Le PDG de la société de sécurité Tenable a déclaré que Microsoft est « grossièrement irresponsable » et englué dans une « culture d’obscurcissement toxique« .
Les commentaires d’Amit Yoran, président-directeur général de Tenable, interviennent six jours après que le sénateur Ron Wyden (D-Ore.) a blâmé Microsoft pour ce qu’il a qualifié de « pratiques négligentes en matière de cybersécurité » qui ont permis à des pirates soutenus par le gouvernement chinois de voler des centaines de milliers de courriels de clients de l’informatique dématérialisée, y compris des fonctionnaires des départements d’État et du Commerce des États-Unis. Microsoft n’a pas encore fourni de détails clés sur cette mystérieuse brèche, qui a permis aux pirates d’obtenir une clé de cryptage extraordinairement puissante donnant accès à une variété d’autres services en nuage de la société. L’entreprise s’est efforcée depuis lors d’occulter le rôle de son infrastructure dans cette violation massive.
Les critiques s’accumulent
Mercredi, M. Yoran s’est rendu sur LinkedIn pour reprocher à Microsoft de ne pas avoir corrigé ce que l’entreprise a déclaré lundi comme étant un problème « critique » qui permet aux pirates d’accéder sans autorisation aux données et aux applications gérées par Azure AD, une offre en nuage de Microsoft pour la gestion de l’authentification des utilisateurs au sein des grandes organisations. Selon les informations communiquées lundi, l’entreprise a signalé le problème à Microsoft en mars et cette dernière a indiqué 16 semaines plus tard qu’il avait été corrigé. Les chercheurs de Tenable ont indiqué à Microsoft que la correction était incomplète. Microsoft a fixé la date de fourniture d’un correctif complet au 28 septembre.
« Pour vous donner une idée de la gravité de la situation, notre équipe a très rapidement découvert les secrets d’authentification d’une banque », écrit Yoran. « Ils étaient tellement préoccupés par la gravité et l’éthique du problème que nous avons immédiatement prévenu Microsoft ». Il poursuit :
Microsoft a-t-elle rapidement résolu le problème qui pouvait effectivement conduire à l’intrusion dans les réseaux et les services de plusieurs clients ? Bien sûr que non. Il a fallu plus de 90 jours pour mettre en œuvre un correctif partiel – et seulement pour les nouvelles applications chargées dans le service.
Dans une déclaration publiée sept heures après la mise en ligne de cet article d’Ars, les responsables de Microsoft ont écrit : « Nous apprécions la collaboration avec la communauté de la sécurité pour divulguer de manière responsable les problèmes liés aux produits. Nous suivons un processus complet comprenant une enquête approfondie, le développement d’une mise à jour pour toutes les versions des produits concernés et des tests de compatibilité avec d’autres systèmes d’exploitation et applications. En fin de compte, le développement d’une mise à jour de sécurité est un équilibre délicat entre rapidité et qualité, tout en garantissant une protection maximale des clients avec un minimum de perturbations pour eux.
L’e-mail poursuit en indiquant que la correction initiale de juin a permis d’atténuer le problème pour la majorité des clients. Cette vulnérabilité « a été entièrement corrigée pour tous les clients et aucune action n’est requise de leur part ».
Dans un autre courriel, Yoran a répondu : « Il semble maintenant que la faille soit corrigée, ou que nous soyons empêchés de faire des tests. Nous ne connaissons pas le correctif ou les mesures d’atténuation, il est donc difficile de dire s’il est vraiment corrigé ou si Microsoft a mis en place un contrôle tel qu’une règle de pare-feu ou une ACL pour nous bloquer. Lorsque nous trouvons des vulnérabilités dans d’autres produits, les fournisseurs nous informent généralement de la correction afin que nous puissions la valider efficacement. Ce n’est pas le cas avec Microsoft Azure, qui reste donc une boîte noire, ce qui fait également partie du problème. Le « faites-nous confiance » manque de crédibilité lorsque l’on connaît les antécédents actuels.
