Discussion :

[Stéphane le calme]

Google restreint l'accès à Internet à certains employés pour des raisons de sécurité,
notamment ceux qui travaillent sur des projets sensibles ou qui ont accès à des données confidentielles

Google a annoncé mercredi le lancement d’un programme pilote dans lequel certains employés seront limités à des ordinateurs de bureau sans accès à internet. L’objectif de cette initiative est de réduire le risque d’attaques cybernétiques, selon des documents internes.

L'entreprise avait initialement sélectionné plus de 2 500 employés pour participer, mais après avoir reçu des commentaires, l'entreprise a révisé le projet pilote pour permettre aux employés de se retirer, ainsi que de l'ouvrir aux bénévoles. La société désactivera l'accès à Internet sur certains ordinateurs de bureau, à l'exception des outils Web internes et des sites Web appartenant à Google, tels que Google Drive et Gmail. Certains travailleurs qui ont besoin d'Internet pour faire leur travail bénéficieront d'exceptions, a indiqué la société dans des documents.

De plus, certains employés n'auront pas d'accès root, ce qui signifie qu'ils ne pourront pas exécuter de commandes administratives ou faire des choses comme installer des logiciels.

Google exécute le programme pour réduire le risque de cyberattaques, selon des documents internes.

« Les Googlers sont des cibles fréquentes d’attaques », indique l’un des documents. Si le dispositif d’un employé de Google est compromis, les attaquants peuvent avoir accès aux données des utilisateurs et au code de l’infrastructure, ce qui pourrait entraîner un incident majeur et compromettre la confiance des utilisateurs, ajoute le document.

En coupant la plupart des accès à internet, Google s’assure que les attaquants ne peuvent pas facilement exécuter du code arbitraire à distance ou récupérer des données, explique le document.

Un contexte qui s'y prête

Le programme intervient alors que les entreprises font face à des cyberattaques de plus en plus sophistiquées. La semaine dernière, Microsoft a révélé que des agents du renseignement chinois avaient piraté des comptes de messagerie Microsoft appartenant à une vingtaine d’agences gouvernementales, dont le département d’État, aux États-Unis et en Europe occidentale, dans une violation « significative ».

Les enquêtes de Microsoft ont déterminé que Storm-0558 avait eu accès aux comptes de messagerie des clients à l'aide d'Outlook Web Access dans Exchange Online (OWA) et Outlook.com en falsifiant des jetons d'authentification pour accéder à la messagerie des utilisateurs.

L'acteur malveillant a utilisé une clé MSA acquise pour créer des jetons afin d'accéder à OWA et Outlook.com. Les clés MSA (consommateur) et les clés Azure AD (entreprise) sont émises et gérées à partir de systèmes distincts et ne doivent être valides que pour leurs systèmes respectifs. L'acteur a exploité un problème de validation de jeton pour se faire passer pour les utilisateurs d'Azure AD et accéder au courrier de l'entreprise. Nous n'avons aucune indication que des clés Azure AD ou toute autre clé MSA ont été utilisées par cet acteur. OWA et Outlook.com sont les seuls services où nous avons observé l'acteur utilisant des jetons créés à partir de la clé MSA acquise.

Microsoft a atténué la clé MSA acquise et notre télémétrie indique que les activités de l'acteur ont été bloquées. Nous avons pris les mesures proactives suivantes au cours de notre enquête :

• Microsoft a bloqué l'utilisation de jetons signés avec la clé MSA acquise dans OWA, empêchant ainsi toute autre activité de messagerie d'entreprise d'acteurs malveillants.
• Microsoft a terminé le remplacement de la clé pour empêcher l'auteur malveillant de l'utiliser pour falsifier des jetons.
• Microsoft a bloqué l'utilisation des jetons émis avec la clé pour tous les clients grand public concernés.

Éviter des fuites sur des projets en cours, notamment en matière d'IA

Google poursuit des contrats avec le gouvernement américain depuis le lancement d'une division du secteur public l'année dernière :

Google Cloud soutient et collabore depuis longtemps avec les gouvernements dans de nombreuses régions du monde, notamment aux États-Unis, en Europe, en Asie-Pacifique, en Amérique latine et au Japon. Nous avons aidé des agences gouvernementales à moderniser leurs systèmes technologiques de base ; transformé la manière dont ils fournissent des services via des plateformes numériques aux citoyens ; fourni des solutions de sécurité pour aider les agences à se protéger contre les cyberattaques ; fourni des outils de communication, de collaboration et de productivité aux systèmes d'éducation et de santé ; et leur avons permis d'utiliser les données pour améliorer les systèmes financiers et d'autres infrastructures essentielles. Nous avons proposé des produits qui répondent aux besoins uniques du secteur public ; construit une force de vente dédiée, un écosystème de partenaires et une organisation de services ; et travaillé avec des partenaires pour apporter des solutions conjointes au gouvernement et aux établissements d'enseignement.

