Microsoft a récemment été au cœur d'une polémique concernant la perte de plus de deux semaines de journaux de sécurité pour certains de ses produits cloud. Cet incident, qui s'est produit entre le 2 et le 19 septembre 2024, a été attribué à un bogue dans l'un des agents de surveillance internes de l'entreprise. Ce problème a empêché l'envoi des données de journal vers la plateforme de journalisation interne de Microsoft, laissant les défenseurs des réseaux sans données cruciales pour détecter d'éventuelles intrusions.Contexte
Il s'agit d'une affaire particulièrement importante pour Microsoft, car l'entreprise a déclaré que la sécurité était une priorité absolue. Elle a récemment lancé Security Future Initiative (initiative pour l'avenir de la sécurité), en grande partie en réponse à sa mauvaise gestion des incidents de sécurité, notamment ce que le ministère de la sécurité intérieure a appelé une « cascade » d'erreurs qui ont permis à des pirates chinois d'accéder en 2023 à des milliers de courriels de clients de l'informatique sur le cloud.
L'idée était que Microsoft fasse de la sécurité sa première priorité dans tous les domaines. C'est devenu tellement important que chaque employé de Microsoft sera évalué sur une « priorité essentielle » de la sécurité dans les évaluations de performance.
Microsoft admet avoir perdu des semaines de journaux de sécurité pour ses produits Cloud
Selon une mise à jour, Microsoft a informé ses clients qu'elle n'a pas réussi à collecter de manière cohérente les données de connexion pour plusieurs services cloud importants.
Un journal est un enregistrement d'événements au sein d'un programme, comme l'ouverture d'un compte. Ce registre peut contenir des cas d'accès non autorisé à des réseaux et à des comptes. Si les journaux ne sont pas enregistrés correctement, toute trace de problème est perdue et l'entreprise et ses clients peuvent avoir manqué des intrusions.
Entre le 2 et le 19 septembre, « un bogue dans l'un des agents de surveillance interne de Microsoft a entraîné un dysfonctionnement dans certains des agents lors du téléchargement des données d'enregistrement sur notre plateforme d'enregistrement interne », a écrit Microsoft dans la notification au client.
Il n'y a aucune preuve de cyberattaque découlant de cet incident.
« Ce problème n'a pas eu d'incidence sur le temps de fonctionnement des services ou des ressources destinés aux clients - il n'a affecté que la collecte des événements de journalisation. En outre, ce problème n'est pas lié à une compromission de la sécurité », ajoute la notification.
Les produits concernés sont Microsoft Entra, un service de gestion des identités. Microsoft Sentinel, un produit de gestion des informations et des événements de sécurité, a également été affecté, de même que Microsoft Defender for Cloud et Microsoft Purview, un produit de prévention de la perte de données.
« Les clients de Microsoft Sentinel peuvent avoir constaté des lacunes potentielles dans les journaux ou les événements liés à la sécurité, ce qui peut affecter la capacité des clients à analyser les données, à détecter les menaces ou à générer des alertes de sécurité », indique la mise à jour.
Les réactions et les conséquences
Microsoft a précisé que cet incident n'était pas le résultat d'une attaque de sécurité. Toutefois, l'absence de ces journaux de sécurité a soulevé des préoccupations importantes parmi les utilisateurs. Les notifications envoyées aux clients affectés étaient apparemment accessibles uniquement aux utilisateurs ayant des droits d'administrateur de locataire, limitant ainsi la diffusion de l'information critique.
C'est en tout cas ce qu'a indiqué le chercheur en sécurité Kevin Beaumont, qui souligne que les notifications que Microsoft a envoyées aux entreprises concernées ne sont probablement accessibles qu'à une poignée d'utilisateurs disposant de droits d'administrateur :
Envoyé par Kevin Beaumont
Je ne sais pas si cette affaire est bien connue, car la notification et la couverture médiatique ont été payantes.
Microsoft a commis une erreur et a perdu certains journaux de sécurité pour Microsoft Entra, Microsoft Defender for Cloud et Microsoft Purview pendant plusieurs semaines en septembre. Par conséquent, si vous avez construit des détections sur ces produits, il se peut qu'elles soient manquantes.
Il semble que la notification ait été faite sur le portail Microsoft 365, qui nécessite des droits d'administrateur de locataire, de sorte que les équipes de sécurité ne sont probablement pas au courant.
De plus, MS a apparemment refusé de faire des commentaires à la presse.
Microsoft a commis une erreur et a perdu certains journaux de sécurité pour Microsoft Entra, Microsoft Defender for Cloud et Microsoft Purview pendant plusieurs semaines en septembre. Par conséquent, si vous avez construit des détections sur ces produits, il se peut qu'elles soient manquantes.
Il semble que la notification ait été faite sur le portail Microsoft 365, qui nécessite des droits d'administrateur de locataire, de sorte que les équipes de sécurité ne sont probablement pas au courant.
De plus, MS a apparemment refusé de faire des commentaires à la presse.
John Sheehan, vice-président de Microsoft, a assuré que l'entreprise avait résolu le problème en révoquant un changement de service et en informant tous ses clients impactés. Microsoft a également promis de fournir un soutien supplémentaire si nécessaire : « Nous avons atténué le problème en annulant un changement de service. Nous avons communiqué avec tous les clients concernés et nous fournirons l'assistance nécessaire ».
Cependant, cette assurance pourrait-elle suffire à regagner la confiance des clients? Ou cet incident révélerait-il des lacunes plus profondes dans la gestion...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
À quel point faites-vous confiance aux services cloud pour la sécurité de vos données?
