Gabriel V.
Contexte: L’approche de Microsoft en matière de sécurité logicielle a récemment été vivement critiquée. En plus d’être en retard dans la correction des vulnérabilités activement exploitées, l’entreprise a été critiquée pour son manque de transparence concernant ces risques et pour avoir été « irresponsable » dans sa gestion de ces derniers. Maintenant, des chercheurs accusent les développeurs de Redmond d’être responsables de l’une des plus grandes attaques jamais réalisées au Royaume-Uni.
Le mardi, la Commission électorale du Royaume-Uni (UKEC) a annoncé avoir subi l’une des pires violations de sécurité jamais enregistrées au Royaume-Uni. Le piratage a exposé les données personnelles de jusqu’à 40 millions d’électeurs inscrits, y compris les noms complets, les adresses, les adresses e-mail et toute autre information stockée par les responsables des élections.
L’UKEC a découvert l’intrusion en octobre dernier. Cependant, une enquête a révélé que des activités suspectes ont commencé dès août 2021. Ainsi, les enregistrements ont été exposés pendant près de 14 mois avant que la situation ne soit résolue.
Alors que l’UKEC n’a pas révélé la cause de la violation, Ars Technica note que des recherches indépendantes menées par Zack Whittaker et Keven Beaumont ont révélé que le piratage était probablement une exploitation de la faille zero-day du serveur Exchange de Microsoft, informellement connue sous le nom de « ProxyNotShell », que Microsoft semblait avoir corrigée en octobre 2022. Cependant, comme ils l’ont découvert, ce n’était pas le cas.
Les vulnérabilités, CVE-2022-41080 et CVE-2022-41082, ont créé une chaîne d’exécution de code à distance qui a été signalée à Microsoft comme étant activement exploitée en septembre 2022. Redmond a immédiatement publié des directives pour atténuer les faiblesses de sécurité. Malheureusement, Beaumont affirme que les acteurs malveillants ont facilement contourné les mesures d’atténuation de Redmond. Mieux encore, les développeurs d’Exchange n’ont pas entièrement corrigé la faille pendant des mois.
« À l’époque, Microsoft a publié des mesures d’atténuation temporaires plutôt qu’un correctif de sécurité – il a fallu attendre novembre 2022 pour qu’une mise à jour de sécurité résolve complètement le problème », a écrit Beaumont. « C’était un retard considérable. Pendant ce temps, les mesures d’atténuation de sécurité fournies par Microsoft ont été contournées à plusieurs reprises. »
Les testeurs de Beaumont et de Whittaker ne sont pas les seules tests que Microsoft a reçues pour sa lente correction des zero-days et son manque de transparence concernant les risques cybernétiques. La semaine dernière, le PDG de Tenable, Amit Yoran, a qualifié le géant de la technologie d' »irresponsable au plus haut point » et a déclaré que ses pratiques de sécurité étaient « pire que ce que vous pensez ». Le mois dernier, l’entreprise a finalement corrigé six vulnérabilités zero-day actuellement exploitées, dont l’une a été signalée dès mai 2022. Et en mars, elle a corrigé deux zero-days, mais pas avant qu’un groupe de hackers russes parrainé par l’État en ait trouvé et utilisé une.
Cependant, soyons justes. Si toutes les informations sont exactes, l’UKEC a découvert l’activité suspecte pour la première fois en août 2021, et les développeurs de Redmond ont été informés du problème en septembre 2022. Ainsi, pendant plus d’un an, il y avait une faille dans Exchange que les hackers auraient pu exploiter. Cela excuse-t-il le mauvais guide d’atténuation de Redmond ou le manque d’action jusqu’à plusieurs mois plus tard ? Non, mais blâmer entièrement Microsoft pour un piratage qui aurait pu se produire bien avant que Microsoft ne soit informé de la faille pourrait être quelque peu injuste.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