Aujourd'hui, nous étendons cet engagement aux États-Unis avec la création de Google Public Sector, une nouvelle division de Google qui se concentrera sur l'aide aux institutions du secteur public américain, y compris les gouvernements fédéraux, étatiques et locaux, ainsi que les établissements d'enseignement, à accélérer leur développement numérique métamorphoses.

Cette nouvelle division fonctionnera comme une filiale de Google LLC et se spécialisera dans l'apport des technologies Google Cloud, y compris Google Cloud Platform et Google Workspace, aux clients du secteur public américain. Google Public Sector fournira des produits et une expertise uniques, tels que la plate-forme de données et d'analyse de Google Cloud, des outils d'intelligence artificielle (IA) et d'apprentissage automatique (ML), afin que les institutions puissent mieux comprendre leurs données et automatiser les processus de base. Et la division offrira l'infrastructure ouverte hautement évolutive et fiable de Google Cloud, y compris le calcul, le stockage et la mise en réseau, afin que les agences gouvernementales puissent moderniser leurs systèmes d'information hérités et créer de nouvelles applications qui servent les citoyens avec une fiabilité et une évolutivité critiques.

Les experts du secteur public de Google aideront les clients du secteur public américain à utiliser les produits de cybersécurité avancés de Google Cloud pour protéger leurs utilisateurs, leurs applications et leurs données contre les cybermenaces croissantes. Nos experts aideront les agences et les établissements d'enseignement dans leur utilisation de Google Workspace pour permettre une communication et une collaboration sécurisées, et pour attirer de nouveaux employés au gouvernement grâce à l'utilisation de ces outils modernes. Et nous continuerons également d'investir dans la formation des employés du secteur public aux compétences numériques et cloud, et dans l'expansion de l'écosystème florissant de partenaires qui travaillent déjà avec Google Cloud pour créer des solutions qui répondent aux besoins urgents et croissants des organisations du secteur public américain.

Cela survient également alors que Google, qui prépare un déploiement à l'échelle de l'entreprise de divers outils d'intelligence artificielle, tente de renforcer sa sécurité. La société s'est également efforcée ces derniers mois de contenir les fuites.

« Assurer la sécurité de nos produits et de nos utilisateurs est l'une de nos principales priorités », a déclaré un porte-parole de Google dans un communiqué. « Nous explorons régulièrement des moyens de renforcer nos systèmes internes contre les attaques malveillantes ».

La réaction des employés

Google affirme que le programme pilote vise à protéger les employés qui travaillent sur des projets sensibles ou qui ont accès à des données confidentielles. Parmi les employés concernés, on trouve des ingénieurs, des chercheurs, des analystes et des responsables de produits.

Sur les réseaux sociaux, certains employés ont exprimé leur mécontentement face à cette mesure, la qualifiant de « régressive » et de « contraire à la culture de Google ». Ils craignent également que cela nuise à leur productivité et à leur créativité.

« Je pense que c’est une mauvaise idée. Je ne vois pas comment je peux faire mon travail sans internet. Il m'arrive de consulter des sources externes pour résoudre des problèmes ou apprendre de nouvelles choses », a déclaré un ingénieur de Google qui a demandé à rester anonyme.

« J'ai l'impression qu'on me traite comme un enfant. Google est censé être une entreprise innovante et ouverte, pas une prison. Je pense que cela va créer un sentiment de méfiance et de frustration parmi les employés », a ajouté un autre employé.

D’autres employés ont accueilli favorablement le programme, estimant qu’il s’agit d’une mesure nécessaire pour assurer la sécurité de l’entreprise et de ses utilisateurs.

« Je comprends que cela puisse être gênant pour certains, mais je pense que c’est une bonne chose. Google est une cible de choix pour les cybercriminels et les espions. Nous devons faire tout notre possible pour protéger nos données et nos systèmes », a déclaré un responsable de produit. « Je ne pense pas que cela va affecter mon travail. Je peux toujours accéder aux outils internes dont j’ai besoin, et si j’ai besoin d’internet pour quelque chose, je peux demander une exception ou utiliser mon ordinateur portable personnel », a-t-il poursuivi.

