Des experts fédéraux en cybersécurité approuvent malgré leurs doutes le service cloud de Microsoft

 (propublica.org)
1 points par GN⁺ 2026-03-19 | 1 commentaires | Partager sur WhatsApp
  • Le programme américain FedRAMP a approuvé le service Government Community Cloud High (GCC High) de Microsoft malgré des préoccupations de sécurité
  • Un rapport d’évaluation interne indiquait explicitement : « Nous ne sommes pas certains de pouvoir évaluer l’état global de la sécurité », et certains examinateurs ont décrit le système comme « un véritable désordre »
  • Microsoft n’a pas réussi pendant des années à fournir des documents de sécurité essentiels, notamment sur l’architecture de chiffrement et les schémas de flux de données, mais l’approbation a tout de même été accordée car des agences gouvernementales utilisaient déjà le service
  • Le processus d’approbation a été influencé par plusieurs facteurs combinés, dont des conflits d’intérêts d’organismes d’évaluation tiers, des pressions entre le Department of Justice et Microsoft, ainsi que la réduction des effectifs de FedRAMP
  • Cette affaire montre que le système américain de vérification de la sécurité du cloud a glissé vers une procédure purement formelle, faisant peser un risque grave sur la protection des secrets d’État

Controverse autour de l’approbation FedRAMP et de Microsoft GCC High

  • FedRAMP est un programme chargé de vérifier la sécurité des services cloud utilisés par les agences fédérales, et GCC High de Microsoft est destiné au traitement de données gouvernementales sensibles
    • Selon un rapport interne, Microsoft souffrait d’un manque de documentation de sécurité adéquate, et les évaluateurs n’étaient pas convaincus du niveau réel de sécurité du système
    • Malgré cela, fin 2024, FedRAMP a approuvé GCC High sous la forme d’une autorisation conditionnelle
  • La décision d’approbation a été motivée par le fait que le Department of Justice et l’industrie de la défense utilisaient déjà ce service, et qu’un refus risquait de perturber le fonctionnement de l’administration
  • Le document d’approbation comportait un avertissement indiquant que, des risques inconnus existant, chaque agence devait utiliser le service avec prudence

Lacunes dans la documentation de sécurité de Microsoft et retards prolongés

  • Depuis 2020, FedRAMP demandait à Microsoft de soumettre des schémas de circulation des données chiffrées, mais l’entreprise n’a pas fourni de dossier complet, invoquant la « complexité »
    • Microsoft n’a remis que quelques livres blancs et n’a pas pu expliquer clairement à quel moment les données étaient chiffrées et déchiffrées
  • D’autres fournisseurs cloud (Amazon, Google) ont fourni des documents comparables, alors que Microsoft a répété pendant des mois des réponses incomplètes
  • Un examinateur de FedRAMP a comparé le système de Microsoft à une structure « en plat de spaghetti », soulignant que l’opacité des flux de données augmentait le risque de sécurité

Organismes d’évaluation tiers et problèmes de conflits d’intérêts

  • Coalfire et Kratos, engagés par Microsoft, ont signalé de manière informelle à FedRAMP qu’ils n’avaient pas reçu suffisamment d’informations de la part de Microsoft
    • Comme ces organismes étaient directement rémunérés par Microsoft, des inquiétudes ont été soulevées quant à une atteinte à leur indépendance
  • FedRAMP a notifié à Kratos un plan d’action correctif, mais l’entreprise a défendu la légitimité de son évaluation
  • Microsoft a affirmé avoir répondu de bonne foi à toutes les demandes et a nié l’existence de rapports officieux en backchannel

Pressions d’agences gouvernementales et distorsion du processus d’approbation

  • En 2023, FedRAMP avait interrompu l’examen en raison des réponses insuffisantes de Microsoft, mais celui-ci a repris à la suite de pressions et de lobbying entre le Department of Justice et Microsoft
    • Un responsable de Microsoft a demandé au Department of Justice de faire pression pour obtenir l’approbation de FedRAMP, en expliquant que l’accès au marché était retardé
    • Lors d’une réunion, la CIO du Department of Justice, Melinda Rogers, a pris le parti de Microsoft et critiqué la méthode d’examen de FedRAMP
  • Par la suite, la White House a publié des directives selon lesquelles FedRAMP devait mener un examen rigoureux, mais GCC High était déjà largement déployé dans plusieurs agences

Réduction des effectifs et limites structurelles

  • À la suite de coupes budgétaires, FedRAMP a été réduit à une vingtaine d’employés et un budget annuel de 10 millions de dollars, devenant de fait un simple organisme d’approbation formelle pour l’industrie
  • La GSA a déclaré que le rôle du programme n’était pas de juger le niveau de sécurité, mais de fournir des informations, esquivant ainsi la responsabilité d’une véritable vérification
  • Des experts ont critiqué FedRAMP, estimant qu’il avait perdu son rôle de gardien chargé de protéger les données du public

