Un ancien employé de Microsoft affirme que le géant de la technologie a rejeté ses avertissements répétés au sujet d'une faille de sécurité qui a ensuite été exploitée dans le piratage SolarWinds, privilégiant les intérêts commerciaux à la sécurité des clients. Andrew Harris, qui travaillait dans l'équipe de sécurité du cloud de Microsoft, affirme avoir découvert la faiblesse en 2016, mais on lui a dit que la corriger pourrait mettre en péril un contrat gouvernemental de plusieurs milliards de dollars et l'avantage concurrentiel de l'entreprise, a rapporté ProPublica jeudi.La faille, dans un produit Microsoft appelé Active Directory Federation Services, a permis aux pirates de contourner les mesures de sécurité et d'accéder aux données sensibles du cloud. Des pirates russes ont exploité cette vulnérabilité lors de l'attaque SolarWinds de 2020, pénétrant ainsi dans plusieurs agences américaines. Microsoft continue de nier toute faute et insiste sur le fait que la protection des clients est sa priorité absolue. Ces révélations interviennent à un moment où Microsoft fait l'objet d'un examen de plus en plus minutieux de ses pratiques en matière de sécurité et cherche à développer ses activités auprès des pouvoirs publics.
SolarWinds est une entreprise américaine spécialisée dans le développement de logiciels pour la gestion des réseaux, des systèmes et de l’infrastructure informatique. Elle propose une plateforme d’observabilité et de gestion informatique qui permet aux utilisateurs d’observer et de gérer leur infrastructure IT de manière centralisée, que ce soit dans des environnements hybrides ou multicloud.
En décembre 2020, SolarWinds a fait les gros titres lorsqu’une cyberattaque massive a été découverte. Cette attaque, connue sous le nom de “SolarWinds hack”, a affecté plusieurs agences gouvernementales américaines ainsi que de nombreuses entreprises privées. Les pirates ont exploité une vulnérabilité dans le logiciel de gestion de réseau Orion de SolarWinds, leur permettant d’insérer un code malveillant et d’accéder à des réseaux de manière à ne pas être détecté pendant des mois.
Cette cyberattaque a soulevé des questions importantes sur la sécurité des chaînes d’approvisionnement logicielles et la manière dont les entreprises comme SolarWinds peuvent se protéger contre des menaces sophistiquées. Elle a également mis en évidence la nécessité d’une collaboration accrue entre le secteur privé et les agences gouvernementales pour renforcer la cybersécurité à l’échelle nationale et internationale.
Et si Microsoft était au courant mais avait choisi de ne rien faire ?
C'est en tout cas ce que laisse entendre Andrew Harris.
Microsoft a engagé Andrew Harris pour ses compétences extraordinaires à empêcher les pirates d'accéder aux réseaux informatiques les plus sensibles du pays. En 2016, Andrew Harris travaillait d'arrache-pied sur un incident surprenant au cours duquel des intrus avaient pénétré d'une manière ou d'une autre dans une grande entreprise technologique américaine.
La violation a troublé Harris pour deux raisons. Tout d'abord, elle concernait le cloud de l'entreprise, un entrepôt virtuel contenant généralement les données les plus sensibles d'une organisation. D'autre part, les attaquants avaient réussi leur coup en laissant peu de traces.
Il s'est retiré dans son bureau à domicile pour faire des « jeux de guerre » sur les scénarios possibles, en testant les différents logiciels qui auraient pu être compromis.
Au début, il s'est concentré sur une application Microsoft qui s'assurait que les utilisateurs avaient l'autorisation de se connecter à des programmes basés sur le cloud, l'équivalent cybernétique d'un agent qui vérifie les passeports à la frontière. C'est là, après des mois de recherche, qu'il a découvert un grave problème.
Le produit, utilisé par des millions de personnes pour se connecter à leurs ordinateurs professionnels, contenait une faille qui pouvait permettre à des attaquants de se faire passer pour des employés légitimes et de fouiller dans les "joyaux de la couronne" des victimes - secrets de sécurité nationale, propriété intellectuelle de l'entreprise, courriels personnels embarrassants - sans déclencher d'alarmes.
