Microsoft admet avoir perdu deux semaines de journaux de sécurité liés à quatre de ses produits cloud

Suite à un bogue qui a affecté des produits de sécurité clés, dont Microsoft Sentinel et Entra

Microsoft a récemment été au cœur d'une polémique concernant la perte de plus de deux semaines de journaux de sécurité pour certains de ses produits cloud. Cet incident, qui s'est produit entre le 2 et le 19 septembre 2024, a été attribué à un bogue dans l'un des agents de surveillance internes de l'entreprise. Ce problème a empêché l'envoi des données de journal vers la plateforme de journalisation interne de Microsoft, laissant les défenseurs des réseaux sans données cruciales pour détecter d'éventuelles intrusions.

Contexte

Il s'agit d'une affaire particulièrement importante pour Microsoft, car l'entreprise a déclaré que la sécurité était une priorité absolue. Elle a récemment lancé Security Future Initiative (initiative pour l'avenir de la sécurité), en grande partie en réponse à sa mauvaise gestion des incidents de sécurité, notamment ce que le ministère de la sécurité intérieure a appelé une « cascade » d'erreurs qui ont permis à des pirates chinois d'accéder en 2023 à des milliers de courriels de clients de l'informatique sur le cloud.

L'idée était que Microsoft fasse de la sécurité sa première priorité dans tous les domaines. C'est devenu tellement important que chaque employé de Microsoft sera évalué sur une « priorité essentielle » de la sécurité dans les évaluations de performance.


Microsoft admet avoir perdu des semaines de journaux de sécurité pour ses produits Cloud

Selon une mise à jour, Microsoft a informé ses clients qu'elle n'a pas réussi à collecter de manière cohérente les données de connexion pour plusieurs services cloud importants.

Un journal est un enregistrement d'événements au sein d'un programme, comme l'ouverture d'un compte. Ce registre peut contenir des cas d'accès non autorisé à des réseaux et à des comptes. Si les journaux ne sont pas enregistrés correctement, toute trace de problème est perdue et l'entreprise et ses clients peuvent avoir manqué des intrusions.

Entre le 2 et le 19 septembre, « un bogue dans l'un des agents de surveillance interne de Microsoft a entraîné un dysfonctionnement dans certains des agents lors du téléchargement des données d'enregistrement sur notre plateforme d'enregistrement interne », a écrit Microsoft dans la notification au client.

Il n'y a aucune preuve de cyberattaque découlant de cet incident.

« Ce problème n'a pas eu d'incidence sur le temps de fonctionnement des services ou des ressources destinés aux clients - il n'a affecté que la collecte des événements de journalisation. En outre, ce problème n'est pas lié à une compromission de la sécurité », ajoute la notification.

Les produits concernés sont Microsoft Entra, un service de gestion des identités. Microsoft Sentinel, un produit de gestion des informations et des événements de sécurité, a également été affecté, de même que Microsoft Defender for Cloud et Microsoft Purview, un produit de prévention de la perte de données.

« Les clients de Microsoft Sentinel peuvent avoir constaté des lacunes potentielles dans les journaux ou les événements liés à la sécurité, ce qui peut affecter la capacité des clients à analyser les données, à détecter les menaces ou à générer des alertes de sécurité », indique la mise à jour.

Les réactions et les conséquences

Microsoft a précisé que cet incident n'était pas le résultat d'une attaque de sécurité. Toutefois, l'absence de ces journaux de sécurité a soulevé des préoccupations importantes parmi les utilisateurs. Les notifications envoyées aux clients affectés étaient apparemment accessibles uniquement aux utilisateurs ayant des droits d'administrateur de locataire, limitant ainsi la diffusion de l'information critique.