Répercussions et controverse éthique

  • Après l’enquête de ProPublica, Microsoft a annoncé la suspension de la participation d’ingénieurs basés en Chine à des travaux liés à la défense
  • Le Department of Justice poursuit la répression des fausses déclarations en matière de sécurité cloud via l’inculpation d’un ancien employé d’Accenture pour fraude liée à FedRAMP
  • En 2025, Lisa Monaco, ancienne procureure générale adjointe qui avait piloté des politiques de cybersécurité liées à FedRAMP, a été recrutée comme présidente des affaires mondiales de Microsoft, prolongeant la polémique éthique
  • Microsoft a répondu que toutes ses embauches respectaient les lois et les normes éthiques

Conclusion : le danger d’une certification de sécurité devenue formelle

  • À travers ce cas, ProPublica souligne que la certification FedRAMP ne constitue pas une véritable garantie de sécurité
  • Microsoft GCC High continue de porter des « unknown unknowns », et les agences gouvernementales doivent assumer elles-mêmes ce risque
  • Des experts estiment que le système de sécurité cloud du gouvernement américain a dégénéré en « Security Theater » plutôt qu’en véritable sécurité

À lire aussi

1 commentaires

 
GN⁺ 2026-03-19
Commentaires Hacker News

  • Comme les agences fédérales pouvaient déployer des produits pendant l’examen, GCC High s’est répandu dans l’ensemble du gouvernement et de l’industrie de la défense
    Au final, les évaluateurs FedRAMP n’ont eu d’autre choix que d’approuver, même si l’examen complet n’était pas terminé, simplement parce que c’était déjà utilisé partout à Washington
    En d’autres termes, le critère est passé de « cet outil est-il sûr ? » à « est-ce assez risqué ou politiquement tenable pour qu’on le refuse ? »

    • FedRAMP mérite les critiques. C’est trop lent et les retours de l’industrie sont ignorés
      Résultat, presque toutes les startups qui veulent vendre au gouvernement doivent payer la taxe Palantir. On parle de 200 000 à 500 000 dollars par an, et obtenir directement la certification FedRAMP demande au minimum 2 à 3 millions de dollars et 2 à 3 ans
      Au final, la plupart des entreprises n’ont d’autre choix que de dépendre de Palantir (ou de 2F). C’est un monopole imposé par la régulation publique
    • C’est pour ça que les grands fournisseurs veulent mettre un pied dans la porte à n’importe quel prix
      Une fois en place, il devient impossible d’en sortir, et cela se transforme en source de revenus pratiquement infinie
    • Pour garantir une vraie sécurité, la simplicité compte plus qu’une configuration complexe
      Le plus sûr, c’est quelques serveurs verrouillés dans un sous-sol, faisant tourner uniquement des logiciels éprouvés

  • J’ai récemment utilisé Entra ID : il y a 12 façons de configurer la MFA, 20 façons de désactiver un utilisateur, 4 méthodes d’authentification, et les politiques d’accès conditionnel comportent 50 variables et modèles
    On peut tout personnaliser, mais une fois configuré, les collègues n’arrivent même plus à se connecter. C’est une forme de durcissement de la sécurité, j’imagine

    • Le flux de connexion SSO de Microsoft est celui qui a le plus de bugs. Il y a trop de redirections et « remember me » ne fonctionne jamais
    • Microsoft a beaucoup de fonctionnalités, mais presque rien ne marche correctement
    • Il existe d’autres façons de configurer le tout, mais elles sont enfouies dans des documents SharePoint inaccessibles
    • On a eu la même expérience. En plus, ils forcent l’envoi d’un e-mail hebdomadaire de statistiques Entra ID, impossible de se désabonner
    • Le problème du Microsoft moderne, c’est qu’il poursuit trois objectifs en même temps
      • des sorties rapides façon « Move fast and break things »
      • une obsession de la rétrocompatibilité façon « We do not break user space »
      • ne jamais supprimer de produits pendant des décennies
        Grâce à cette combinaison, les produits Microsoft sont devenus un labyrinthe d’API qui se chevauchent et de fonctionnalités inachevées

  • Microsoft a toujours été faible en sécurité, ce qui rend la centralisation dans le cloud encore plus dangereuse
    Par exemple, dans l’incident Storm-0558, une seule clé de signature volée suffisait pour forger des jetons d’authentification pour tous les comptes Azure AD
    Si un accès de ce niveau est exploité à l’échelle d’un État, c’est une catastrophe économique