Tenable ne parle du problème qu’en termes généraux afin d’éviter que des pirates malveillants n’apprennent à l’exploiter activement dans la nature. Dans un courriel, les responsables de l’entreprise ont déclaré : « Il existe une vulnérabilité qui permet d’accéder au moins à la structure Azure. Une fois que les détails de cette vulnérabilité sont connus, son exploitation est relativement triviale. C’est pour cette raison que nous ne divulguons pas tous les détails techniques ». Alors que l’article de Yoran et la divulgation de Tenable évitent le mot « vulnérabilité », le courrier électronique indique que le terme est exact.
L’article a été publié le jour même où la société de sécurité Sygnia a divulgué un ensemble de ce qu’elle appelle des « vecteurs » qui pourraient être exploités après une violation réussie d’un compte Azure AD Connect. Ces vecteurs permettent aux attaquants d’intercepter des informations d’identification par le biais d’attaques de type « man-in-the-middle » ou de voler des hachages cryptographiques de mots de passe en injectant un code malveillant dans un processus de synchronisation des hachages. L’injection de code pourrait également permettre aux attaquants d’obtenir une présence persistante à l’intérieur du compte avec une faible probabilité d’être détectés.
« La configuration par défaut n’expose les clients aux vecteurs décrits que si un accès privilégié a été obtenu au serveur AD Connect« , a écrit dans un courriel Ilia Rabinovich, directeur des tactiques adverses chez Sygnia. « Par conséquent, un acteur de la menace doit effectuer des étapes préliminaires avant de procéder au processus d’exploitation des vecteurs.
Tenable et Sygnia ont tous deux déclaré que les vulnérabilités ou vecteurs de sécurité qu’ils ont divulgués n’étaient pas liés à la récente attaque contre les clients du cloud de Microsoft.
De graves lacunes en matière de cybersécurité
Dans la lettre adressée la semaine dernière aux responsables du ministère de la Justice, de la Commission fédérale du commerce et de l’Agence pour la cybersécurité et la sécurité des infrastructures, M. Wyden a accusé Microsoft d’avoir dissimulé son rôle dans l’attaque de la chaîne d’approvisionnement de SolarWinds en 2020, que des pirates du Kremlin ont utilisée pour infecter 18 000 clients du logiciel de gestion de réseau. Un sous-ensemble de ces clients, dont neuf agences fédérales et une centaine d’organisations, ont été victimes d’attaques subséquentes qui se sont attaquées à leurs réseaux.
Le sénateur a ensuite accusé Microsoft d’être à l’origine de la récente violation massive des départements d’État et du commerce, ainsi que des autres clients d’Azure. Selon M. Wyden, Microsoft a notamment utilisé « une clé unique qui, lorsqu’elle est inévitablement volée, peut être utilisée pour falsifier l’accès aux communications privées de différents clients ». Il a également reproché à Microsoft d’avoir attendu cinq ans pour rafraîchir la clé de signature utilisée de manière abusive lors des attaques, affirmant que les meilleures pratiques consistent à renouveler les clés plus fréquemment. Il a également critiqué l’entreprise pour avoir autorisé des jetons d’authentification signés par une clé expirée, comme ce fut le cas lors de l’attaque.
« Alors que les ingénieurs de Microsoft n’auraient jamais dû déployer des systèmes violant des principes de cybersécurité aussi élémentaires, ces failles évidentes auraient dû être détectées par les audits de sécurité internes et externes de Microsoft« , a écrit M. Wyden. « Le fait que ces failles n’aient pas été détectées soulève des questions sur les autres défauts graves de cybersécurité que ces auditeurs ont également manqués.
Dans son billet de mercredi, M. Yoran a formulé en grande partie les mêmes critiques.
Ce que l’on entend de la part de Microsoft, c’est « faites-nous confiance« , mais ce que l’on obtient en retour, c’est très peu de transparence et une culture d’obscurcissement toxique », a-t-il écrit. « Comment un RSSI, un conseil d’administration ou une équipe de direction peuvent-ils croire que Microsoft fera ce qu’il faut compte tenu des faits et des comportements actuels ? Les antécédents de Microsoft nous mettent tous en danger. Et c’est encore pire que ce que nous pensions ».
