Gabriel V.
Oops: Les données de Google Project Zero indiquent que les produits de Microsoft ont représenté 42,5 % de toutes les failles de sécurité zero-day découvertes depuis 2014. Actuellement, une société de sécurité accuse la société de Redmond d’être irresponsable et de mettre tous ses utilisateurs en danger.
Le PDG de Tenable, Amit Yoran, test Microsoft pour ses pratiques de sécurité irresponsables et le manque de transparence en matière de violations. Sa plateforme Azure présente des vulnérabilités dangereuses, mais Microsoft a délibérément tenu ses clients dans l’ignorance des risques. Redmond aurait négligé les vulnérabilités d’Azure pendant des mois, même lorsque les spécialistes de la sécurité étaient au courant de leur existence.
Yoran cite une lettre envoyée la semaine dernière par le sénateur Ron Wyden à l’Agence de cybersécurité et de sécurité des infrastructures, au département de la Justice et à la FTC. Dans cette lettre, Wyden demandait aux agences fédérales de tenir Microsoft responsable de ses erreurs et de ses pratiques de cybersécurité négligentes, qui ont donné aux acteurs étatiques chinois un moyen d’espionner les responsables américains.
En mars 2023, Tenable a enquêté sur un « problème » de la plateforme Azure qui aurait pu permettre à un attaquant non authentifié d’accéder à des applications et à des données sensibles pour plusieurs utilisateurs. Les pirates auraient pu exploiter ce problème pour compromettre les secrets d’authentification, selon Yoran. L’équipe de Tenable a pu « rapidement » découvrir les secrets d’authentification d’une banque.
La banque était si préoccupée par le problème que Tenable a « immédiatement » prévenu Microsoft. Cependant, Microsoft n’a pas corrigé la vulnérabilité, préférant mettre en place un correctif partiel après 90 jours. Le correctif était uniquement valable pour les nouvelles applications chargées sur Azure, tandis que les anciennes étaient toujours exposées.
Aujourd’hui, plus de 120 jours après la découverte du problème par Tenable, la banque et les autres organisations qui ont rejoint la plateforme Azure avant le correctif partiel sont toujours exposées au risque. De plus, Yoran affirme qu’elles ne sont probablement pas conscientes de ne pas être protégées, ce qui les empêche de prendre une décision éclairée concernant d’éventuelles mesures d’atténuation.
« [Le comportement de Microsoft] est terriblement irresponsable, voire franchement négligent », a déclaré Yoran.
Les analystes en sécurité sont bien conscients du problème. Microsoft est également au courant de la faille de sécurité, « espérons-le », les acteurs menaçants n’en savent rien. Les fournisseurs de cloud comme Microsoft ont largement promu un « modèle de responsabilité partagée » pour la sécurité du cloud, mais ce modèle est « irrémédiablement brisé » lorsque le fournisseur de cloud ne prévient pas les clients des problèmes.
Microsoft dit, « ayez confiance en nous » en matière de sécurité, mais ce que les clients obtiennent en retour de cette confiance est très peu de transparence et une « culture d’obfuscation toxique ». Selon Tenable, le bilan de l’entreprise en matière de remédiations de sécurité met tous les clients Azure et les acteurs tiers en danger.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