    • En réalité, il y a aussi eu une faille où il n’était même pas nécessaire de voler la clé de signature. Voir cet article
    • Mais ce genre d’incident peut arriver dans n’importe quelle entreprise. Au fond, c’est un problème d’erreur humaine

  • Les experts avaient raison. Azure est la plateforme la plus désastreuse que j’aie jamais utilisée
    Les nouveaux produits héritent de force d’anciens composants Azure, sans cohérence, et les équipes ne communiquent pas entre elles, donc rien ne s’intègre vraiment
    Des formats de logs jusqu’aux concepts de sécurité, tout est disparate, au point qu’on se demande même si Microsoft sait ce qu’est un SIEM

    • J’ai travaillé plus de 10 ans chez Microsoft, et on ressentait les mêmes problèmes en interne
      Par exemple, le système interne Cosmos est un excellent moteur de traitement de données, mais il a été exposé tardivement à l’extérieur et le support était mauvais
      Synapse a échoué, Fabric en est la nouvelle version, mais même en interne presque personne ne l’utilise
      L’environnement des comptes et de la sécurité est tellement complexe que le travail lui-même devient une souffrance
      Si Azure rapporte de l’argent, c’est uniquement à cause de l’échelle de Microsoft. En pratique, c’est « croître en échouant »
      Lien vers l’article sur Cosmos
    • Cette structure de produit évolutive est le standard de Microsoft depuis 2018
      Avec des sorties rapides et des améliorations fondées sur les retours utilisateurs, le produit paraît très expérimental au début, mais au bout de quelques années il devient utilisable
    • Le mépris envers les utilisateurs est trop évident. Héritage de l’époque antitrust, ils n’ont même plus le sentiment d’avoir besoin de concurrencer
    • Azure, c’est la couleur de quelqu’un qui frappe le client avec son propre portefeuille. Au lieu de donner des droits d’accès, on retire la propriété et on facture
    • On voit aussi ce phénomène chez des entreprises de type « suivre le leader du marché » comme GitLab. Le nombre de fonctionnalités sur le tableur compte plus que leur niveau d’achèvement

  • Le CIO du ministère de la Justice a fait pression pour l’approbation FedRAMP, puis a rejoint Microsoft l’année suivante. On dirait un cas qui devrait invalider l’approbation elle-même

  • Quand l’article parle de « pile of shit », cela semble viser non pas le service lui-même, mais le paquet de documentation de sécurité
    Le contexte, c’est que Microsoft n’a pas fourni d’informations claires, ce qui rendait l’évaluation elle-même difficile

    • Selon un rapport interne, les lacunes de la documentation de sécurité de Microsoft empêchaient les évaluateurs d’avoir confiance dans l’état de sécurité du système
      Le fait que ProPublica ait étendu cela à l’ensemble du cloud ressemble un peu à du clickbait
    • En gros, pas de documentation, donc pas d’évaluation possible, et pourtant approbation… comme si on était passé au « suivant ! »
    • Microsoft a pratiquement licencié tous ses rédacteurs de documentation technique, si bien qu’il ne reste plus que de la documentation d’API auto-générée
      Par exemple 
      Overrides the authorization for an identity.
AuthorizationOverride(string identity);
      Avec ce genre de chose, impossible de savoir ce que signifient des réglages liés à la sécurité ou quelle est leur portée

  • On dirait que les exigences ont été conçues de manière à ce que seul le cloud Microsoft puisse les satisfaire
    C’est comme ça qu’on s’est retrouvé avec Windows au Pentagone

  • Il y a beaucoup trop de conflits d’intérêts autour de Microsoft. Des personnes impliquées dans le processus d’approbation ont ensuite rejoint Microsoft

    • Vers la fin des années 90, Microsoft avait complètement appris les règles du jeu. Cela coïncide avec la période des affaires antitrust
    • Bien sûr, ce n’est pas toujours malveillant. Il arrive aussi que des contractants publics connaissent bien un produit et passent ensuite chez le fournisseur
      Au fond, ils considèrent qu’ils poursuivent la même mission dans une autre équipe. En tant qu’ingénieurs, certains pensent qu’il vaut mieux résoudre les problèmes sur le terrain

  • FedRAMP est difficile à respecter et ne garantit même pas réellement le niveau de sécurité. C’est un système frustrant à double titre

    • Si vous n’avez jamais travaillé dans un environnement de conformité, vous ne pouvez pas imaginer cette souffrance

  • Quand on lit la phrase « les évaluateurs de GCC High ont trouvé des problèmes à la fois dans les parties évaluables et dans celles qui ne l’étaient pas, mais FedRAMP et Microsoft ont fini par se mettre d’accord, et l’approbation est tombée le lendemain de Noël 2024 »,
    on se demande bien de quel montant de don il a pu être question