Le programme pilote devrait durer six mois, après quoi Google évaluera son efficacité et son impact sur les employés. L’entreprise n’a pas précisé si elle envisage d’étendre le programme à d’autres équipes ou à tous les employés.

Sources : documents internes Google, Microsoft, Google Public Sector

Et vous ?

Que pensez-vous de la décision de Google de limiter l’accès à internet de certains employés ?
Pensez-vous que cela va améliorer la sécurité de l’entreprise et de ses utilisateurs, ou au contraire, nuire à la productivité et à la créativité des employés ?
Avez-vous déjà été confronté à une situation similaire dans votre travail ou dans votre vie personnelle ?
Quelles sont les mesures que vous prenez pour protéger vos données et vos systèmes contre les cyberattaques ?
Quels sont les avantages et les inconvénients d’utiliser internet pour votre travail ou vos loisirs ?

[Aesir]

Pathétique et ridicule quand j'y ai pensé au premier abord, puis je me suis rappelé qu'il n'y avait pas que des développeurs et que certains de mes collègues se faisaient avoir comme des bleus

Donc, logique !

[totozor]

Mon père a travaillé sur un projet sensible il y a quelques décennies, pour garantir que rien ne sortait ils avaient mis un portique à l'entrée et à la sortie du couloir qui t'enfermais si tu avais pris du poids entre ton entrée et ta sortie.
Ce qui a posé quelques problèmes divers et variés à tel point qu'ils ont fini par mettre un monsieur en permanence à coté dudit portique pour éviter que Marcel qui vient de passer 12h d'affilées au boulot et s'est nourri au bureau soit bloqué 30 minutes dans le portique à 22h parce que le gardien faisait sa tournée et n'a vu l'alarme qu'au bout de 20 minutes.
PS : Au passage Marcel a fait une crise de chlorstrophobie dans le portique, s'est blessé et a refusé de continuer à travailler sur le projet.

C'est à la fois le projet qu'il a préféré pour son challenge intellectuel et qu'il a le plus détesté pour l'ambiance que générait la sécurité.
Ce projet n'a fonctionné que parce qu'il était court. Tout le monde était sur les nerfs à la fin.

La sécurité à tout prix, pourquoi pas mais dans des cas très particuliers et il faut être honnete sur les choses : on ne fait pas ça pour protéger les personnes mais son entreprise.

[Stéphane le calme]

Azure AD: un ingénieur Microsoft s’est fait pirater son compte et a exposé des utilisateurs de haut niveau,
des hackers ont volé une clef de signature dans un crash dump

Microsoft a révélé mercredi la cause d’une brèche dans son service cloud Azure qui a permis à des pirates informatiques de compromettre des dizaines de comptes Azure et Exchange appartenant à des utilisateurs de haut niveau. Selon la société, le compte d’entreprise d’un de ses ingénieurs a été piraté par un acteur malveillant très compétent qui a obtenu une clef de signature utilisée pour falsifier des jetons pour le service Azure AD.

La brèche avait été annoncée par Microsoft en juillet, mais la société n’avait pas expliqué comment les pirates informatiques, suivis sous le nom de Storm-0558, avaient réussi à accéder à son réseau interne pendant plus d’un mois et à s’emparer de la clef de signature. Cette clef, normalement expirée, leur a permis de se faire passer pour des utilisateurs légitimes d’Azure, un service cloud qui héberge des applications et des données sensibles.

Microsoft a déclaré que la clef de signature volée était une clef de consommateur Microsoft qui n’était confiée qu’à des employés ayant subi une vérification des antécédents et travaillant sur des postes de travail dédiés protégés par une authentification à plusieurs facteurs utilisant des dispositifs de jetons matériels. Pour protéger cet environnement dédié, les outils de messagerie, de conférence, de recherche web et autres outils de collaboration n’étaient pas autorisés, car ils constituent les vecteurs les plus courants d’attaques réussies par logiciels malveillants et phishing.

Cependant, ces mesures de sécurité ont été contournées en avril 2021, plus de deux ans avant que Storm-0558 ne pénètre dans le réseau de Microsoft. L'entreprise donne des détails de la situation :

Notre enquête a révélé qu'un crash du système de signature des consommateurs en avril 2021 a donné lieu à un snapshot du processus bloqué (« crash dump »). Les dumps sur incident (crash dump), qui suppriment les informations sensibles, ne doivent pas inclure la clef de signature. Dans ce cas, une condition de concurrence critique permettait à la clef d'être présente dans crash dump (ce problème a été corrigé). La présence du matériel clef dans le crash dump n’a pas été détectée par nos systèmes (ce problème a été corrigé).

