IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

SolarWinds : Microsoft a préféré le profit à la sécurité et a laissé le gouvernement américain vulnérable à un piratage russe, selon un lanceur d'alerte
Qui affirme avoir découvert la faille en 2016

Le , par Stéphane le calme

10PARTAGES

8  0 
Un ancien employé de Microsoft affirme que le géant de la technologie a rejeté ses avertissements répétés au sujet d'une faille de sécurité qui a ensuite été exploitée dans le piratage SolarWinds, privilégiant les intérêts commerciaux à la sécurité des clients. Andrew Harris, qui travaillait dans l'équipe de sécurité du cloud de Microsoft, affirme avoir découvert la faiblesse en 2016, mais on lui a dit que la corriger pourrait mettre en péril un contrat gouvernemental de plusieurs milliards de dollars et l'avantage concurrentiel de l'entreprise, a rapporté ProPublica jeudi.

La faille, dans un produit Microsoft appelé Active Directory Federation Services, a permis aux pirates de contourner les mesures de sécurité et d'accéder aux données sensibles du cloud. Des pirates russes ont exploité cette vulnérabilité lors de l'attaque SolarWinds de 2020, pénétrant ainsi dans plusieurs agences américaines. Microsoft continue de nier toute faute et insiste sur le fait que la protection des clients est sa priorité absolue. Ces révélations interviennent à un moment où Microsoft fait l'objet d'un examen de plus en plus minutieux de ses pratiques en matière de sécurité et cherche à développer ses activités auprès des pouvoirs publics.


SolarWinds est une entreprise américaine spécialisée dans le développement de logiciels pour la gestion des réseaux, des systèmes et de l’infrastructure informatique. Elle propose une plateforme d’observabilité et de gestion informatique qui permet aux utilisateurs d’observer et de gérer leur infrastructure IT de manière centralisée, que ce soit dans des environnements hybrides ou multicloud.

En décembre 2020, SolarWinds a fait les gros titres lorsqu’une cyberattaque massive a été découverte. Cette attaque, connue sous le nom de “SolarWinds hack”, a affecté plusieurs agences gouvernementales américaines ainsi que de nombreuses entreprises privées. Les pirates ont exploité une vulnérabilité dans le logiciel de gestion de réseau Orion de SolarWinds, leur permettant d’insérer un code malveillant et d’accéder à des réseaux de manière à ne pas être détecté pendant des mois.

Cette cyberattaque a soulevé des questions importantes sur la sécurité des chaînes d’approvisionnement logicielles et la manière dont les entreprises comme SolarWinds peuvent se protéger contre des menaces sophistiquées. Elle a également mis en évidence la nécessité d’une collaboration accrue entre le secteur privé et les agences gouvernementales pour renforcer la cybersécurité à l’échelle nationale et internationale.

Et si Microsoft était au courant mais avait choisi de ne rien faire ?

C'est en tout cas ce que laisse entendre Andrew Harris.

Microsoft a engagé Andrew Harris pour ses compétences extraordinaires à empêcher les pirates d'accéder aux réseaux informatiques les plus sensibles du pays. En 2016, Andrew Harris travaillait d'arrache-pied sur un incident surprenant au cours duquel des intrus avaient pénétré d'une manière ou d'une autre dans une grande entreprise technologique américaine.

La violation a troublé Harris pour deux raisons. Tout d'abord, elle concernait le cloud de l'entreprise, un entrepôt virtuel contenant généralement les données les plus sensibles d'une organisation. D'autre part, les attaquants avaient réussi leur coup en laissant peu de traces.

Il s'est retiré dans son bureau à domicile pour faire des « jeux de guerre » sur les scénarios possibles, en testant les différents logiciels qui auraient pu être compromis.

Au début, il s'est concentré sur une application Microsoft qui s'assurait que les utilisateurs avaient l'autorisation de se connecter à des programmes basés sur le cloud, l'équivalent cybernétique d'un agent qui vérifie les passeports à la frontière. C'est là, après des mois de recherche, qu'il a découvert un grave problème.

Le produit, utilisé par des millions de personnes pour se connecter à leurs ordinateurs professionnels, contenait une faille qui pouvait permettre à des attaquants de se faire passer pour des employés légitimes et de fouiller dans les "joyaux de la couronne" des victimes - secrets de sécurité nationale, propriété intellectuelle de l'entreprise, courriels personnels embarrassants - sans déclencher d'alarmes.

