Discussion :

[Bill Fassinou]

Microsoft avertit des milliers de clients du cloud que leurs bases de données sont exposées
à des violations ou attaques de toute sorte

Les cyberattaques sont devenues une menace très sérieuse pour les entreprises de tous les secteurs au cours de ces dernières. Elles recherchent désormais activement toute vulnérabilité liée à leurs offres et tentent d'y apporter des solutions immédiates. Jeudi, Microsoft a averti des milliers de ses clients de son service de cloud computing, dont certaines des plus grandes entreprises du monde, que des intrus pourraient avoir la possibilité de lire, modifier ou même supprimer leurs principales bases de données. La vulnérabilité concerne la base de données Cosmos DB de Microsoft Azure.

Microsoft est le troisième plus grand fournisseur de service de cloud computing dans le monde, en matière de chiffre d'affaires après AWS (Amazon Web Service) et Google (avec Google Cloud Platform - GCP). Son infrastructure cloud Azure est utilisée par des milliers de clients à travers le monde. Et tout comme AWS et GCP, Azure est constamment exposé à des cyberattaques qui pourraient causer des milliards de dollars de dommages aux entreprises clientes. Toutefois, la société reste vigilante depuis les attaques contre son serveur de messagerie électronique Exchange qui ont exposé les données de milliers d'entreprises à travers le monde.

Alors que Exchange est toujours exposé à certains égards, l'entreprise vient de découvrir une nouvelle vulnérabilité critique dans Azure. À travers un mail, dont Reuters a obtenu une copie, Microsoft a informé jeudi ses clients que son service de base de données multimodèle exclusif Cosmos DB était sujet à une vulnérabilité. En effet, une équipe de recherche de la société de sécurité Wiz a découvert qu'elle était en mesure d'accéder aux clés qui contrôlent l'accès aux bases de données détenues par des milliers d'entreprises. Le directeur de la technologie de Wiz, Ami Luttwak, est un ancien directeur de la technologie du Cloud Security Group de Microsoft.

Comme Microsoft ne peut pas modifier ces clés par lui-même, il a envoyé un mail jeudi aux clients pour leur demander d'en créer de nouvelles. Selon un mail envoyé à Wiz, Microsoft a accepté de verser 40 000 dollars à Wiz pour avoir découvert la faille et l'avoir signalée. « Nous avons immédiatement corrigé ce problème pour assurer la sécurité et la protection de nos clients. Nous remercions les chercheurs en sécurité d'avoir travaillé dans le cadre de la divulgation coordonnée de la vulnérabilité », a déclaré Microsoft.

En outre, Microsoft a rassuré ses clients en déclarant que rien ne prouvait que la faille avait été exploitée. « Nous n'avons aucune indication que des entités externes au chercheur (Wiz) aient eu accès à la clé primaire de lecture-écriture », indique le courriel. De son côté, Luttwak a déclaré qu'il s'agit de la pire vulnérabilité à laquelle un fournisseur de service cloud pouvait être confronté. « C'est la pire vulnérabilité du cloud que vous pouvez imaginer. C'est un secret de longue durée. C'est la base de données centrale d'Azure, et nous avons pu avoir accès à toutes les bases de données clients que nous voulions », a déclaré Luttwak à Reuters.

L'équipe de Luttwak aurait découvert le problème, surnommé ChaosDB, le 9 août et en a informé Microsoft le 12 août. Selon les informations fournies par Wiz, la faille se trouvait dans l'outil de visualisation appelé Jupyter Notebook, qui est disponible depuis des années, mais qui a été activé par défaut dans Cosmos à partir de février. Après que Reuters a révélé la vulnérabilité, Wiz a détaillé le problème dans un billet de blogue. Luttwak a déclaré que même les clients qui n'ont pas été informés par Microsoft pourraient avoir vu leurs clés piratées par des attaquants, ce qui leur donne un accès jusqu'à ce que ces clés soient changées.

Microsoft n'a informé les clients dont les clés étaient visibles que ce mois-ci, alors que Wiz travaillait sur le problème. L'entreprise a déclaré à Reuters que « les clients qui ont pu être touchés ont reçu une notification de notre part », sans donner plus de détails. Cette divulgation intervient après des mois de mauvaises nouvelles en matière de sécurité pour Microsoft. La société a été attaquée par les mêmes pirates présumés du gouvernement russe qui ont infiltré SolarWinds, et qui ont volé le code source de Microsoft. Ensuite, un grand nombre de pirates ont pénétré dans les serveurs de messagerie Exchange alors qu'un correctif était en cours d'élaboration.

