Microsoft est le troisième plus grand fournisseur de service de cloud computing dans le monde, en matière de chiffre d'affaires après AWS (Amazon Web Service) et Google (avec Google Cloud Platform - GCP). Son infrastructure cloud Azure est utilisée par des milliers de clients à travers le monde. Et tout comme AWS et GCP, Azure est constamment exposé à des cyberattaques qui pourraient causer des milliards de dollars de dommages aux entreprises clientes. Toutefois, la société reste vigilante depuis les attaques contre son serveur de messagerie électronique Exchange qui ont exposé les données de milliers d'entreprises à travers le monde.
Alors que Exchange est toujours exposé à certains égards, l'entreprise vient de découvrir une nouvelle vulnérabilité critique dans Azure. À travers un mail, dont Reuters a obtenu une copie, Microsoft a informé jeudi ses clients que son service de base de données multimodèle exclusif Cosmos DB était sujet à une vulnérabilité. En effet, une équipe de recherche de la société de sécurité Wiz a découvert qu'elle était en mesure d'accéder aux clés qui contrôlent l'accès aux bases de données détenues par des milliers d'entreprises. Le directeur de la technologie de Wiz, Ami Luttwak, est un ancien directeur de la technologie du Cloud Security Group de Microsoft.
Comme Microsoft ne peut pas modifier ces clés par lui-même, il a envoyé un mail jeudi aux clients pour leur demander d'en créer de nouvelles. Selon un mail envoyé à Wiz, Microsoft a accepté de verser 40 000 dollars à Wiz pour avoir découvert la faille et l'avoir signalée. « Nous avons immédiatement corrigé ce problème pour assurer la sécurité et la protection de nos clients. Nous remercions les chercheurs en sécurité d'avoir travaillé dans le cadre de la divulgation coordonnée de la vulnérabilité », a déclaré Microsoft.
En outre, Microsoft a rassuré ses clients en déclarant que rien ne prouvait que la faille avait été exploitée. « Nous n'avons aucune indication que des entités externes au chercheur (Wiz) aient eu accès à la clé primaire de lecture-écriture », indique le courriel. De son côté, Luttwak a déclaré qu'il s'agit de la pire vulnérabilité à laquelle un fournisseur de service cloud pouvait être confronté. « C'est la pire vulnérabilité du cloud que vous pouvez imaginer. C'est un secret de longue durée. C'est la base de données centrale d'Azure, et nous avons pu avoir accès à toutes les bases de données clients que nous voulions », a déclaré Luttwak à Reuters.
L'équipe de Luttwak aurait découvert le problème, surnommé ChaosDB, le 9 août et en a informé Microsoft le 12 août. Selon les informations fournies par Wiz, la faille se trouvait dans l'outil de visualisation appelé Jupyter Notebook, qui est disponible depuis des années, mais qui a été activé par défaut dans Cosmos à partir de février. Après que Reuters a révélé la vulnérabilité, Wiz a détaillé le problème dans un billet de blogue. Luttwak a déclaré que même les clients qui n'ont pas été informés par Microsoft pourraient avoir vu leurs clés piratées par des attaquants, ce qui leur donne un accès jusqu'à ce que ces clés soient changées.
Microsoft n'a informé les clients dont les clés étaient visibles que ce mois-ci, alors que Wiz travaillait sur le problème. L'entreprise a déclaré à Reuters que « les clients qui ont pu être touchés ont reçu une notification de notre part », sans donner plus de détails. Cette divulgation intervient après des mois de mauvaises nouvelles en matière de sécurité pour Microsoft. La société a été attaquée par les mêmes pirates présumés du gouvernement russe qui ont infiltré SolarWinds, et qui ont volé le code source de Microsoft. Ensuite, un grand nombre de pirates ont pénétré dans les serveurs de messagerie Exchange alors qu'un correctif était en cours d'élaboration.
Un récent correctif pour une faille dans une imprimante qui permettait de prendre le contrôle d'un ordinateur a dû être refait à plusieurs reprises. La semaine dernière, une autre faille d'Exchange a suscité un avertissement urgent du gouvernement américain : « les clients doivent installer les correctifs publiés il y a plusieurs mois, car des gangs de rançongiciels l'exploitent désormais ». La divulgation intervient également après que la Maison Blanche a appelé les grandes entreprises américaines à faire plus d'efforts en matière de cybersécurité. Mercredi, Joe Biden a discuté avec des dizaines de PDG autour d'un sommet sur la cybersécurité des États-Unis.
Le pays a été le théâtre de cyberattaques répétées et extrêmement dévastatrices contre des agences gouvernementales américaines et des infrastructures énergétiques. Ces cyberattaques, hautement sophistiquées, ont rendu plus urgente la lutte contre ces menaces pour les secteurs public et privé. Ces incidents comprennent l'attaque de la société de logiciels SolarWinds, qui a touché plusieurs agences gouvernementales, et le piratage de Colonial Pipeline. Ce dernier a entraîné une pénurie de gaz dans certaines régions du pays. D'autres attaques ont frappé Kaseya et le géant agroalimentaire JBS.
Mercredi, Biden a appelé les dirigeants du secteur privé à "placer la barre plus haut en matière de cybersécurité". « Le gouvernement fédéral ne peut pas relever ce défi seul. Vous avez le pouvoir, la capacité et la responsabilité, je crois, de relever la barre en matière de cybersécurité », a-t-il déclaré. « Nous avons beaucoup de travail à faire », a ajouté Biden, citant à la fois les attaques par ransomware et ses efforts pour amener le président russe Vladimir Poutine à tenir pour responsables les cybergangs basés en Russie, ainsi que la nécessité de pourvoir près d'un demi-million d'emplois publics et privés dans le domaine de la cybersécurité.
Par ailleurs, la Maison Blanche a déclaré que l'Institut national des normes et de la technologie (NIST) travaillerait avec l'industrie et d'autres partenaires sur de nouvelles lignes directrices pour construire des technologies sécurisées et évaluer la sécurité des technologies, y compris les logiciels libres. Les dirigeants d'entreprises privées ont répondu à l'appel du président et ont déclaré qu'ils feraient davantage face à la menace croissante des cyberattaques pour l'économie américaine. Microsoft, Google, Travelers et Coalition, un fournisseur de cyberassurance, entre autres, se sont engagés à participer à la nouvelle initiative dirigée par le NIST.
À la fin du sommet, Microsoft a annoncé qu'il investirait 20 milliards de dollars au cours des cinq prochaines années pour faire progresser la "cybersécurité dès la conception" et fournir des solutions de sécurité avancées. L'entreprise a également annoncé qu'elle mettrait immédiatement à disposition 150 millions de dollars en services techniques pour aider les gouvernements fédéraux, étatiques et locaux à améliorer leur sécurité.
Source : Billet de blogue de Wiz
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Google et Microsoft promettent des milliards pour aider à renforcer la cybersécurité américaine ; Apple, Amazon et IBM ont également annoncé d'autres plans d'action
Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange. Des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
Microsoft publie des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge, à la suite du piratage de son serveur de messagerie
Le PDG de SolarWinds blâme un stagiaire pour une fuite de mot de passe. Il n'est, cependant, pas encore certain que cela ait joué un rôle dans le piratage de SolarWinds
Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production