Pour Harris, qui avait auparavant travaillé pendant près de sept ans pour le ministère de la défense, il s'agissait d'un cauchemar en matière de sécurité. Toute personne utilisant le logiciel était exposée, qu'elle ait recours à Microsoft ou à un autre fournisseur de services en ligne tel qu'Amazon. Mais Harris était surtout préoccupé par le gouvernement fédéral et les implications de sa découverte pour la sécurité nationale. Il a signalé le problème à ses collègues.

Ils ont vu les choses différemment, a déclaré Harris. Le gouvernement fédéral s'apprêtait à investir massivement dans l'informatique dématérialisée, et Microsoft voulait décrocher le marché. Reconnaître l'existence de cette faille de sécurité pourrait compromettre les chances de l'entreprise, se souvient Harris, qui a entendu un chef de produit lui dire que les conséquences financières étaient énormes. Microsoft risquait non seulement de perdre un contrat de plusieurs milliards de dollars, mais aussi de perdre la course pour dominer le marché de l'informatique dématérialisée.

Harris a déclaré qu'il avait supplié l'entreprise pendant plusieurs années de corriger la faille dans le produit, comme l'a révélé une enquête de ProPublica. Mais à chaque fois, Microsoft a ignoré ses avertissements, lui disant qu'elle travaillerait sur une solution de remplacement à long terme - laissant les services d'informatique sur le cloud du monde entier vulnérables aux attaques dans l'intervalle.

Harris était persuadé que quelqu'un trouverait le moyen d'exploiter cette faiblesse. Il avait trouvé une solution temporaire, mais celle-ci exigeait que les clients désactivent l'une des fonctions les plus pratiques et les plus populaires de Microsoft : la possibilité d'accéder à presque tous les programmes utilisés au travail à l'aide d'une seule connexion.

Il s'est empressé d'alerter certains des clients les plus sensibles de l'entreprise au sujet de la menace et a personnellement supervisé la correction pour le département de la police de New York. Frustré par l'inaction de Microsoft, il a quitté l'entreprise en août 2020.


Andrew Harris a montré son badge d'employé de Microsoft sur sa page LinkedIn lorsqu'il a annoncé son départ de l'entreprise en 2020

Des craintes confirmées

Quelques mois plus tard, ses craintes sont devenues réalité. Les autorités américaines ont confirmé les informations selon lesquelles une équipe de pirates informatiques russes parrainée par l'État avait mené SolarWinds, l'une des plus grandes cyberattaques de l'histoire des États-Unis. Ils ont utilisé la faille identifiée par Harris pour aspirer des données sensibles provenant d'un certain nombre d'agences fédérales, dont, selon ProPublica, la National Nuclear Security Administration, qui gère le stock d'armes nucléaires des États-Unis, et les National Institutes of Health, qui, à l'époque, menaient des recherches sur le COVID-19 et distribuaient des vaccins. Les Russes ont également utilisé cette faiblesse pour compromettre des dizaines de comptes de courrier électronique du département du Trésor, y compris ceux de ses plus hauts fonctionnaires. Un fonctionnaire fédéral a décrit cette intrusion comme « une campagne d'espionnage conçue pour la collecte de renseignements à long terme ».

Le récit de Harris, étayé par des entretiens avec d'anciens collègues et associés, ainsi que par des messages publiés sur les réseaux sociaux, bouleverse l'idée que le public se fait généralement du piratage de SolarWinds.

Dès que le piratage a fait surface, Microsoft a insisté sur le fait qu'elle n'avait rien à se reprocher. Le président de Microsoft, Brad Smith, a assuré au Congrès en 2021 « qu'aucune vulnérabilité d'un produit ou d'un service Microsoft n'avait été exploitée » dans SolarWinds.

Il a également déclaré que les clients auraient pu faire davantage pour se protéger.

Selon Harris, ils n'en ont jamais eu l'occasion. « Les décisions ne sont pas basées sur ce qui est le mieux pour les clients de Microsoft, mais sur ce qui est le mieux pour Microsoft », a déclaré Harris, qui travaille aujourd'hui pour CrowdStrike, une société de cybersécurité concurrente de Microsoft.