Nous avons constaté que ce crash dump, censé à l'époque ne contenir aucun élément clef, avait ensuite été déplacé du réseau de production isolé vers notre environnement de débogage sur le réseau d'entreprise connecté à Internet. Ceci est cohérent avec nos processus de débogage standard. Nos méthodes d'analyse des informations d'identification n'ont pas détecté sa présence (ce problème a été corrigé).

Après avril 2021, lorsque la clef a été divulguée dans l’environnement de l’entreprise lors du crash dump, l’acteur de Storm-0558 a réussi à compromettre le compte d’entreprise d’un ingénieur Microsoft. Ce compte avait accès à l'environnement de débogage contenant le crash dump qui contenait de manière incorrecte la clef. En raison des politiques de conservation des journaux, nous ne disposons pas de journaux contenant des preuves spécifiques de cette exfiltration par cet acteur, mais il s’agit du mécanisme le plus probable par lequel l’acteur a acquis la clef.

Pourquoi une clef client a pu accéder à la messagerie d'entreprise

Répondant au deuxième mystère, Microsoft explique comment une clef de signature expirée pour un compte consommateur a été utilisée pour forger des jetons pour des offres d'entreprise sensibles. En 2018, Microsoft a introduit un nouveau framework fonctionnant avec les applications cloud grand public et d'entreprise. Des erreurs humaines ont empêché une interface de programmation conçue pour valider cryptographiquement l’environnement pour lequel une clef devait être utilisée, de fonctionner correctement.

Pour répondre à la demande croissante des clients en matière de prise en charge d'applications fonctionnant à la fois avec des applications grand public et d'entreprise, Microsoft a introduit un point de terminaison de publication de métadonnées clefs communes en septembre 2018. Dans le cadre de cette offre convergée, Microsoft a mis à jour la documentation pour clarifier les exigences en matière de validation de la portée clef - quelle clef à utiliser pour les comptes d'entreprise et lesquels à utiliser pour les comptes de particuliers.

Dans le cadre d'une bibliothèque préexistante de documentation et d'API d'assistance, Microsoft a fourni une API pour aider à valider les signatures de manière cryptographique, mais n'a pas mis à jour ces bibliothèques pour effectuer automatiquement cette validation de portée (ce problème a été corrigé). Les systèmes de messagerie ont été mis à jour pour utiliser le point de terminaison de métadonnées commun en 2022. Les développeurs du système de messagerie ont supposé à tort que les bibliothèques effectuaient une validation complète et n'ont pas ajouté la validation d'émetteur/portée requise. Ainsi, le système de messagerie accepterait une demande de courrier électronique d'entreprise utilisant un jeton de sécurité signé avec la clef du consommateur (ce problème a été corrigé à l'aide des bibliothèques mises à jour).

Un représentant de Microsoft a déclaré que le compte de l'ingénieur avait été compromis à l'aide d'un « malware voleur de jetons », mais n'a pas précisé comment il avait été installé, si d'autres comptes d'entreprise avaient été piratés par le même acteur malveillant, quand Microsoft avait eu connaissance de la compromission et quand l'entreprise a chassé les intrus.

À ces questions s’ajoutent les suivantes : une clef aussi sensible que celle acquise par Storm-0558 n’était-elle pas stockée dans un HSM (module matériel de sécurité) ? Il s'agit d'appareils dédiés qui stockent des informations importantes et sont conçus pour empêcher l'acquisition de clef de formulaire divulguée par Microsoft.

Le représentant a également déclaré que « les systèmes d’identité de l’entreprise gèrent les clefs en utilisant une combinaison de protections HSM et logicielles en raison des exigences uniques d’échelle et de résilience de l’environnement cloud ». Cela n’explique toujours pas comment les attaquants ont réussi à extraire la clef d’un appareil spécialement conçu pour empêcher le vol.

La nécessité de renforcer une posture de sécurité

La brèche dans Azure AD a eu des conséquences importantes pour les utilisateurs de Microsoft, car elle a permis aux pirates informatiques de se connecter à des comptes Azure et Exchange sans avoir besoin de mots de passe ou d’autres informations d’identification. Les pirates informatiques ont également pu modifier les paramètres de sécurité des comptes, tels que les règles de transfert de courrier électronique, les stratégies d’accès conditionnel et les règles de flux de messagerie. Ces modifications ont rendu plus difficiles la détection et l’élimination des pirates informatiques des systèmes compromis.

