90 jours pour réagir : Microsoft pointé du doigt pour négligence

AVIS D’EXPERT – Selon les données du Google Project Zero, les produits Microsoft ont été à l’origine de 42,5 % de tous les zero days découverts depuis 2014. L’éditeur Tenable, à l’origine de la découverte d’une vulnérabilité permettant d’obtenir les secrets d’authentification, reproche à la firme de Redmond son manque de réactivité. Plus de trois mois pour corriger la faille et juste partiellement. Selon tenable, la vulnérabilité est encore exploitable à l’heure où nous publions ces lignes. Un billet d’Amit Yoran, CEO de Tenable.

La semaine dernière, le sénateur Wyden a envoyé une lettre à la CISA, au ministère de la Justice et à la Commission fédérale du commerce (FTC) pour leur demander de tenir Microsoft responsable de ses pratiques négligentes et répétées en matière de cybersécurité, qui ont permis l’espionnage chinois contre le gouvernement des États-Unis. Selon les données du Google Project Zero, les produits Microsoft ont été à l’origine de 42,5 % de tous les Zero days découverts depuis 2014. Le manque de transparence de Microsoft s’applique aux brèches, aux pratiques de sécurité irresponsables et aux vulnérabilités, qui exposent tous leurs clients à des risques qu’ils ignorent délibérément.

90 jours pour mettre en œuvre un correctif… partiel !

Amit Yoran, CEO de Tenable

En mars 2023, un membre de l’équipe de recherche de Tenable a étudié la plateforme Azure de Microsoft et ses services connexes. Ce chercheur a découvert un problème (détaillé ici) qui permettrait à un attaquant non authentifié d’accéder à des applications inter-locataires et à des données sensibles telles que des secrets d’authentification. Notre équipe a très rapidement découvert les secrets d’authentification d’une banque ! Chez Tenable, nous étions tellement préoccupés par la gravité du problème que nous avons immédiatement averti Microsoft. Microsoft a-t-elle rapidement résolu le problème qui pouvait effectivement conduire à la violation des réseaux et des services de plusieurs clients ? Non, il lui a fallu plus de 90 jours pour mettre en œuvre un correctif partiel – uniquement pour les nouvelles applications chargées dans le service. Cela signifie qu’à partir d’aujourd’hui, la banque mentionnée ci-dessus est toujours vulnérable, plus de 120 jours après que nous ayons signalé le problème, ainsi que toutes les autres organisations qui avaient lancé le service avant la correction. Et, à notre connaissance, elles ne savent toujours pas qu’elles courent un risque et ne peuvent donc pas prendre une décision éclairée sur les contrôles compensatoires et les autres mesures d’atténuation des risques qu’elles pourraient envisager. 

Très peu de transparence et une culture toxique de dissimulation

Microsoft affirme qu’elle corrigera le problème d’ici la fin du mois de septembre, quatre mois après que Tenable l’ait informée de l’existence de ce problème critique. C’est tout à fait irresponsable, voire carrément négligent. Nous sommes au courant du problème, Microsoft est au courant du problème et, espérons-le, les acteurs malveillants ne le sont pas. Les cloud providers ont longtemps été sur un modèle de responsabilité partagée. Ce modèle est irrémédiablement brisé si votre cloud provider ne vous informe pas des problèmes au fur et à mesure qu’ils surviennent et n’applique pas les correctifs de manière transparente et ouverte. Ce que dit Microsoft, c’est “faites-nous confiance”, mais ce que l’on obtient en retour, c’est très peu de transparence et une culture toxique de dissimulation. Comment un RSSI, un conseil d’administration ou une équipe de direction peuvent-ils croire que Microsoft fera ce qu’il faut ? Les antécédents de Microsoft nous mettent tous en danger. Et c’est encore pire que ce que nous pensions.