Un groupe de travail fédéral chargé de la sécurité cybernétique a publié son rapport sur ce qui a conduit à la capture, l’été dernier, de centaines de milliers d’e-mails par des pirates chinois chez des clients de services cloud, y compris des agences fédérales. Il évoque « une cascade de défaillances de sécurité chez Microsoft » et constate que « la culture de sécurité de Microsoft était insuffisante » et doit s’adapter à une « nouvelle norme » de ciblage de fournisseurs de services cloud. Le rapport, exigé par le président Biden à la suite de l’intrusion généralisée, détaille les mesures prises par Microsoft avant, pendant et après l’incident et dans chaque cas trouve une défaillance critique. L’incident aurait été « évitable », même s’il estime que Microsoft ne sait pas précisément comment Storm-0558, un « groupe de piratage considéré comme affilié à la République populaire de Chine », est entré. « Tout au long de cet examen, le groupe a identifié une série de décisions opérationnelles et stratégiques de Microsoft qui montrent collectivement une culture d’entreprise ayant relégué au second plan à la fois les investissements en matière de sécurité des entreprises et la gestion rigoureuse des risques », indique le rapport. Il note que Microsoft « a pleinement coopéré avec l’examen du groupe ». Un porte-parole de Microsoft a publié une déclaration concernant le rapport. « Nous apprécions le travail du CSRB qui a enquêté sur l’impact des acteurs de menaces étatiques bien financés qui opèrent en continu et sans dissuasion significative », indique la déclaration. « Comme annoncé dans notre Initiative pour un Avenir Sécurisé, les événements récents ont démontré la nécessité d’adopter une nouvelle culture d’ingénierie de la sécurité dans nos propres réseaux. » En renforçant ses systèmes et en mettant en place davantage de capteurs et de journaux pour « détecter et repousser les cyber-armées de nos adversaires », Microsoft a déclaré qu’elle « examinerait le rapport final pour des recommandations supplémentaires ». Le Cyber Safety Review Board (CSRB), formé il y a deux ans, est composé de responsables gouvernementaux et industriels, provenant d’organismes tels que les départements de la Sécurité intérieure, de la Justice et de la Défense, la NSA, le FBI, entre autres. Microsoft fournit des services basés sur le cloud, y compris Exchange et Azure, à de nombreuses agences gouvernementales, y compris des consulats.
« La Croisade acharnée d’un couple pour arrêter un tueur génétique »
En y repensant, cela aurait pu être un indice. Mais au début de l’année 2010, lorsque Kamni Vallabh a commencé
