Les USA pointent l’incompétence de Microsoft qui a facilité le travail des hackers Chinois

Après sept mois d'enquête, le Cyber Safety Review Board (CSRB), dirigé par le ministère américain de la Sécurité intérieure, a rendu un rapport sur l'incident impliquant l'acteur de cyberespionnage Storm-0558, affilié à la Chine. Et pour lui, il ne fait aucun doute : Microsoft a été négligent. On vous explique tout.

Avant de commencer, il faut rappeler que cette opération, découverte pour la première fois par le département d'État américain en juin 2023, comprenait le piratage de courriels officiels et personnels de la ministre du Commerce, Gina Raimondo, et de l'ambassadeur des États-Unis en Chine, Nicholas Burns.

Pour le modus operandi, les pirates ont pu atteindre leurs cibles en passant via des serveurs de Microsoft, qui fournit des services informatiques hébergés sur le cloud et assure le stockage de données sensibles pour de nombreuses entreprises et gouvernements.

Le vice-président du CSRB, Dmitri Alperovitch, a ainsi qualifié Storm-0558 et d'autres acteurs similaires de :

Menaces persistantes et pernicieuses qui ont la capacité et l'intention de compromettre les systèmes d'identité pour accéder à des données sensibles, y compris les courriels de personnes présentant un intérêt pour le gouvernement chinois.

Ainsi, pour les USA, la Chine représente :

La plus grande menace de cyberespionnage ainsi que la plus active et continue pour le gouvernement et les entreprises du pays.

Le ministère de la Justice américain a révélé avoir inculpé sept Chinois pour une « prolifique opération de piratage informatique à l'échelle mondiale menée pendant 14 ans ».

Par ailleurs, la firme américaine Microsoft a été épinglée et sévèrement pointée du doigt dans le rapport.

Dans ce sillage, la CSRB a critiqué la culture d'entreprise de Microsoft qui selon elle est :

En contradiction avec la place centrale qu'occupe l'entreprise dans l'écosystème technologique et avec le niveau de confiance que les clients placent dans l'entreprise tout en ajoutant que la commission estime que cette intrusion aurait pu être évitée et n'aurait jamais dû se produire.

Le rapport pointe du doigt :

La cascade d'erreurs évitables de Microsoft qui ont permis à cette intrusion de réussir.

Over the summer of 2023, Microsoft faced criticism for security blunders that allowed Chinese hackers to peek into the emails of US government officials.

It could have been prevented if Microsoft had stronger security measures.https://t.co/fMQT5tlTN3#microsoft #usa #china… pic.twitter.com/aHMU2uS46j

— BRANDEFENSE | Digital Risk Protection Service (@Brandefense) April 4, 2024

En détail, l'étude a révélé plusieurs décisions opérationnelles et stratégiques prises par Microsoft qui ont facilité le piratage, notamment le fait de ne pas avoir détecté l'ordinateur portable compromis d'un nouvel employé suite à une acquisition d'entreprise en 2021.

De plus, il a été observé que Microsoft n'a pas suivi les normes de sécurité en vigueur dans les entreprises concurrentes de cloud telles que Google, Amazon et Oracle.

À ce propos, Robert Silvers, le président du CSRB a déclaré :

Le cloud est l'une des infrastructures les plus critiques que nous ayons. Il est impératif que les fournisseurs de services de cloud accordent la priorité à la sécurité et l'intègrent dès la conception.

Autant d’erreurs et de failles sécuritaires qui ont conduit le rapport à recommander à Microsoft d'élaborer et de rendre public un plan assorti d'un calendrier pour mettre en œuvre des réformes de sécurité de grande envergure afin de combler les lacunes.