Microsoft a déclaré qu’il avait informé les clients affectés par la brèche et qu’il leur avait fourni des outils et des conseils pour restaurer la sécurité de leurs comptes. La société a également recommandé aux utilisateurs d’Azure AD de passer à l’authentification multifacteur (MFA) et à la protection contre les menaces basées sur le cloud, qui peuvent réduire le risque d’attaques par falsification de jetons.

En juillet, Microsoft déclarait :

Microsoft a atténué une attaque menée par un acteur malveillant basé en Chine que Microsoft appelle Storm-0558 et qui ciblait les e-mails des clients. Storm-0558 cible principalement les agences gouvernementales d'Europe occidentale et se concentre sur l'espionnage, le vol de données et l'accès aux informations d'identification. Sur la base des informations signalées par les clients le 16 juin 2023, Microsoft a ouvert une enquête sur une activité de messagerie anormale. Au cours des semaines suivantes, notre enquête a révélé qu'à partir du 15 mai 2023, Storm-0558 a eu accès à des comptes de messagerie affectant environ 25 organisations dans le cloud public, y compris des agences gouvernementales, ainsi qu'à des comptes de consommateurs associés d'individus probablement associés à ces organisations. Pour ce faire, ils ont utilisé de faux jetons d'authentification pour accéder au courrier électronique des utilisateurs à l'aide d'une clef de signature de consommateur de compte Microsoft (MSA) acquise. Microsoft a terminé l'atténuation de cette attaque pour tous les clients.

La brèche dans Azure AD est la dernière d’une série d’incidents de sécurité qui ont touché Microsoft ces derniers mois. En plus des attaques contre les serveurs Exchange, Microsoft a également été victime du piratage massif de SolarWinds, qui a compromis son code source et ses comptes internes. Ces incidents soulignent la nécessité pour Microsoft et ses clients de renforcer leur posture de sécurité face à des acteurs malveillants de plus en plus sophistiqués.

Sources : Microsoft (1, 2)

Et vous ?

Que pensez-vous de la réaction de Microsoft face à la brèche dans Azure AD ? A-t-elle été suffisamment transparente et proactive ?
Quelles sont les mesures que vous prenez pour protéger vos comptes et vos données sur le cloud ? Utilisez-vous l’authentification multifacteur et la protection contre les menaces basée sur le cloud ?
Quels sont les risques et les avantages de confier vos applications et vos données sensibles à un service cloud comme Azure ? Préférez-vous utiliser un service cloud public, privé ou hybride ?
Comment évaluez-vous le niveau de compétence et de motivation des pirates informatiques qui ont réussi à pénétrer dans le réseau interne de Microsoft ? Pensez-vous qu’ils soient liés à un groupe ou à un pays particulier ?
Quelles sont les conséquences potentielles de la brèche dans Azure AD pour les utilisateurs de Microsoft et pour l’industrie du cloud en général ? Comment peut-on prévenir ou atténuer de telles attaques à l’avenir ?

[marsupial]

Citation Envoyé par Microsoft
Notre enquête a révélé qu'un crash du système de signature des consommateurs en avril 2021 a donné lieu à un snapshot du processus bloqué (« crash dump »). Les dump sur incident (crash dump), qui suppriment les informations sensibles, ne doivent pas inclure la clé de signature. Dans ce cas, une condition de concurrence critique permettait à la clé d'être présente dans crash dump (ce problème a été corrigé). La présence du matériel clé dans le crash dump n’a pas été détectée par nos systèmes (ce problème a été corrigé).

D'une, je me demande comment de telles failles ont pu passer le contrôle qualité et le niveau de sécurité des clés de signature. De deux, je me demande comment un pirate a pu tomber dessus car il faut vraiment chercher pour connaître l'existence d'une telle clé. Le tout donne une piètre opinion de la sécurité chez Microsoft qui veut un Windows dans le cloud.

Que pensez-vous de la réaction de Microsoft face à la brèche dans Azure AD ? A-t-elle été suffisamment transparente et proactive ?

La réaction de Microsoft est à la hauteur de l'impact de la faille et des personnes piratées. Qu'en est-il pour les utilisateurs lambda ?

Comment évaluez-vous le niveau de compétence et de motivation des pirates informatiques qui ont réussi à pénétrer dans le réseau interne de Microsoft ? Pensez-vous qu’ils soient liés à un groupe ou à un pays particulier ?

