News
Microsoft... La vérité est encore pire que vous ne le pensez
août 2023 par Marc Jacob Amit Yoran, CEO de Tenable
La semaine dernière, le sénateur Wyden a envoyé une lettre à la
CISA, au ministère de la Justice et à la Commission fédérale du
commerce (FTC) pour leur demander de tenir Microsoft responsable de ses
pratiques négligentes et répétées en matière de cybersécurité,
qui ont permis l’espionnage chinois contre le gouvernement des
États-Unis. Selon les données du Google Project Zero, les produits
Microsoft ont été à l’origine de 42,5 % de tous les Zero days
découverts depuis 2014.
Le manque de transparence de Microsoft s’applique aux brèches, aux
pratiques de sécurité irresponsables et aux vulnérabilités, qui
exposent tous leurs clients à des risques qu’ils ignorent
délibérément.
En mars 2023, un membre de l’équipe de recherche de Tenable a étudié
la plateforme Azure de Microsoft et ses services connexes. Ce chercheur
a découvert un problème (détaillé ici [4]) qui permettrait à un
attaquant non authentifié d’accéder à des applications
inter-locataires et à des données sensibles telles que des secrets
d’authentification. Notre équipe a très rapidement découvert les
secrets d’authentification d’une banque ! Chez Tenable, nous étions
tellement préoccupés par la gravité du problème que nous avons
immédiatement averti Microsoft.
Microsoft a-t-elle rapidement résolu le problème qui pouvait
effectivement conduire à la violation des réseaux et des services de
plusieurs clients ? Non, il lui a fallu plus de 90 jours pour mettre en
œuvre un correctif partiel - uniquement pour les nouvelles applications
chargées dans le service.
Cela signifie qu’à partir d’aujourd’hui, la banque mentionnée
ci-dessus est toujours vulnérable, plus de 120 jours après que nous
ayons signalé le problème, ainsi que toutes les autres organisations
qui avaient lancé le service avant la correction. Et, à notre
connaissance, elles ne savent toujours pas qu’elles courent un risque et
ne peuvent donc pas prendre une décision éclairée sur les contrôles
compensatoires et les autres mesures d’atténuation des risques qu’elles
pourraient envisager. Microsoft affirme qu’elle corrigera le problème
d’ici la fin du mois de septembre, quatre mois après que Tenable
l’ait informée de l’existence de ce problème critique. C’est tout à
fait irresponsable, voire carrément négligent. Nous sommes au courant
du problème, Microsoft est au courant du problème et, espérons-le,
les acteurs malveillants ne le sont pas.
Les cloud providers ont longtemps été sur un modèle de
responsabilité partagée. Ce modèle est irrémédiablement brisé si
votre cloud provider ne vous informe pas des problèmes au fur et à
mesure qu’ils surviennent et n’applique pas les correctifs de manière
transparente et ouverte.
Ce que dit Microsoft, c’est "faites-nous confiance", mais ce que l’on
obtient en retour, c’est très peu de transparence et une culture
toxique de dissimulation. Comment un RSSI, un conseil d’administration
ou une équipe de direction peuvent-ils croire que Microsoft fera ce
qu’il faut ? Les antécédents de Microsoft nous mettent tous en danger.
Et c’est encore pire que ce que nous pensions.
Tenable se doit de partager que ses experts ont découvert en mars 2023,
une faille sur la plateforme Azure de Microsoft : un attaquant non
authentifié pourrait accéder à des applications et à des données
sensibles telles que des secrets d’authentification.
L’équipe de Tenable a très rapidement découvert les secrets
d’authentification d’une banque ! Tenable était tellement préoccupé
par la gravité du problème qu’ils ont immédiatement averti
Microsoft.
Il a fallu plus de 90 jours à Microsoft pour mettre en œuvre un
correctif partiel - uniquement pour les nouvelles applications chargées
dans le service. Cela signifie que la banque mentionnée ci-dessus est
toujours vulnérable, plus de 120 jours post signalement du problème,
ainsi que toutes les autres organisations qui avaient lancé le service
avant la correction.
Ne sachant pas qu’elles courent un risque, elles ne peuvent donc pas
prendre une décision éclairée sur les contrôles compensatoires et
les autres mesures d’atténuation des risques qu’elles pourraient
envisager.
Microsoft affirme qu’elle corrigera le problème d’ici la fin du mois de
septembre, quatre mois après que Tenable l’ait informée de
l’existence d’un problème critique. C’est tout à fait irresponsable,
voire carrément négligent.
Tenable est au courant du problème, Microsoft est au courant du
problème et, espérons-le, les acteurs de la menace ne le sont pas. Ce
que dit Microsoft, c’est "faites-nous confiance", mais ce que l’on
obtient en retour, c’est très peu de transparence et une culture
toxique de dissimulation. Comment un RSSI, un conseil d’administration
ou une équipe de direction peuvent-ils croire que Microsoft fera ce
qu’il faut ? Les antécédents de Microsoft nous mettent tous en danger.
Et c’est encore pire que ce que nous pensions.