Pour Harris, qui avait auparavant travaillé pendant près de sept ans pour le ministère de la défense, il s'agissait d'un cauchemar en matière de sécurité. Toute personne utilisant le logiciel était exposée, qu'elle ait recours à Microsoft ou à un autre fournisseur de services en ligne tel qu'Amazon. Mais Harris était surtout préoccupé par le gouvernement fédéral et les implications de sa découverte pour la sécurité nationale. Il a signalé le problème à ses collègues.
Ils ont vu les choses différemment, a déclaré Harris. Le gouvernement fédéral s'apprêtait à investir massivement dans l'informatique dématérialisée, et Microsoft voulait décrocher le marché. Reconnaître l'existence de cette faille de sécurité pourrait compromettre les chances de l'entreprise, se souvient Harris, qui a entendu un chef de produit lui dire que les conséquences financières étaient énormes. Microsoft risquait non seulement de perdre un contrat de plusieurs milliards de dollars, mais aussi de perdre la course pour dominer le marché de l'informatique dématérialisée.
Harris a déclaré qu'il avait supplié l'entreprise pendant plusieurs années de corriger la faille dans le produit, comme l'a révélé une enquête de ProPublica. Mais à chaque fois, Microsoft a ignoré ses avertissements, lui disant qu'elle travaillerait sur une solution de remplacement à long terme - laissant les services d'informatique sur le cloud du monde entier vulnérables aux attaques dans l'intervalle.
Harris était persuadé que quelqu'un trouverait le moyen d'exploiter cette faiblesse. Il avait trouvé une solution temporaire, mais celle-ci exigeait que les clients désactivent l'une des fonctions les plus pratiques et les plus populaires de Microsoft : la possibilité d'accéder à presque tous les programmes utilisés au travail à l'aide d'une seule connexion.
Il s'est empressé d'alerter certains des clients les plus sensibles de l'entreprise au sujet de la menace et a personnellement supervisé la correction pour le département de la police de New York. Frustré par l'inaction de Microsoft, il a quitté l'entreprise en août 2020.
Andrew Harris a montré son badge d'employé de Microsoft sur sa page LinkedIn lorsqu'il a annoncé son départ de l'entreprise en 2020
Des craintes confirmées
Quelques mois plus tard, ses craintes sont devenues réalité. Les autorités américaines ont confirmé les informations selon lesquelles une équipe de pirates informatiques russes parrainée par l'État avait mené SolarWinds, l'une des plus grandes cyberattaques de l'histoire des États-Unis. Ils ont utilisé la faille identifiée par Harris pour aspirer des données sensibles provenant d'un certain nombre d'agences fédérales, dont, selon ProPublica, la National Nuclear Security Administration, qui gère le stock d'armes nucléaires des États-Unis, et les National Institutes of Health, qui, à l'époque, menaient des recherches sur le COVID-19 et distribuaient des vaccins. Les Russes ont également utilisé cette faiblesse pour compromettre des dizaines de comptes de courrier électronique du département du Trésor, y compris ceux de ses plus hauts fonctionnaires. Un fonctionnaire fédéral a décrit cette intrusion comme « une campagne d'espionnage conçue pour la collecte de renseignements à long terme ».
Le récit de Harris, étayé par des entretiens avec d'anciens collègues et associés, ainsi que par des messages publiés sur les réseaux sociaux, bouleverse l'idée que le public se fait généralement du piratage de SolarWinds.
Dès que le piratage a fait surface, Microsoft a insisté sur le fait qu'elle n'avait rien à se reprocher. Le président de Microsoft, Brad Smith, a assuré au Congrès en 2021 « qu'aucune vulnérabilité d'un produit ou d'un service Microsoft n'avait été exploitée » dans SolarWinds.
Il a également déclaré que les clients auraient pu faire davantage pour se protéger.
Selon Harris, ils n'en ont jamais eu l'occasion. « Les décisions ne sont pas basées sur ce qui est le mieux pour les clients de Microsoft, mais sur ce qui est le mieux pour Microsoft », a déclaré Harris, qui travaille aujourd'hui pour CrowdStrike, une société de cybersécurité concurrente de Microsoft.