Le niveau de compétence est relativement moyen comparé au niveau de motivation. L'accès au crash dump peut très bien avoir été récupéré sur le dark web et analysé ensuite. Mais tout porte à croire qu'il s'agit de pirates étatiques à la recherche d'informations diverses et variées. Des cybercriminels ne se seraient pas donnés autant de mal sans un gros gain à la clé.

Comment peut-on prévenir ou atténuer de telles attaques à l’avenir ?

Déjà stocker le moins possible dans le cloud - même si c'est bien pratique - pour atténuer les conséquences d'une brèche. Et pour les prévenir, il faut voir la sécurité du côté du fournisseur de services cloud pour ne pas se retrouver dans la posture de Microsoft de devoir boucher des trous de sécurité pour le moins édifiants pour ne pas dire plus. Je me demande comment sont validés les softs et surtout les différents points de sécurité.

[Anthony]

Microsoft a résolu une faille de sécurité sur le service cloud Azure qui exposait les fichiers et les identifiants internes de l'entreprise à l'internet ouvert

Microsoft a annoncé qu'elle avait corrigé une faille de sécurité qui exposait des informations d'identification et des fichiers internes de l'entreprise sur l'internet. La faille a été découverte par des chercheurs de la société de cybersécurité SOC Radar. Selon leur rapport, une erreur interne a entraîné l'accès public à un serveur de stockage Azure non protégé par un mot de passe.

Les données exposées étaient principalement liées au moteur de recherche Bing de Microsoft, y compris des fichiers de configuration, du code et des scripts que les employés utilisaient pour accéder à une série de systèmes et de bases de données internes. Par conséquent, des acteurs malveillants ont pu identifier et accéder à des emplacements de données internes de Microsoft. Jusqu'à présent, la durée pendant laquelle les données ont été exposées n'a pas été précisée.

Cet incident est le dernier d'une série d'erreurs liées à la sécurité chez Microsoft, dont plusieurs associées à ses offres de cloud ces dernières années. En 2023, des employés de Microsoft ont accidentellement exposé leurs propres identifiants de réseau d'entreprise sur GitHub. En outre, des pirates soutenus par la Chine ont pu accéder aux comptes de messagerie hébergés par Microsoft de hauts fonctionnaires du gouvernement américain, grâce au vol d'une clé interne de signature des courriels. Des pirates russes ont également réussi à voler une partie du code source de l'entreprise.

Ces incidents ont entamé la crédibilité de Microsoft auprès de ses clients. Les représentants des gouvernements ont critiqué l'entreprise pour son manque de responsabilité dans ces incidents. Il est donc devenu important pour les gouvernements de collaborer avec les entreprises technologiques afin d'atténuer ces menaces et d'améliorer la transparence dans un avenir proche.

Source : Microsoft

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des pratiques de Microsoft en matière de sécurité ?

Voir aussi :

Azure AD: un ingénieur Microsoft s'est fait pirater son compte et a exposé des utilisateurs de haut niveau, des hackers ont volé une clé de signature dans un crash dump

Microsoft affirme que des pirates informatiques russes ont volé son code source après avoir espionné ses dirigeants, ce qui soulève des préoccupations quant aux pratiques de sécurité de l'entreprise

[Anthony]

Le gouvernement américain affirme que la récente faille de sécurité de Microsoft a exposé les agences fédérales au piratage informatique

Le gouvernement américain a déclaré le jeudi 11 avril que les pirates informatiques du gouvernement russe qui ont récemment volé des courriels d'entreprise de Microsoft ont obtenu des mots de passe et d'autres documents secrets qui pourraient leur permettre de pénétrer dans plusieurs agences américaines. L'agence pour la cybersécurité et la sécurité des infrastructures, qui dépend du ministère de la Sécurité intérieure, a émis le mardi 9 avril une directive contraignante rare à l'intention d'un nombre indéterminé d'agences, leur demandant de modifier les identifiants de connexion qui ont été utilisés et d'enquêter sur les autres éléments susceptibles de présenter un risque. La directive a été rendue publique le jeudi, après que les destinataires ont commencé à renforcer leurs défenses.

"La compromission réussie des comptes de messagerie d'entreprise de Microsoft et l'exfiltration de la correspondance entre les agences et Microsoft présentent un risque grave et inacceptable pour les agences", a écrit la CISA. "Cette directive d'urgence exige que les agences analysent le contenu des courriels exfiltrés, réinitialisent les informations d'identification compromises et prennent des mesures supplémentaires pour s'assurer que les outils d'authentification des comptes Microsoft Azure privilégiés sont sécurisés."

