Microsoft accusé par un lanceur d’alerte d’avoir privilégié les profits à la sécurité

 (propublica.org)
1 points par GN⁺ 2024-06-14 | 1 commentaires | Partager sur WhatsApp

Un lanceur d’alerte affirme que Microsoft a choisi les profits plutôt que la sécurité, rendant le gouvernement américain vulnérable à un piratage russe

Les avertissements d’un ancien employé ignorés

  • Point principal : Andrew Harris, ancien employé de Microsoft, affirme que l’entreprise a ignoré une faille de sécurité critique. Cette faille aurait été utilisée par des hackers russes pour compromettre plusieurs organismes, dont la National Nuclear Security Administration (NNSA) des États-Unis.
  • La découverte de Harris : Harris a découvert une faille grave dans une application utilisée dans le cloud de Microsoft, permettant aux utilisateurs de se connecter à des programmes basés sur le cloud. Cette faille aurait permis à des hackers de se faire passer pour des employés légitimes afin de voler des données sensibles.
  • Réaction de l’entreprise : Harris a signalé la faille à ses collègues, mais l’entreprise l’aurait ignorée par crainte de perdre des contrats publics. Microsoft aurait indiqué vouloir mettre en place une solution à long terme, mais entre-temps, ses services cloud seraient restés vulnérables.

L’affaire du piratage SolarWinds

  • Le piratage : Après le départ de Harris de l’entreprise, des hackers russes ont volé des données sensibles à plusieurs agences fédérales via l’affaire du piratage SolarWinds. Cette attaque est considérée comme l’une des plus importantes cyberattaques de l’histoire des États-Unis.
  • La méthode utilisée : Les hackers auraient exploité la faille découverte par Harris pour dérober des données de plusieurs organismes fédéraux, dans le cadre d’une opération d’espionnage destinée à une collecte de renseignements de long terme.

La réponse de Microsoft

  • Position officielle : Microsoft affirme que la protection de ses clients est sa priorité absolue et déclare examiner rigoureusement tous les problèmes de sécurité. Harris reproche toutefois à l’entreprise d’avoir fait passer les profits avant ses clients.
  • Culture de la sécurité : Microsoft a été critiqué pour son manque de culture de la sécurité, y compris en interne, où une culture privilégiant les profits au détriment de la sécurité aurait été pointée du doigt.

L’avis de GN⁺

  • Équilibre entre sécurité et profits : Lorsqu’une entreprise fait passer les profits avant la sécurité, elle risque à long terme de perdre la confiance de ses clients. Cela peut au final nuire à sa réputation et à ses revenus.
  • Relation avec les pouvoirs publics : Ignorer des problèmes de sécurité pour préserver des contrats avec l’État peut sembler rentable à court terme, mais représente à long terme une menace majeure pour la sécurité nationale.
  • Besoin d’améliorer la culture de la sécurité : De grands groupes comme Microsoft doivent améliorer leur culture de la sécurité et mettre en place des systèmes capables de résoudre rapidement les problèmes de sécurité. C’est essentiel pour conserver la confiance des clients et garantir le succès sur le long terme.
  • Produits concurrents : Des solutions concurrentes comme Okta existent également et mettent davantage l’accent sur la sécurité. Les entreprises doivent examiner différentes options afin de choisir la solution de sécurité la plus adaptée.
  • Points à considérer lors de l’adoption de technologies : Lors de l’adoption de nouvelles technologies, il faut examiner rigoureusement les questions de sécurité, identifier à l’avance les vulnérabilités potentielles et préparer des mesures de réponse. C’est essentiel pour prévenir des cyberattaques comme le piratage.

À lire aussi

1 commentaires

 
GN⁺ 2024-06-14
Avis sur Hacker News

  • Modèle Zero Trust : il est important de traiter le réseau interne d'une organisation comme s'il était externe et de ne jamais lui accorder une confiance totale. Google l'a mis en œuvre avec BeyondCorp afin d'empêcher les compromissions internes.

  • Décalage entre sécurité et profit : le conflit entre sécurité et profit est difficile à résoudre sans changement culturel. À ce stade, on ne sait pas clairement ce qui pourrait le déclencher.

  • La réalité de la cybersécurité : le secteur de la cybersécurité a tendance à se concentrer davantage sur la conformité réglementaire que sur la sécurité réelle. Les critères de conformité sont insuffisants ou mal appliqués.

  • Relation entre gouvernements et entreprises : les entreprises qui vendent des produits à l'État peuvent gagner énormément d'argent, et pour y parvenir elles dissimulent parfois les aspects négatifs. Cela entraîne une érosion de l'éthique élémentaire et de l'honnêteté.

  • Incitations en matière de sécurité : les incitations à la sécurité sont insuffisantes. Les commerciaux sont récompensés en fonction de leurs résultats, tandis que les équipes sécurité sont licenciées lorsqu'il n'y a pas de résultats visibles. Cela nuit à la culture de la sécurité.

  • Primauté de la sécurité : les déclarations de la direction du type « donnez la priorité à la sécurité » n'ont pas beaucoup de valeur. Si la culture de la sécurité n'est pas récompensée, les employés s'optimisent pour d'autres priorités.

  • Approche de Microsoft en matière de sécurité : le CEO de Microsoft, Satya Nadella, affirme donner la priorité à la sécurité, mais dans les faits l'entreprise se concentre davantage sur la publicité et le suivi de l'activité des utilisateurs.

  • Usage des cartes à puce par l'administration : le gouvernement américain utilise l'authentification par carte à puce pour renforcer la sécurité. Cependant, si Seamless SSO est désactivé, il devient difficile pour les utilisateurs d'accéder au cloud.

  • Priorité au profit : la plupart des entreprises donnent la priorité au profit plutôt qu'à la sécurité. Ce n'est pas un problème propre à Microsoft.

  • Attaque Golden SAML : Golden SAML n'est pas une vulnérabilité, mais un type d'attaque. Si l'infrastructure SSO est compromise, tout est en danger.

  • Explication par analogie : l'exemple d'une entreprise de construction de ponts qui ignore des défauts structurels jusqu'à l'effondrement du pont est utilisé pour illustrer le fait que des situations similaires se produisent aussi dans l'industrie IT.

  • Nécessité d'une régulation juridique : une régulation légale de la sécurité des réseaux est nécessaire. L'idée que la technologie ne peut pas s'autoréguler gagne du terrain. Si le gouvernement américain cesse de faire confiance au cloud de Microsoft, il n'existe pas beaucoup d'alternatives.