C'est en tout cas ce qu'a indiqué le chercheur en sécurité Kevin Beaumont, qui souligne que les notifications que Microsoft a envoyées aux entreprises concernées ne sont probablement accessibles qu'à une poignée d'utilisateurs disposant de droits d'administrateur :


John Sheehan, vice-président de Microsoft, a assuré que l'entreprise avait résolu le problème en révoquant un changement de service et en informant tous ses clients impactés. Microsoft a également promis de fournir un soutien supplémentaire si nécessaire : « Nous avons atténué le problème en annulant un changement de service. Nous avons communiqué avec tous les clients concernés et nous fournirons l'assistance nécessaire ».

Cependant, cette assurance pourrait-elle suffire à regagner la confiance des clients? Ou cet incident révélerait-il des lacunes plus profondes dans la gestion des systèmes de sécurité de l'entreprise?

Cet incident met en lumière plusieurs faiblesses potentielles dans les systèmes de journalisation de sécurité de Microsoft. D'une part, la dépendance excessive à un seul point de collecte de données pose un risque significatif. En cas de défaillance, comme on l'a vu ici, les conséquences peuvent être sévères pour les utilisateurs finaux. De plus, le fait que les notifications d'incident soient limitées aux administrateurs de locataire soulève des questions quant à la transparence de Microsoft dans ses communications de sécurité.

La perte de ces données cruciales de journalisation aurait pu permettre à des acteurs malveillants d'exploiter des vulnérabilités non détectées pendant cette période. Bien que Microsoft ait assuré que l'incident n'était pas dû à une attaque, l'incapacité à détecter et à enregistrer les activités suspectes reste un sujet de préoccupation majeur.

Microsoft avait déjà dissimulé des journaux de sécurité de certains services du gouvernement américain

Cette panne de connexion intervient un an après que Microsoft a été critiqué par des enquêteurs fédéraux pour avoir dissimulé les journaux de sécurité de certains services du gouvernement fédéral américain qui hébergent leurs courriels sur le cloud de l'entreprise, réservé aux gouvernements ; les enquêteurs ont déclaré que l'accès à ces journaux aurait pu permettre d'identifier bien plus tôt une série d'intrusions soutenues par la Chine.

Les pirates soutenus par la Chine, appelés Storm-0558, se sont introduits dans le réseau de Microsoft et ont volé une clé numérique qui leur a permis d'accéder librement aux courriels du gouvernement américain stockés dans le cloud de Microsoft. Selon un rapport publié par le gouvernement sur la cyberattaque, le département d'État a identifié les intrusions parce qu'il avait payé une licence Microsoft de niveau supérieur qui lui permettait d'accéder aux journaux de sécurité de ses produits sur le cloud, ce que beaucoup d'autres agences gouvernementales américaines piratées n'avaient pas.

À la suite des piratages soutenus par la Chine, Microsoft a déclaré qu'elle commencerait à fournir des journaux pour ses comptes cloud les moins bien payés à partir de septembre 2023.

Les efforts de Microsoft en matière de sécurité et de protection de la vie privée ont connu deux années difficiles

Des terminaux mal configurés, des certificats de sécurité malveillants et des mots de passe faibles ont tous causé ou risqué de causer l'exposition de données sensibles, et Microsoft a été critiqué par des chercheurs en sécurité, des législateurs américains et des organismes de réglementation pour la façon dont il a répondu à ces menaces et les a divulguées.

Les violations les plus médiatisées ont impliqué un groupe de hackers basé en Chine, nommé Storm-0558, qui a réussi à pénétrer le service Azure de Microsoft et à collecter des données pendant plus d’un mois à la mi-2023 avant d’être découvert et évincé. Après des mois d’ambiguïté, Microsoft a révélé qu’une série de défaillances de sécurité avait permis à Storm-0558 d’accéder au compte d’un ingénieur, ce qui lui a permis de collecter des données de 25 clients Azure de Microsoft, y compris des agences fédérales américaines.

