La plus grande entreprise technologique au monde a un problème de sécurité. Une série d’incidents de sécurité de grande envergure ont secoué Microsoft ces dernières années, et un rapport cinglant du Cyber Safety Review Board a récemment conclu que « la culture de la sécurité de Microsoft était insuffisante et nécessitait une refonte ». À l’intérieur de Microsoft, on craint que les attaques ne sapent sérieusement la confiance envers l’entreprise.
Selon mes sources, les équipes d’ingénierie et de sécurité de Microsoft se sont dépêchées de répondre aux nouvelles attaques des mêmes pirates parrainés par l’État russe qui étaient à l’origine de l’incident SolarWinds. Connu sous le nom de Nobelium ou Blizzard de Minuit, le groupe de piratage a pu espionner les comptes de messagerie de certains membres de l’équipe de direction supérieure de Microsoft l’année dernière et même voler du code source récemment.
Les attaques en cours ont effrayé de nombreux employés de Microsoft, et les équipes travaillent à améliorer les défenses de Microsoft et à prévenir de nouvelles violations pendant que les pirates étudient les informations volées et tentent de trouver d’autres failles. La sécurité est toujours une course au chat et à la souris, mais elle est encore plus difficile lorsque les pirates ont espionné vos communications.
Ce ne sont que les dernières d’une longue série de violations de sécurité. Les pirates informatiques du gouvernement chinois ont ciblé les serveurs d’échange de Microsoft avec des exploits zero-day au début de l’année 2021, ce qui leur a permis d’accéder aux comptes de messagerie et d’installer des logiciels malveillants sur les serveurs hébergés par les entreprises. L’année dernière, des pirates chinois ont violé les e-mails du gouvernement américain grâce à une faille dans le cloud de Microsoft. L’incident a permis aux pirates d’accéder à la boîte de réception en ligne de 22 organisations, affectant plus de 500 personnes, dont des employés du gouvernement américain travaillant sur la sécurité nationale.
Qualifié de « cascade de défaillances de sécurité » par le Cyber Safety Review Board des États-Unis, l’attaque par e-mail du gouvernement américain de l’année dernière était « évitable », selon le conseil. Il a également constaté que plusieurs décisions prises à l’intérieur de Microsoft ont contribué à « une culture d’entreprise qui avait accordé une priorité moindre aux investissements en matière de sécurité des entreprises et à une gestion rigoureuse des risques ». Microsoft n’est toujours pas sûr à 100% de savoir comment une clé a été volée pour permettre aux pirates chinois de falsifier des jetons et d’accéder à des boîtes de réception d’e-mails hautement sensibles.
La principale réponse de Microsoft à ces attaques a été son initiative Secure Future (SFI), une refonte de la manière dont elle conçoit, construit, teste et exploite ses logiciels et services. Dévoilée en novembre, avant que l’espionnage russe des e-mails ne soit révélé, la SFI devrait être le plus grand changement dans les efforts de sécurité de Microsoft depuis le lancement de son cycle de développement de sécurité (SDL) en 2004. Le SDL lui-même était une réponse au ver Blaster dévastateur qui a fait planter les machines Windows XP en 2003 et qui a incité l’entreprise à accorder une plus grande attention à la sécurité.
Publiquement, nous n’avons rien vu de cette nouvelle initiative Secure Future, mais en coulisses, Microsoft est très préoccupé par la perte de confiance de ses clients. Lors d’une conférence interne de leadership plus tôt ce mois-ci, le PDG de Microsoft, Satya Nadella, et le président Brad Smith ont tous deux parlé de la nécessité de donner la priorité à la sécurité avant tout, selon des sources. La crainte aux niveaux les plus élevés de Microsoft est que la confiance soit érodée par ces problèmes de sécurité et que l’entreprise doive reconquérir la confiance de ses clients par conséquent.