Un récent correctif pour une faille dans une imprimante qui permettait de prendre le contrôle d'un ordinateur a dû être refait à plusieurs reprises. La semaine dernière, une autre faille d'Exchange a suscité un avertissement urgent du gouvernement américain : « les clients doivent installer les correctifs publiés il y a plusieurs mois, car des gangs de rançongiciels l'exploitent désormais ». La divulgation intervient également après que la Maison Blanche a appelé les grandes entreprises américaines à faire plus d'efforts en matière de cybersécurité. Mercredi, Joe Biden a discuté avec des dizaines de PDG autour d'un sommet sur la cybersécurité des États-Unis.

Le pays a été le théâtre de cyberattaques répétées et extrêmement dévastatrices contre des agences gouvernementales américaines et des infrastructures énergétiques. Ces cyberattaques, hautement sophistiquées, ont rendu plus urgente la lutte contre ces menaces pour les secteurs public et privé. Ces incidents comprennent l'attaque de la société de logiciels SolarWinds, qui a touché plusieurs agences gouvernementales, et le piratage de Colonial Pipeline. Ce dernier a entraîné une pénurie de gaz dans certaines régions du pays. D'autres attaques ont frappé Kaseya et le géant agroalimentaire JBS.

Mercredi, Biden a appelé les dirigeants du secteur privé à "placer la barre plus haut en matière de cybersécurité". « Le gouvernement fédéral ne peut pas relever ce défi seul. Vous avez le pouvoir, la capacité et la responsabilité, je crois, de relever la barre en matière de cybersécurité », a-t-il déclaré. « Nous avons beaucoup de travail à faire », a ajouté Biden, citant à la fois les attaques par ransomware et ses efforts pour amener le président russe Vladimir Poutine à tenir pour responsables les cybergangs basés en Russie, ainsi que la nécessité de pourvoir près d'un demi-million d'emplois publics et privés dans le domaine de la cybersécurité.

Par ailleurs, la Maison Blanche a déclaré que l'Institut national des normes et de la technologie (NIST) travaillerait avec l'industrie et d'autres partenaires sur de nouvelles lignes directrices pour construire des technologies sécurisées et évaluer la sécurité des technologies, y compris les logiciels libres. Les dirigeants d'entreprises privées ont répondu à l'appel du président et ont déclaré qu'ils feraient davantage face à la menace croissante des cyberattaques pour l'économie américaine. Microsoft, Google, Travelers et Coalition, un fournisseur de cyberassurance, entre autres, se sont engagés à participer à la nouvelle initiative dirigée par le NIST.

À la fin du sommet, Microsoft a annoncé qu'il investirait 20 milliards de dollars au cours des cinq prochaines années pour faire progresser la "cybersécurité dès la conception" et fournir des solutions de sécurité avancées. L'entreprise a également annoncé qu'elle mettrait immédiatement à disposition 150 millions de dollars en services techniques pour aider les gouvernements fédéraux, étatiques et locaux à améliorer leur sécurité.

Source : Billet de blogue de Wiz

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Google et Microsoft promettent des milliards pour aider à renforcer la cybersécurité américaine ; Apple, Amazon et IBM ont également annoncé d'autres plans d'action

Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange. Des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés

Microsoft publie des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge, à la suite du piratage de son serveur de messagerie

Le PDG de SolarWinds blâme un stagiaire pour une fuite de mot de passe. Il n'est, cependant, pas encore certain que cela ait joué un rôle dans le piratage de SolarWinds

Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production

[23JFK]

Standardisation et centralisation, les black-hackers n'en demandaient pas plus.

[FabsMuller]

Contre ce genre de menace, il n'y a pas grand-chose à faire. Voyons, un ancien CTO de la sécurité quitte l'entreprise et « découvre » une faille de sécurité dans l'un des produits dont il était responsable, et gagne 40 000 pour cela. Ce n'est pas un défaut technique, mais un défaut de vengeance, il n'y a pas de remède à cela....

[marsupial]

Quelques chiffres pour commencer :

* l'industrie cyber produit 10 000 failles tous les 6 mois
* 4 millions de postes sont ouverts dans le monde concernant la cybersécurité
* 100% des entreprises ont été victimes d'au moins une cyberattaque dans les 3 ans écoulés
* les dégâts se comptent en milliers de milliards de dollars, pour ce qui est de l'argent, mais combien en compétitivité
* depuis le covid, la sécurité est repassée en dernière position des ingrédients décisionnels de la transformation numérique


Pourtant, le monde de la finance craint plus une cyberattaque majeur qu'une crise économique. La prise de conscience est là depuis quelques années déjà, mais les moyens en formation pour palier à la pénurie de ressources se font toujours attendre. Les intentions de Biden sont louables mais, sans remettre en cause Microsoft, Google, Apple, Amazon, IBM, Fire eye, etc cela sera-t-il suffisant à résoudre le cas ?

En conclusion, vu là où je suis placé, il n'y a pas des kilomètres à ce que je sois convoqué aussi par la direction pour mettre la main à la pâte de ce grand plan de sauvegarde. Je crois que je leur répondrai d'accord mais je me limite à la formation. Et ce sera déjà pas mal.