ProPublica, qui a publié son échange avec Harris, assure que Microsoft a refusé de lui accorder des entretiens avec Smith et d'autres hauts fonctionnaires, mais n'a pas contesté les conclusions de ProPublica. Au lieu de cela, l'entreprise a publié une déclaration en réponse à des questions écrites. « La protection des clients est toujours notre priorité absolue », a déclaré un porte-parole. « Notre équipe de réponse à la sécurité prend tous les problèmes de sécurité au sérieux et fait preuve de diligence raisonnable dans chaque cas en procédant à une évaluation manuelle approfondie, ainsi qu'à des confirmations croisées avec des partenaires en ingénierie et en sécurité. Notre évaluation de ce problème a fait l'objet de plusieurs examens et a été alignée sur le consensus de l'industrie ».


Une enquête qui intervient alors que le Pentagone cherche à étendre son utilisation des produits Microsoft

D'ailleurs, cette démarche qui a attiré l'attention des législateurs fédéraux à la suite d'une série de cyberattaques contre le gouvernement.

Smith doit témoigner jeudi devant la commission de la sécurité intérieure de la Chambre des représentants, qui examine le rôle de Microsoft dans une intrusion perpétrée l'année dernière par des pirates informatiques liés au gouvernement chinois. Les pirates ont exploité les failles de sécurité de Microsoft pour accéder aux courriels de hauts fonctionnaires américains. En enquêtant sur l'attaque, le comité fédéral d'examen de la cybersécurité a constaté que la « culture de sécurité de Microsoft était inadéquate et nécessitait une refonte ».

Pour sa part, Microsoft a déclaré que le travail avait déjà commencé et que la priorité absolue de l'entreprise était la sécurité « avant tout ». Une partie de l'effort consiste à adopter les recommandations du conseil d'administration. « Si vous devez choisir entre la sécurité et une autre priorité, votre réponse est claire : privilégiez la sécurité », a déclaré le PDG de l'entreprise, Satya Nadella, à ses employés à la suite du rapport du conseil d'administration, qui a identifié une « culture d'entreprise qui privait de priorité à la fois les investissements dans la sécurité de l'entreprise et la gestion rigoureuse des risques ».

L'enquête de ProPublica apporte de nouveaux détails et un contexte essentiel sur cette culture, offrant un regard troublant sur la façon dont le plus grand fournisseur de logiciels au monde gère la sécurité de ses propres produits omniprésents. Elle permet également de comprendre à quel point la recherche de profits peut influencer ces décisions en matière de sécurité, en particulier lorsque les géants de la technologie s'efforcent de dominer les frontières les plus récentes et les plus lucratives, y compris le marché de l'informatique dématérialisée (cloud).

Sources : Microsoft (1, 2), Maison Blanche, sénateur de la Commission des finances, ProPublica, témoignage de Microsoft devant le Congrès

Et vous ?

Quel est le rôle des entreprises technologiques dans la protection contre les cybermenaces étatiques ?
Dans quelle mesure les utilisateurs peuvent-ils faire confiance aux services cloud, sachant que des vulnérabilités peuvent ne pas être corrigées ?
Comment la législation actuelle pourrait-elle être améliorée pour mieux protéger les citoyens contre les failles de sécurité non divulguées ?
Quelles conséquences devraient subir les entreprises qui choisissent de ne pas corriger les vulnérabilités connues pour des raisons financières ?
Est-il éthique pour une entreprise de sacrifier la sécurité pour des avantages concurrentiels ?
Quel impact cette révélation pourrait-elle avoir sur la relation entre les entreprises technologiques et les gouvernements ?
Les lanceurs d’alerte comme Andrew Harris devraient-ils être protégés ou récompensés pour avoir mis en lumière de telles pratiques ?
Quelles mesures les consommateurs peuvent-ils prendre pour s’assurer que leurs données sont sécurisées ?
Comment les récentes cyberattaques influencent-elles votre perception de la sécurité des données dans le cloud ?
Quelle responsabilité les individus ont-ils dans la sécurisation de leurs propres données ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 19/06/2024 à 0:05
Citation Envoyé par Stéphane le calme Voir le message

Quel est le rôle des entreprises technologiques dans la protection contre les cybermenaces étatiques ?
Leur rôle est de se faire plein d'argent. Ce sont des entreprises privées, pas du service public. Et les gens à la tête des états sont juste des hypocrites qui font semblant de ne pas le savoir, alors qu'eux même oscillent entre ces grandes entreprises et le public, au cours de leur carrière.