ProPublica, qui a publié son échange avec Harris, assure que Microsoft a refusé de lui accorder des entretiens avec Smith et d'autres hauts fonctionnaires, mais n'a pas contesté les conclusions de ProPublica. Au lieu de cela, l'entreprise a publié une déclaration en réponse à des questions écrites. « La protection des clients est toujours notre priorité absolue », a déclaré un porte-parole. « Notre équipe de réponse à la sécurité prend tous les problèmes de sécurité au sérieux et fait preuve de diligence raisonnable dans chaque cas en procédant à une évaluation manuelle approfondie, ainsi qu'à des confirmations croisées avec des partenaires en ingénierie et en sécurité. Notre évaluation de ce problème a fait l'objet de plusieurs examens et a été alignée sur le consensus de l'industrie ».
Une enquête qui intervient alors que le Pentagone cherche à étendre son utilisation des produits Microsoft
D'ailleurs, cette démarche qui a attiré l'attention des législateurs fédéraux à la suite d'une série de cyberattaques contre le gouvernement.
Smith doit témoigner jeudi devant la commission de la sécurité intérieure de la Chambre des représentants, qui examine le rôle de Microsoft dans une intrusion perpétrée l'année dernière par des pirates informatiques liés au gouvernement chinois. Les pirates ont exploité les failles de sécurité de Microsoft pour accéder aux courriels de hauts fonctionnaires américains. En enquêtant sur l'attaque, le comité fédéral d'examen de la cybersécurité a constaté que la « culture de sécurité de Microsoft était inadéquate et nécessitait une refonte ».
Pour sa part, Microsoft a déclaré que le travail avait déjà commencé et que la priorité absolue de l'entreprise était la sécurité « avant tout ». Une partie de l'effort consiste à adopter les recommandations du conseil d'administration. « Si vous devez choisir entre la sécurité et une autre priorité, votre réponse est claire : privilégiez la sécurité », a déclaré le PDG de l'entreprise, Satya Nadella, à ses employés à la suite du rapport du conseil d'administration, qui a identifié une « culture d'entreprise qui privait de priorité à la fois les investissements dans la sécurité de l'entreprise et la gestion rigoureuse des risques ».
L'enquête de ProPublica apporte de nouveaux détails et un contexte essentiel sur cette culture, offrant un regard troublant sur la façon dont le plus grand fournisseur de logiciels au monde gère la sécurité de ses propres produits omniprésents. Elle permet également de comprendre à quel point la recherche de profits peut influencer ces décisions en matière de sécurité, en particulier lorsque les géants de la technologie s'efforcent de dominer les frontières les plus récentes et les plus lucratives, y compris le marché de l'informatique dématérialisée (cloud).
Sources : Microsoft (1, 2), Maison Blanche, sénateur de la Commission des finances, ProPublica, témoignage de Microsoft devant le Congrès
Et vous ?
Quel est le rôle des entreprises technologiques dans la protection contre les cybermenaces étatiques ? Dans quelle mesure les utilisateurs peuvent-ils faire confiance aux services cloud, sachant que des vulnérabilités peuvent ne pas être corrigées ? Comment la législation actuelle pourrait-elle être améliorée pour mieux protéger les citoyens contre les failles de sécurité non divulguées ? Quelles conséquences devraient subir les entreprises qui choisissent de ne pas corriger les vulnérabilités connues pour des raisons financières ? Est-il éthique pour une entreprise de sacrifier la sécurité pour des avantages concurrentiels ? Quel impact cette révélation pourrait-elle avoir sur la relation entre les entreprises technologiques et les gouvernements ? Les lanceurs d’alerte comme Andrew Harris devraient-ils être protégés ou récompensés pour avoir mis en lumière de telles pratiques ? Quelles mesures les consommateurs peuvent-ils prendre pour s’assurer que leurs données sont sécurisées ? Comment les récentes cyberattaques influencent-elles votre perception de la sécurité des données dans le cloud ? Quelle responsabilité les individus ont-ils dans la sécurisation de leurs propres données ? 
Envoyé par Stéphane le calme