Fin janvier, Microsoft a reconnu une nouvelle violation de données, déclarant dans un rapport que des pirates informatiques affiliés à l'État russe se sont introduits dans son système de messagerie électronique interne et ont accédé aux comptes des membres de l'équipe dirigeante, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques. Microsoft a ajouté que l'intrusion a commencé fin novembre et a été découverte le 12 janvier.

Microsoft a attribué l'attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l'entreprise, il s'agit d'un groupe de pirates hautement qualifiés parrainés par l'État russe et qui sont à l'origine de l'intrusion dans les systèmes de SolarWinds il y a quelques années. La violation aurait permis aux pirates d'exfiltrer des identifiants de connexion qu'ils utiliseraient désormais afin de farfouiller dans les systèmes de Microsoft. L'entreprise a publié en mars un autre rapport qui révèle que le groupe a également volé du code source et qu'il était peut-être encore en train de fouiller dans ses systèmes informatiques internes.

« Ces dernières semaines, nous avons constaté que Midnight Blizzard utilisait des informations initialement exfiltrées de nos systèmes de messagerie d'entreprise dans le but d'obtenir, ou tenter d'obtenir, un accès non autorisé. Cela inclut l'accès à certains référentiels de code source de Microsoft et à des systèmes internes. À ce jour, nous n'avons trouvé aucune preuve que les systèmes clients hébergés par Microsoft ont été compromis », explique Microsoft dans un billet de blog.


Une culture de la sécurité « inadéquate »

Certains analystes se sont inquiétés des risques pour la sécurité nationale américaine. « Le fait que l'un des plus grands fournisseurs de logiciels soit lui-même en train d'apprendre les choses au fur et à mesure est un peu effrayant. Vous n'avez pas l'assurance, en tant que client, qu'il ne se passe pas quelque chose de plus grave. Ces attaques témoignent également de l'agressivité des pirates », a déclaré Jerome Segura, chercheur principal chercheur en menace de la société de cybersécurité Malwarebytes. Segura a ajouté qu'il est déconcertant que l'attaque soit toujours en cours malgré les efforts déployés par Microsoft.

« C'est le genre de chose qui nous inquiète vraiment. L'acteur de la menace voudrait utiliser les secrets (de Microsoft) pour pénétrer dans les environnements de production, puis compromettre les logiciels et installer des portes dérobées et d'autres choses de ce genre », a déclaré Segura. Dans un document déposé auprès de la Securities and Exchange Commission (SEC), Microsoft a déclaré que l'attaque n'avait pas eu d'impact matériel sur ses activités, mais a averti que cela restait une possibilité, malgré des investissements accrus en matière de sécurité et la coordination avec les autorités chargées de l'application de la loi.

Tout cela a abouti à un rapport du US Cyber Safety Review Board, qui a fustigé Microsoft pour sa culture de sécurité « inadéquate », ses « déclarations publiques inexactes » et sa réponse à des failles de sécurité « évitables ».

En réponse, Microsoft a lancé l’initiative « Secure Future Initiative » (initiative pour un avenir sûr) en novembre 2023, annonçant une série de plans et de changements dans ses pratiques de sécurité, dont certains ont déjà été mis en œuvre. Dans le cadre de cette initiative, Microsoft a annoncé une série de plans et de modifications de ses pratiques de sécurité, y compris quelques changements déjà effectués.

En août, Microsoft a annoncé un changement majeur dans sa politique interne : désormais, chaque employé sera évalué en fonction de ses efforts en matière de sécurité.

Sources : Microsoft, US Cyber Safety Review Board (au format PDF)

Et vous ?

À quel point faites-vous confiance aux services cloud pour la sécurité de vos données?
Pensez-vous que cet incident pourrait influencer votre décision d'utiliser les produits Microsoft à l'avenir?
Quelles mesures préventives attendez-vous de Microsoft pour éviter de tels incidents à l'avenir?
Comment cet incident affecte-t-il votre perception globale de la sécurité des données en ligne?
Avez-vous déjà rencontré un problème similaire avec un autre fournisseur de services cloud?