Je comprends que les responsables de l’ingénierie chez Microsoft donnent maintenant la priorité à la sécurité plutôt qu’aux nouvelles fonctionnalités ou à la mise en production rapide de produits. Cela intervient quelques semaines après que le Cyber Safety Review Board a déclaré que Microsoft devait « renoncer à accorder la priorité au développement de fonctionnalités dans l’ensemble de l’infrastructure cloud et de la suite de produits de l’entreprise jusqu’à ce que des améliorations substantielles en matière de sécurité aient été apportées. »
On me dit que l’IA et la sécurité sont désormais les deux principaux centres d’intérêt chez Microsoft, surtout que le déploiement rapide des technologies d’IA par l’entreprise entraîne encore plus de problèmes de sécurité potentiels. À mesure que de plus en plus de clients de Microsoft passent au cloud et adoptent l’IA, la nécessité de la sécurité augmente. Microsoft a construit une entreprise de sécurité de 20 milliards de dollars grâce à ce changement vers le cloud, mais elle est en grande partie basée sur la vente de fonctionnalités de sécurité en supplément des abonnements existants.
Mary Jo Foley, célèbre journaliste de longue date spécialisée dans Microsoft, a récemment appelé Microsoft à « cesser de vendre la sécurité en tant qu’offre haut de gamme ». Foley souligne comment certains outils de sécurité ne sont disponibles que en tant que modules complémentaires aux abonnements Microsoft 365 et que certains clients n’ont pas pu consulter auparavant des informations clés sur les journaux qui auraient pu leur permettre de détecter les incidents.
C’est un sentiment partagé par A.J. Grotto, ancien directeur de la politique de cybersécurité de la Maison-Blanche. « Si vous revenez à l’épisode de SolarWinds il y a quelques années… [Microsoft] vendait essentiellement la possibilité d’enregistrement aux agences fédérales », a déclaré Grotto dans une interview avec The Register récemment. « Par conséquent, il était très difficile pour les agences d’identifier leur exposition à la violation de SolarWinds. »
Microsoft a réagi aux plaintes concernant les informations sur l’enregistrement en prolongeant la durée de disponibilité des journaux de 90 à 180 jours l’année dernière, mais les organisations doivent encore choisir des abonnements Microsoft 365 E5 plus coûteux si elles souhaitent disposer de la plupart des fonctionnalités de sécurité et de conformité de Microsoft.
Même après avoir révélé récemment que des pirates russes avaient volé du code source, quelques jours plus tard, l’entreprise a annoncé qu’elle commencerait à vendre son « Copilot » pour la sécurité avec une tarification à la demande. Le chatbot IA génératif est conçu pour les professionnels de la cybersécurité pour les aider à se protéger contre les menaces, mais les entreprises devront payer 4 dollars par heure d’utilisation si elles veulent utiliser le modèle d’IA spécifique à la sécurité de Microsoft.
Cette tentative de vente supplémentaire et la dépendance massive des organisations vis-à-vis des logiciels de Microsoft n’ont pas échappé aux législateurs non plus. Le gouvernement américain compte fortement sur les logiciels de Microsoft, et les violations d’e-mails ont mis encore plus l’accent sur cette relation. « La dépendance du gouvernement américain envers Microsoft constitue une menace sérieuse pour la sécurité nationale des États-Unis », déclare le sénateur Ron Wyden (D-OR) dans une déclaration à Wired. Wyden critique les efforts de cybersécurité de Microsoft depuis des années et a demandé une enquête du gouvernement fédéral après la violation des e-mails du gouvernement américain l’année dernière.
La façon dont Microsoft répondra aux critiques croissantes concernant ses pratiques de sécurité dans les mois à venir sera révélatrice. Alors que le Cyber Safety Review Board estime que la culture de sécurité de Microsoft est défaillante, Microsoft n’est pas d’accord. « Nous sommes en désaccord avec cette caractérisation », déclare Steve Faehl, directeur de la technologie pour les activités de sécurité fédérales de Microsoft, dans une déclaration à Wired. « Nous reconnaissons cependant que nous n’avons pas été parfaits et que nous avons du travail à faire ».
Le comportement de Microsoft ne changera que s’il est contraint de le faire, argue Grotto lors de l’interview avec The Register. « À moins que cet examen minutieux ne modifie le comportement de ses clients qui pourraient vouloir chercher ailleurs, les incitations pour que Microsoft change ne seront pas aussi fortes qu’elles devraient l’être ».