Citation Envoyé par Stéphane le calme Voir le message

Dans quelle mesure les utilisateurs peuvent-ils faire confiance aux services cloud, sachant que des vulnérabilités peuvent ne pas être corrigées ?
La plupart des utilisateurs sont des pigeons. Je suis le premier navré par ce constat, mais sinon, le cloud n'aurait pas autant de succès.
Attention hein, les technologies sous-jacentes au cloud sont quand-même impressionnantes, mais les GAFAM se foutent complètement de la sécurité de leurs clients.

Citation Envoyé par Stéphane le calme Voir le message

Comment la législation actuelle pourrait-elle être améliorée pour mieux protéger les citoyens contre les failles de sécurité non divulguées ?
Aucune chance que ça arrive. Les lois sont faites pour aider les riches et les puissants, pas pour protéger la plèbe.

Citation Envoyé par Stéphane le calme Voir le message

Quelles conséquences devraient subir les entreprises qui choisissent de ne pas corriger les vulnérabilités connues pour des raisons financières ?
Aucune. Il faudrait simplement faire fermer les clients, avec par exemple des retraits de licences pour des banques ou des assurances. Là, ça bougerait très très vite.

Citation Envoyé par Stéphane le calme Voir le message

Est-il éthique pour une entreprise de sacrifier la sécurité pour des avantages concurrentiels ?
Non. Ce n'est jamais éthique, mais dans un monde libéral, sans aucune conséquences, c'est cohérent.

Citation Envoyé par Stéphane le calme Voir le message

Quel impact cette révélation pourrait-elle avoir sur la relation entre les entreprises technologiques et les gouvernements ?
Aucune. Si c'est suffisamment médiatisé, le gouvernement US fera semblant de taper du poing sur la table, et si ça fait vraiment trop de foin au point de menacer la santé 'un mastodonte de l'économie US, comme avec Boeing, on retrouvera le lanceur d'alerte suicidé quelque part, et on dira qu'en fait il était dépressif.

Citation Envoyé par Stéphane le calme Voir le message

Les lanceurs d’alerte comme Andrew Harris devraient-ils être protégés ou récompensés pour avoir mis en lumière de telles pratiques ?
Évidemment.

Citation Envoyé par Stéphane le calme Voir le message

Quelles mesures les consommateurs peuvent-ils prendre pour s’assurer que leurs données sont sécurisées ?
C'est quasiment mission impossible: on nous pousse des voitures connectées, des app mobile dans tous les sens, de la sauvegarde automatique dans les clouds des GAFAM. Bref...

Citation Envoyé par Stéphane le calme Voir le message

Comment les récentes cyberattaques influencent-elles votre perception de la sécurité des données dans le cloud ?
Ça ne fait que me conforter dans mon opinion. Kubernetes permet de faire des choses incroyables, à condition de gérer ça sur son infra, et pas sur celle des autres.

On a vu les pertes de données de Google Drive, Solar Winds chez Microsoft, les attaques sur les EDR dont celui de Microsoft (les présentations de la Black Hat Asia sur le sujet étaient hillarantes), les vols de données récurrents (le dernier que j'ai en tête est celui chez Snowflake). Et pourtant, on a des gens qui ne travaillent pas chez ces entreprises et qui défendront corps et âme le fait d'utiliser leurs clouds...

