Wales, directeur par intérim de la Cybersecurity Infrastructure and Security Agency, lors d’une audition du Congrès à la mi-mars. « Tout cela est dû au fait qu’ils ont compromis les systèmes qui gèrent la confiance et l’identité sur les réseaux », a-t-il déclaré.

Brad Smith, président de Microsoft, a déclaré lors d’une audience du Congrès en février que seulement 15 % des victimes ont été compromises par une vulnérabilité d’authentification identifiée pour la première fois en 2017 – permettant aux intrus de se faire passer pour des utilisateurs autorisés en frappant l’équivalent approximatif de passeports contrefaits.

Les responsables de Microsoft soulignent que la mise à jour SolarWinds n’était pas toujours le point d’entrée ; les intrus ont parfois profité de vulnérabilités telles que des mots de passe faibles et l’absence d’authentification multifactorielle chez les victimes. Mais les critiques disent que l’entreprise a pris la sécurité trop à la légère. Le sénateur Ron Wyden, de l’Oregon, a critiqué Microsoft pour ne pas avoir fourni aux agences fédérales un niveau de « journalisation des événements » qui, s’il n’avait pas détecté le piratage de SolarWinds en cours, aurait au moins permis aux intervenants de savoir où se trouvaient les intrus et ce qu’ils ont vu et retiré.

« Microsoft choisit les paramètres par défaut des logiciels qu’elle vend, et même si la société était au courant depuis des années de la technique de piratage utilisée contre les agences gouvernementales américaines, elle n’a pas défini les paramètres de journalisation par défaut pour capturer les informations nécessaires pour repérer les piratages en cours », a déclaré M. Wyden. Il n’est pas le seul législateur fédéral à s’être plaint.

Lorsque Microsoft a annoncé mercredi un an de journalisation gratuite de la sécurité pour les agences fédérales, pour lesquelles elle demande normalement une prime, M. Wyden n’a pas été apaisé.

« Ce geste est bien loin de ce qui est nécessaire pour compenser les récents échecs de Microsoft », a-t-il déclaré dans un communiqué. « Le gouvernement n’aura toujours pas accès à des fonctions de sécurité importantes sans remettre encore plus d’argent à la même entreprise qui a créé ce gouffre de cybersécurité. »

Le représentant Jim Langevin, D-R.I., avait pressé Smith en février sur la vente de journaux de sécurité, le comparant aux ceintures de sécurité et aux airbags en option dans les voitures, alors qu’ils devraient être standard. Il a félicité Microsoft pour le sursis d’un an, mais a déclaré qu’une conversation à plus long terme était nécessaire pour que cela ne soit pas un centre de profit. Il a déclaré que « cela nous permet de gagner un an ».

Même le plus haut niveau de journalisation n’empêche pas les effractions, cependant. Il ne fait que faciliter leur détection.

Et n’oubliez pas, notent de nombreux professionnels de la sécurité, que Microsoft a elle-même été compromise par les intrus de SolarWinds, qui ont eu accès à une partie de son code source – ses joyaux. La suite complète de produits de sécurité de Microsoft – et certains des praticiens de la cyberdéfense les plus compétents du secteur – n’avaient pas réussi à détecter le fantôme dans le réseau. Ce n’est qu’une fois alertés de la campagne de piratage par FireEye, la société de cybersécurité qui l’a détectée à la mi-décembre, que les intervenants de Microsoft ont découvert la violation connexe de leurs systèmes.

Les intrus dans le piratage sans rapport des serveurs de messagerie Microsoft Exchange divulgué en mars – attribué à des espions chinois – ont utilisé des méthodes d’infection totalement différentes. Mais ils ont immédiatement obtenu un accès de haut niveau aux courriels et autres informations des utilisateurs.

Dans l’ensemble du secteur, les investissements de Microsoft en matière de sécurité sont largement reconnus. Elle est souvent la première à identifier les principales menaces de cybersécurité, tant sa visibilité sur les réseaux est grande. Mais beaucoup estiment qu’en tant que principal fournisseur de solutions de sécurité pour ses produits, l’entreprise doit être plus attentive à la part de bénéfices qu’elle peut tirer de la défense.

« Le nœud du problème, c’est que Microsoft vous vend la maladie et le remède », a déclaré Marc Maiffret, un vétéran de la cybersécurité qui a fait carrière dans la recherche de vulnérabilités dans les produits Microsoft et qui a créé une nouvelle entreprise appelée BinMave.

Le mois dernier, l’agence Reuters a rapporté qu’un paiement de 150 millions de dollars à Microsoft pour une « plate-forme de nuage sécurisée » figurait dans un projet de plan de dépenses des 650 millions de dollars alloués à l’Agence pour la cybersécurité et la sécurité des infrastructures dans la loi de secours en cas de pandémie de 1 900 milliards de dollars adoptée le mois dernier.

Un porte-parole de Microsoft n’a pas voulu dire combien, le cas échéant, de cet argent il recevrait, renvoyant la question à l’agence de cybersécurité. Un porte-parole de l’agence, Scott McConnell, n’a rien voulu dire non plus. M. Langevin a déclaré qu’il ne pensait pas qu’une décision finale ait été prise.

Au cours de l’exercice budgétaire se terminant en septembre, le gouvernement fédéral a dépensé plus d’un demi-milliard de dollars en logiciels et services Microsoft.

De nombreux experts en sécurité estiment que le modèle d’authentification unique de Microsoft, qui privilégie le confort de l’utilisateur par rapport à la sécurité, est prêt à être réorganisé pour refléter un monde où les pirates soutenus par l’État font désormais couramment fi des réseaux américains.

Alex Weinert, directeur de la sécurité des identités chez Microsoft, a déclaré que l’entreprise offrait plusieurs moyens aux clients de limiter strictement l’accès des utilisateurs à ce dont ils ont besoin pour faire leur travail. Mais il peut être difficile d’obtenir l’adhésion des clients, car cela signifie souvent abandonner trois décennies d’habitudes informatiques et perturber l’activité. Les clients ont tendance à configurer trop de comptes avec les larges privilèges d’administration globale qui ont permis les abus de la campagne SolarWinds, a-t-il dit. « Ce n’est pas la seule façon dont ils peuvent le faire, c’est sûr ».

En 2014-2015, des restrictions d’accès laxistes ont aidé les espions chinois à voler des données personnelles sensibles sur plus de 21 millions d’employés fédéraux actuels, anciens et futurs de l’Office of Personnel Management.

Curtis Dukes était le responsable de l’assurance de l’information de la National Security Agency à l’époque.

L’OPM a partagé des données entre plusieurs agences en utilisant l’architecture d’authentification de Microsoft, accordant l’accès à un plus grand nombre d’utilisateurs qu’il n’aurait dû le faire, a déclaré M. Dukes, aujourd’hui directeur général du Center for Internet Security, une organisation à but non lucratif.

« Les gens ont quitté la balle des yeux ».

——————————–

Cet article a été publié pour la première fois le 17 avril 2021. Il a été mis à jour le 23 avril 2021 pour corriger les détails de la manière dont Microsoft a détecté la violation de son réseau. Les intervenants de Microsoft, et non la société de cybersécurité FireEye, ont découvert l’intrusion sur le réseau de Microsoft après que FireEye ait alerté Microsoft que les clients de SolarWinds avaient été infiltrés.

Associated Press, 23 avr 2021

Etiquettes : Microsoft, piratage, hacking, SolarWinds, sécurité informatique,