Microsoft... La vérité est encore pire que vous ne le pensez

août 2023 par Marc Jacob Amit Yoran, CEO de Tenable

La semaine dernière, le sénateur Wyden a envoyé une lettre à la CISA, au ministère de la Justice et à la Commission fédérale du commerce (FTC) pour leur demander de tenir Microsoft responsable de ses pratiques négligentes et répétées en matière de cybersécurité, qui ont permis l’espionnage chinois contre le gouvernement des États-Unis. Selon les données du Google Project Zero, les produits Microsoft ont été à l’origine de 42,5 % de tous les Zero days découverts depuis 2014.

Le manque de transparence de Microsoft s’applique aux brèches, aux

pratiques de sécurité irresponsables et aux vulnérabilités, qui

exposent tous leurs clients à des risques qu’ils ignorent

délibérément.

En mars 2023, un membre de l’équipe de recherche de Tenable a étudié

la plateforme Azure de Microsoft et ses services connexes. Ce chercheur

a découvert un problème (détaillé ici [4]) qui permettrait à un

attaquant non authentifié d’accéder à des applications

inter-locataires et à des données sensibles telles que des secrets

d’authentification. Notre équipe a très rapidement découvert les

secrets d’authentification d’une banque ! Chez Tenable, nous étions

tellement préoccupés par la gravité du problème que nous avons

immédiatement averti Microsoft.

Microsoft a-t-elle rapidement résolu le problème qui pouvait

effectivement conduire à la violation des réseaux et des services de

plusieurs clients ? Non, il lui a fallu plus de 90 jours pour mettre en

œuvre un correctif partiel - uniquement pour les nouvelles applications

chargées dans le service.

Cela signifie qu’à partir d’aujourd’hui, la banque mentionnée

ci-dessus est toujours vulnérable, plus de 120 jours après que nous

ayons signalé le problème, ainsi que toutes les autres organisations

qui avaient lancé le service avant la correction. Et, à notre

connaissance, elles ne savent toujours pas qu’elles courent un risque et

ne peuvent donc pas prendre une décision éclairée sur les contrôles

compensatoires et les autres mesures d’atténuation des risques qu’elles

pourraient envisager. Microsoft affirme qu’elle corrigera le problème

d’ici la fin du mois de septembre, quatre mois après que Tenable

l’ait informée de l’existence de ce problème critique. C’est tout à

fait irresponsable, voire carrément négligent. Nous sommes au courant

du problème, Microsoft est au courant du problème et, espérons-le,

les acteurs malveillants ne le sont pas.

Les cloud providers ont longtemps été sur un modèle de

responsabilité partagée. Ce modèle est irrémédiablement brisé si

votre cloud provider ne vous informe pas des problèmes au fur et à

mesure qu’ils surviennent et n’applique pas les correctifs de manière

transparente et ouverte.

Ce que dit Microsoft, c’est "faites-nous confiance", mais ce que l’on

obtient en retour, c’est très peu de transparence et une culture

toxique de dissimulation. Comment un RSSI, un conseil d’administration

ou une équipe de direction peuvent-ils croire que Microsoft fera ce

qu’il faut ? Les antécédents de Microsoft nous mettent tous en danger.

Et c’est encore pire que ce que nous pensions.

Tenable se doit de partager que ses experts ont découvert en mars 2023,

une faille sur la plateforme Azure de Microsoft : un attaquant non

authentifié pourrait accéder à des applications et à des données

sensibles telles que des secrets d’authentification.

L’équipe de Tenable a très rapidement découvert les secrets

d’authentification d’une banque ! Tenable était tellement préoccupé

par la gravité du problème qu’ils ont immédiatement averti

Microsoft.

Il a fallu plus de 90 jours à Microsoft pour mettre en œuvre un

correctif partiel - uniquement pour les nouvelles applications chargées

dans le service. Cela signifie que la banque mentionnée ci-dessus est

toujours vulnérable, plus de 120 jours post signalement du problème,

ainsi que toutes les autres organisations qui avaient lancé le service

avant la correction.

Ne sachant pas qu’elles courent un risque, elles ne peuvent donc pas

prendre une décision éclairée sur les contrôles compensatoires et

les autres mesures d’atténuation des risques qu’elles pourraient

envisager.

Microsoft affirme qu’elle corrigera le problème d’ici la fin du mois de

septembre, quatre mois après que Tenable l’ait informée de

l’existence d’un problème critique. C’est tout à fait irresponsable,

voire carrément négligent.

Tenable est au courant du problème, Microsoft est au courant du

problème et, espérons-le, les acteurs de la menace ne le sont pas. Ce

que dit Microsoft, c’est "faites-nous confiance", mais ce que l’on

obtient en retour, c’est très peu de transparence et une culture

toxique de dissimulation. Comment un RSSI, un conseil d’administration

ou une équipe de direction peuvent-ils croire que Microsoft fera ce

qu’il faut ? Les antécédents de Microsoft nous mettent tous en danger.

Et c’est encore pire que ce que nous pensions.