Le Cyber Safety Review Board (CSRB), entité affiliée au département de la Sécurité intérieure des États-Unis et spécialisée dans l’examen de cyberattaques, s’est penché ces derniers mois sur le cas Microsoft. L’organisation a dévoilé ce mercredi, un rapport analysant certaines des attaques informatiques subies par le géant technologique en 2023.

Microsoft accusé de ne pas être assez prévoyant face aux cyberrisques

Pour le CSRB, Microsoft n’a pas accordé une priorité suffisante à la cybersécurité, jugeant que sa manière d’aborder cette thématique était « inadéquate » et « nécessitait une refonte ». Les pratiques mises en place par l’entreprise l’auraient desservi, laissant la porte ouverte aux cyberassaillants.

L’an dernier, la firme de Redmond a été victime de plusieurs cyberattaques de grande ampleur. Le CSRB s’est concentré sur celle menée par Storm-0558, présenté par Microsoft comme « un groupe d’activités d’État-nation basé en Chine » dont l’action se concentre « sur l’espionnage, le vol de données et l’accès aux informations d’identification ». En mai et juin 2023, le groupe de hackeurs a accédé aux boîtes mails de plusieurs membres d’organisations gouvernementales américaines ou européennes. Parmi les personnes touchées, la secrétaire au Commerce des États-Unis, Gina Raimondo, ou encore l’ambassadeur des États-Unis en Chine, Nicholas Burnes.

Pour avoir accès à ces données personnelles, les hackeurs de Storm-0058 ont falsifié des jetons d’authentifications permettant de forcer l’accès aux boîtes mails liés à Outlook. Dans son rapport, le CSRB assure que l’intrusion aurait pu être évitée si l’entreprise avait mis en place des mesures de sécurité plus drastiques comme une rotation automatique des jetons d’authentifications ou en limitant la portée des données consultables grâce à ces tokens.

Aussi, en septembre 2023, Microsoft avait affirmé dans un billet de blog avoir trouvé la manière dont les hackeurs avaient réussi à falsifier ces certificats d’authentification. Toutefois, plusieurs spécialistes ont rapidement invalidé l’analyse de Microsoft à ce sujet. La société a attendu deux mois avant de préciser que ces informations étaient inexactes sur son site. Un délai bien trop conséquent aux yeux de la CSRB. Par ailleurs, cette dernière déplore le fait que Microsoft ne sache toujours pas comment les cyberassaillants ont réussi à obtenir ces tokens.

De son côté, Microsoft a tenu à répondre aux conclusions du rapport. « Bien qu’aucune organisation ne soit à l’abri d’une cyberattaque provenant d’adversaires disposant de ressources suffisantes, nous avons mobilisé nos équipes d’ingénierie pour identifier et atténuer les infrastructures existantes, améliorer les processus et appliquer des critères de sécurité », a déclaré un porte-parole du groupe. Microsoft a déclaré qu’il examinerait plus en détail le rapport dans les prochaines semaines.

Suite à la publication du document, le sénateur démocrate américain Ron Wyden a demandé l’ouverture d’une enquête plus approfondie. Le parlementaire juge que les agences fédérales américaines ont également leur part de responsabilité, les blâmant d’avoir aveuglement fait confiance à Microsoft, « sans exiger que l’entreprise respecte les normes minimales de cybersécurité ».