Les responsables de la CISA ont déclaré aux journalistes qu'il n'était pas encore clair si les pirates, associés à l'agence de renseignement militaire russe SVR, avaient obtenu quoi que ce soit des agences exposées. La CISA "n'a pas précisé l'étendue des risques pour les intérêts nationaux". Mais le directeur adjoint de l'agence pour la cybersécurité a déclaré que "le potentiel d'exposition des informations d'authentification fédérales [...] pose un risque urgent pour l'entreprise fédérale, d'où la nécessité de cette directive et des actions qu'elle contient".

Le système d'exploitation Windows, la messagerie Outlook et d'autres logiciels de Microsoft sont utilisés par l'ensemble du gouvernement américain, ce qui confère à l'entreprise de Redmond, dans l'État de Washington, une énorme responsabilité en matière de cybersécurité des employés fédéraux et de leur travail. Mais cette relation de longue date montre de plus en plus de signes de tension.... Cette faille est l'une des quelques intrusions graves dont a été victime l'entreprise et qui ont exposé de nombreuses autres entreprises à des risques de piratage. Un autre de ces incidents - au cours duquel des pirates du gouvernement chinois ont percé la sécurité des logiciels cloud de Microsoft pour voler les courriels de fonctionnaires du département d'État et du département du commerce - a déclenché un examen fédéral majeur qui, la semaine dernière, a appelé l'entreprise à revoir sa culture, que le Conseil d'examen de la cybersécurité a citée comme ayant permis une "cascade d'erreurs évitables".

La directive contraignante émise par la CISA à l'intention des agences américaines est présentée ci-dessous. Il s'agit d'une version conviviale de la directive d'urgence 24-02 de l'Agence pour la cybersécurité et la sécurité des infrastructures, intitulée "Atténuer le risque important de compromission par un État-nation du système de messagerie électronique de l'entreprise Microsoft."

La section 3553(h) du titre 44, U.S. Code, autorise le secrétaire à la sécurité intérieure, en réponse à une menace, une vulnérabilité ou un incident connu ou raisonnablement suspecté en matière de sécurité de l'information qui représente une menace substantielle pour la sécurité de l'information d'une agence, à "émettre une directive d'urgence à l'intention du responsable d'une agence pour qu'il prenne toute mesure légale concernant le fonctionnement du système d'information, y compris les systèmes utilisés ou exploités par une autre entité pour le compte d'une agence, qui recueille, traite, stocke, transmet, diffuse ou conserve d'une autre manière les informations de l'agence, dans le but de protéger le système d'information contre une menace pour la sécurité de l'information ou d'en atténuer les effets". La section 2205(3) du Homeland Security Act de 2002, tel que modifié, délègue cette autorité au directeur de la Cybersecurity and Infrastructure Security Agency. Les agences fédérales sont tenues de se conformer à ces directives. Ces directives ne s'appliquent pas aux "systèmes de sécurité nationale" définis par la loi, ni aux systèmes exploités par le ministère de la défense ou la communauté du renseignement.

Contexte

Le cyberacteur parrainé par l'État russe, connu sous le nom de Midnight Blizzard, a exfiltré la correspondance électronique entre les agences du Federal Civilian Executive Branch (FCEB) et Microsoft grâce à la compromission réussie des comptes de messagerie d'entreprise de Microsoft. Microsoft a divulgué l'incident et les mises à jour ultérieures par le biais de plusieurs communications, à partir de janvier 2024.

L'acteur de la menace utilise les informations initialement exfiltrées des systèmes de messagerie de l'entreprise, y compris les détails d'authentification partagés entre les clients de Microsoft et Microsoft par courrier électronique, pour obtenir, ou tenter d'obtenir, un accès supplémentaire aux systèmes des clients de Microsoft. Selon Microsoft, Midnight Blizzard a multiplié par 10 le volume de certains aspects de la campagne d'intrusion, tels que les pulvérisations de mots de passe, en février, par rapport à un volume déjà important observé en janvier 2024.

La compromission réussie par Midnight Blizzard des comptes de messagerie d'entreprise de Microsoft et l'exfiltration de la correspondance entre les agences et Microsoft présentent un risque grave et inacceptable pour les agences. Cette directive d'urgence exige que les agences analysent le contenu des courriels exfiltrés, réinitialisent les informations d'identification compromises et prennent des mesures supplémentaires pour s'assurer que les outils d'authentification pour les comptes Microsoft Azure privilégiés sont sécurisés. La CISA a évalué que les actions requises ci-dessous sont les plus appropriées pour comprendre et atténuer le risque posé par la possession par Midnight Blizzard de la correspondance exfiltrée entre les agences FCEB et Microsoft.

