Le Département de la Sécurité intérieure a émi un critique accablante de Microsoft pratiques de cybersécuritéMardi, il a accusé le fournisseur de cloud d’avoir divulgué les courriels de hauts fonctionnaires du gouvernement. L’examen a révélé que des pirates informatiques affiliés à l’État chinois ont tiré profit de « une cascade de failles de sécurité chez Microsoft » et affirme que la culture de sécurité de l’entreprise « nécessite une refonte ».
« Il est impératif que les fournisseurs de services cloud donnent la priorité à la sécurité et l’intègrent dès la conception, a déclaré le président du Conseil d’examen de la cybersécurité, Robert Silvers. dans un communiqué de presse.
Le rapport cite des problèmes avec la culture d’entreprise de Microsoft en matière de sécurité qui ont conduit à cette attaque. Les comptes de messagerie de la secrétaire au Commerce, Gina Raimondo, L’ambassadeur des États-Unis en Chine, R. Nicholas Burns, et le membre du Congrès Don Bacon ont été compromis. L’auteur de la menace a téléchargé plus de 60 000 e-mails du Département d’État. seul, selon le rapport.
Le conseil d’administration affirme que cette intrusion était « évitable et n’aurait jamais dû se produire » et que la culture de sécurité de Microsoft nécessite des changements majeurs. Le rapport accablant dresse un tableau d’un désordre interne dans les coulisses de Microsoft. Le DHS affirme que Microsoft a publié des déclarations publiques inexactes sur la cause profonde du problème. cette attaque, que selon le rapport, Microsoft n’a toujours pas pu identifier.
Microsoft n’a pas immédiatement répondu à la demande de commentaires de Gizmodo.
Un groupe de pirates affiliés à la République populaire de Chine, Storm-0558, était responsable de l’attaque. Dès mai 2023, des pirates a compromis les boîtes aux lettres des responsables du gouvernement en volant des clés de signature et en utilisant une faille dans le système de validation des jetons de Microsoft. Cela a permis à Storm-0558 un accès complet vers pratiquement n’importe quel compte Exchange Online, la plateforme de messagerie hébergée de Microsoft.
Le 15 juin, le Département d’État a détecté une violation de données et a notifié Microsoft. À ce stade, le Bureau fédéral des enquêtes s’est impliqué. et Microsoft a alerté une organisation au Royaume-Uni qu’elle avait également été touchée par l’attaque. Le 24 juin, Microsoft était capable d’invalider la clé volée que Storm-0558 utilisait.
De nombreux responsables gouvernementaux touchés par cette attaque ont d’importantes responsabilités dans le maintien des relations entre les États-Unis et la Chine. Il semble que ce soit une coïncidence s’ils ont été touchés.
Le conseil d’administration du DHS a émis des recommandations radicales pour que Microsoft réorganise ses pratiques de sécurité, notamment en appelant le PDG Satya Nadella et le conseil d’administration à directement se concentrer sur la culture de sécurité de l’entreprise. L’examen du gouvernement indique que ces risques de sécurité devraient être traités de manière appropriée avant le déploiement de nouvelles fonctionnalités.
