Huit mois après la découverte par Microsoft d’une campagne d’espionnage visant sa solution de messagerie Exchange Online, le Cyber Safety Review Board (CSRB), comité consultatif rattaché au département de la Sécurité intérieure des États-Unis, chargé d’enquêter sur l’intrusion, a publié ses conclusions. Le rapport a été mandaté par le président américain Joe Biden.
“Une culture d’entreprise” inadéquate
Dans un communiqué cinglant mis en ligne le 2 avril, le CSRB dénonce les pratiques de cybersécurité de mauvaise qualité appliquées par Microsoft. Sont notamment pointées du doigt “une série de décisions opérationnelles et stratégiques”, mettant en évidence “une culture d’entreprise qui priorisait les investissements en matière de sécurité d’entreprise et une gestion des risques, en contradiction avec le niveau de confiance que les clients accordent à l’entreprise pour protéger leurs données et opérations”. Le comité ajoute que l’intrusion du groupe de hackers était “évitable”.
En juillet 2023, des pirates informatiques du groupe de hackers Storm-0558, considéré comme affilié à la Chine, se sont infiltrés dans l’infrastructure de la messagerie Microsoft Exchange Online. Il s’agissait d’un piratage ciblé, visant les courriels de hauts responsables du gouvernement américain, comme celui de la secrétaire au Commerce Gina Raimondo ou de l’ambassadeur des États-Unis en Chine, Nicholas Burnes. Au total, les boîtes mail de 22 organisations, et de 500 individus à travers le monde ont été piratées.
Pour le CSRB, le fait le plus inquiétant est que Microsoft ignore comment le groupe de hackers chinois a mené l’attaque. Les agences de renseignement américaines affirment que la vulnérabilité a été réalisée pour le ministère de la Sécurité d’État de Pékin, son plus haut service d’espionnage. Les hackers ont exploité les failles de sécurité dans le cloud de l’entreprise, permettant aux hackers de falsifier des certificats d’authentification pour accéder aux boîtes mails de hauts responsables américains.
Des recommandations pour tous les fournisseurs de cloud
Le comité consultatif américain a listé de nombreuses recommandations spécifiques à tous les fournisseurs de cloud, pour permettre d’améliorer leur sécurité contre le groupe de hackers Storm-0558 et d’autres groupes associés. Des mesures qui passent par des mécanismes de contrôle et des pratiques de bases modernes “informés par un modèle de menace rigoureux”, par des normes en matière d’identité numérique, une meilleur transparence des fournisseurs de services cloud, et un processus davantage développé de soutien aux victimes.
“Les événements récents ont démontré la nécessité d’adopter une nouvelle culture d’ingénierie de sécurité dans nos propres réseaux, a réagi, de son côté, un porte-parole de Microsoft au Washington Post. Bien qu’aucune organisation ne soit à l’abri d’une cyberattaque provenant d’adversaires disposant de ressources suffisantes, nous avons mobilisé nos équipes d’ingénierie pour identifier et atténuer les infrastructures existantes, améliorer les processus et appliquer des normes de sécurité.”
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