Microsoft et la CISA ont notifié toutes les agences fédérales dont la correspondance électronique avec Microsoft a été identifiée comme exfiltrée par Midnight Blizzard. La présente directive fera référence à ce groupe d'agences en tant qu'"agences affectées".

En outre, Microsoft a déclaré à la CISA que pour le sous-ensemble d'agences concernées dont les courriels exfiltrés contiennent des secrets d'authentification, tels que des identifiants ou des mots de passe, Microsoft fournira à ces agences les métadonnées de ces courriels.

Enfin, Microsoft a accepté de fournir des métadonnées pour toute la correspondance exfiltrée des agences fédérales - indépendamment de la présence de secrets d'authentification - à la demande de la National Cyber Investigative Joint Task Force (NCIJTF), qui s'est portée volontaire pour être le point de contact fédéral unique pour cet incident.

Actions requises

Les agences concernées qui reçoivent de Microsoft des métadonnées de courrier électronique correspondant à des compromissions d'authentification connues ou suspectées, ou qui ont connaissance de détails spécifiques concernant ces compromissions, doivent prendre les mesures suivantes :

1. Prendre des mesures correctives immédiates pour les jetons, mots de passe, clés API ou autres informations d'authentification dont la compromission est avérée ou suspectée.
2. Pour toute compromission d'authentification connue ou suspectée identifiée par l'action 1, au plus tard le 30 avril 2024 :
   
   • Réinitialiser les informations d'identification dans les applications associées et désactiver les applications associées qui ne sont plus utilisées par l'agence.
   • Examiner les journaux de connexion, d'émission de jetons et d'autres activités de compte pour les utilisateurs et les services dont les informations d'identification ont été suspectées ou observées comme étant compromises, afin d'y déceler d'éventuelles activités malveillantes.
   
   Toutes les agences concernées doivent prendre les mesures suivantes :
3. Prendre des mesures pour identifier le contenu complet de la correspondance de l'agence avec les comptes Microsoft compromis et effectuer une analyse d'impact sur la cybersécurité, conformément aux détails identifiés dans l'annexe de la présente directive. Cette action doit être achevée au plus tard le 30 avril 2024.
4. Pour les compromissions d'authentification connues ou suspectées identifiées par l'analyse de l'agence, fournir une notification à la CISA et suivre les étapes 1 et 2. La CISA travaillera avec les agences sur un calendrier actualisé pour la réalisation de ces actions requises.

Communication de l'état d'avancement

Les agences doivent communiquer à la CISA l'état d'avancement de toutes les actions requises avant le 8 avril 2024 à 23h59, fournir une mise à jour de l'état d'avancement à la CISA avant le 1er mai 2024 à 23h59 et, le cas échéant, fournir des mises à jour hebdomadaires sur les actions de remédiation pour les compromissions d'authentification jusqu'à ce qu'elles soient achevées. La CISA fournira aux agences un modèle de rapport et des instructions en la matière.

Actions de la CISA

• La CISA fournira aux agences des instructions pour accéder au contenu des courriels des agences et analyser le contenu des courriels.
• La CISA poursuivra ses efforts pour identifier les cas et les compromissions potentielles associés à cette activité de menace, fournira des notifications aux partenaires et émettra des orientations et des directives supplémentaires, le cas échéant.
• La CISA fournira une assistance technique aux agences qui ne disposent pas de capacités internes suffisantes pour se conformer à cette directive.
• D'ici au 1er septembre 2024, la CISA fournira un rapport au secrétaire à la Sécurité intérieure et au directeur de l'Office of Management and Budget, dans lequel elle indiquera l'état d'avancement de la coopération entre les agences et les questions en suspens. La CISA fournira également une copie du rapport au directeur national du cyberespace.

Durée de la directive

Cette directive d'urgence reste en vigueur jusqu'à ce que la CISA détermine que les agences ont effectué toutes les actions requises par cette directive, ou jusqu'à ce qu'il soit mis fin à la directive par une autre action appropriée.

Source : "Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System" (Directive de la CISA)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de cette initiative de la CISA ? Trouvez-vous qu'elle est pertinente et cohérente ?

Voir aussi

Microsoft a résolu une faille de sécurité sur le service cloud Azure qui exposait les fichiers et les identifiants internes de l'entreprise à l'internet ouvert

Azure AD: un ingénieur Microsoft s'est fait pirater son compte et a exposé des utilisateurs de haut niveau, des hackers ont volé une clé de signature dans un crash dump