Citation Envoyé par Stéphane le calme Voir le message

Quelle responsabilité les individus ont-ils dans la sécurisation de leurs propres données ?
En temps normal, je dirais que les individus sont responsables, et ils le sont sans doute par complaisance ou par paresse, mais d'un autre côté, les grosses entreprises font tout pour devenir indispensables et se gavent de données.
2  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 14/06/2024 à 18:32
Dans l'attente d'une confirmation de ce lanceur d'alerte, il y aurait parjure et haute trahison de la part de Microsoft et on ne peut littéralement rien y faire tant que les clients n'exigeront pas une meilleure qualité du produit.
Tout ce que je sais sur les différents fournisseurs de cloud seul google est sécurisé. Microsoft Azure, AWS, Apple Cloud, Oracle cloud, IBM cloud tombent tous de l'ordre de quelques millisecondes. Et sans faire de bruit en étant discret. Un véritable scandale la sécurisation des clouds. Sauf Google qui a été sécurisé en partenariat avec Thales. Cela a pris 3 ans. Mais bon c'est du red teaming sauvage tant que j'avais le temps et rien à y gagner à part des coups de fouet.
Et au passage, parmi les états qui disposent de la bombe, seule la France tient le choc : nous nous servons à volonté dans l'arsenal de dissuasion tactique et stratégique russe chinois américain pakistanais indien coréen du nord israélien britannique. Je ne ferais pas ici la liste de ceux qui peuvent se servir mais je ne suis pas tout seul à pouvoir le faire. Je serai eux, avant de penser à déclencher une guerre je me pencherai sérieusement sur la sécurité de leurs armes nucléaires. Nous n'avons fait que désarmer et essentiellement les américains jusqu'ici mais si on insiste, l'holocauste n'est pas loin et très simple à déclencher. Et personne n'y pourra rien. Cela permettra aux pays pauvres de vivre sereinement sans être pris dans un conflit qui ne fait que regarder les russes les chinois et les américains. Et si ce n'est moi qui déclenche l'holocauste ce sera mon frère.
1  0 
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 18/06/2024 à 15:50
Dans l'attente d'une confirmation de ce lanceur d'alerte, il y aurait parjure et haute trahison de la part de Microsoft et on ne peut littéralement rien y faire tant que les clients n'exigeront pas une meilleure qualité du produit.
Tout ce que je sais sur les différents fournisseurs de cloud seul google est sécurisé. Microsoft Azure, AWS, Apple Cloud, Oracle cloud, IBM cloud tombent tous de l'ordre de quelques millisecondes. Et sans faire de bruit en étant discret. Un véritable scandale la sécurisation des clouds. Sauf Google qui a été sécurisé en partenariat avec Thales. Cela a pris 3 ans. Mais bon c'est du red teaming sauvage tant que j'avais le temps et rien à y gagner à part des coups de fouet.
Le but d'une entreprise c'est de faire de l'argent, la sécurité, c'est de la gestion de risque qui est financé selon divers travaux d'estimation (oui, ce qui sort de ces travaux peut ne pas vous plaire ou considérer que les risques lié à la sécurité sont sous évalués) et politique prisent par les entreprises, car la sécurité absolue n'existera jamais.

Non je ne suis pas contre pour plus de sécurité, mais il y'a un moment, faut aussi regarder la réalité en face. Les entreprises n'ont jamais été des organisations généreuses, ce sont des machines a remplir un besoin, le vendre, (ou en créer un) et à optimiser ses coûts. de façon plus ou moins agressive/humaine
1  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 19/06/2024 à 5:25
Citation Envoyé par walfrat Voir le message
Le but d'une entreprise c'est de faire de l'argent, la sécurité, c'est de la gestion de risque qui est financé selon divers travaux d'estimation (oui, ce qui sort de ces travaux peut ne pas vous plaire ou considérer que les risques lié à la sécurité sont sous évalués) et politique prisent par les entreprises, car la sécurité absolue n'existera jamais.

Non je ne suis pas contre pour plus de sécurité, mais il y'a un moment, faut aussi regarder la réalité en face. Les entreprises n'ont jamais été des organisations généreuses, ce sont des machines a remplir un besoin, le vendre, (ou en créer un) et à optimiser ses coûts. de façon plus ou moins agressive/humaine
Bien sûr. Mais comment les entreprises du monde entier peuvent faire du fric si leur SI est troué à la solde des services de renseignement américain ? C'est bien naïf. Et comment les états comptent garder leur secret diplomatique et de la négociation des lois contre l'ingérence et le lobbying ? Et les pays sont tous sujets à corruption. Surtout les pays sous influence américaine ou russe ou chinoise.

Un exemple récent, simple à comprendre et garantie première main : Thales a lancé une recherche très secrète sur le quantique avec l'INRIA et le financement de l'état français. Non seulement ils se sont tout fait gauler par les américains mais les chinois ont tout gauler aux américains.
Où est le profit dans l'histoire ? Thales a quand même réussi à vendre pour 3 milliards de calcul quantique. Mais le marché américain ? Et chinois ? On en fait quoi exactement ?

Autre exemple. Il y a 7 ans j'ai eu un entretien avec serge dassault et Patrice Caine pour connecter le rafale à de l'intelligence artificielle. Thales a développé une puce spécialisée dans les instructions d'IA. et rendu moins gourmande l'IA dont ils disposaient. Résultat leur recherche et développement se retrouvent chez intel et Microsoft pour un gros bide sur le marché du PC. Technologies confidentielles défense soit dit en passant, mais autorisé à la vente aux civils par la DGA. Et là vous allez voir que l'IA générative c'est vraiment de la merde sans l'IA de Thales.

Moralité : utiliser des PC sans trous. Sinon il n'y a plus qu'à mettre la clé sous la porte et arrêter d'entreprendre.
1  0