Une installation américaine d’armes nucléaires a été compromise via une faille SharePoint par des pirates étrangers

 (csoonline.com)
1 points par GN⁺ 2025-10-22 | 1 commentaires | Partager sur WhatsApp
  • Une vulnérabilité de sécurité de SharePoint a permis à des pirates étrangers de pénétrer dans une installation américaine d’armes nucléaires
  • L’incident dépasse un simple problème IT et peut aussi impacter des environnements opérationnels, notamment les systèmes de contrôle de la qualité et les systèmes SCADA
  • Le décalage entre la sécurité IT et OT est apparu comme une question majeure à l’échelle des organismes fédéraux
  • Le gouvernement fédéral a fait des progrès sur la stratégie Zero Trust pour les réseaux IT traditionnels, mais l’application à l’environnement OT prend du retard
  • Le Département de la Défense avance le développement de contrôles Zero Trust pour l’OT et prévoit la mise en place d’une stratégie de sécurité intégrée couvrant à la fois IT et OT

Intrusion via une faille SharePoint dans une installation nucléaire américaine

  • Un incident a eu lieu où des pirates étrangers ont accédé à une installation nucléaire américaine américaine d’armes en exploitant une vulnérabilité de SharePoint
  • L’expert Sovada souligne que cette pénétration peut avoir un impact sur les systèmes de gestion de la qualité et de distribution, ainsi que sur les systèmes SCADA chargés du contrôle de l’alimentation et de l’environnement
  • Cela suggère que ce n’est pas simplement une faille IT

Écart entre IT et OT dans l’approche de sécurité Zero Trust

  • L’incident de Kansas City met en lumière un problème structurel de décalage entre les pratiques de sécurité IT et OT dans l’ensemble des institutions fédérales
  • Le gouvernement fédéral développe une feuille de route Zero Trust pour les réseaux IT classiques
  • En revanche, une infrastructure de sécurité comparable n’est encore que lentement construite dans les environnements opérationnels (OT)
  • Plus récemment, le cadre de sécurité de la technologie opérationnelle (OT) commence également à progresser

Tentatives d’intégration des sécurités IT et OT

  • Sovada rappelle qu’il existe des outils de gestion IT (playbooks) pour le Zero Trust, la segmentation réseau, l’authentification et la gestion des identités
  • Le ministère de la Défense des États-Unis développe un playbook pour appliquer le Zero Trust à l’environnement OT
  • L’objectif final est d’harmoniser les directives de gestion Zero Trust d’IT et d’OT pour viser une sécurité complète sur tous les types de réseaux

À lire aussi

1 commentaires

 
GN⁺ 2025-10-22
Avis de Hacker News

  • Lorsque je reçois une proposition d'emploi, l'une des premières choses que je fais est de vérifier les enregistrements MX du domaine e-mail de cette entreprise ; c'est une manière de savoir en une seconde si elle est basée sur Microsoft, sans prévenir l'autre partie. Si c'est Microsoft, c'est un gros signal d'alerte pour moi. Même si les produits Microsoft sont omniprésents et que je parle surtout de mon expérience personnelle, après plus de 20 ans de carrière je me suis rendu compte que les entreprises qui utilisent une stack IT MSFT ont une forte probabilité d'avoir une culture d'ingénierie que je n'aime pas. Le fait d'utiliser uniquement Outlook, SharePoint ou Teams ne signifie pas nécessairement une mauvaise culture, mais c'est un indicateur d'une culture technique moins saine que presque toutes les questions d'entretien, donc je continue d'utiliser cette méthode. Cela peut paraître impoli pour les ingénieurs très orientés Microsoft, et je m'en excuse. Le problème vient de moi.

    • Pour être franc, vu de cette manière, on peut paraître comme un employé qui pose problème. Les entreprises qui n'utilisent pas Microsoft utilisent généralement Google, et d'après mon expérience c'est souvent encore pire. En fait, en ayant déjà travaillé avec des personnes qui détestent Microsoft, ce type de personne a tendance à gêner en permanence son équipe parce qu'elle refuse d'utiliser les outils choisis par l'entreprise. (Au passage, je ne comprends pas pourquoi la note de mes anciens articles a soudain baissé.)
    • Si l'entreprise fournit un MacBook, c'est pour moi un bon signal ; en revanche, fournir un portable Windows est un signal négatif. La meilleure entreprise où j'ai travaillé fournissait à chaque ingénieur logiciel un MacBook et un poste de travail Linux.
    • Je comprends totalement. Ayant travaillé dans les deux environnements, je ne veux plus jamais retourner dans un environnement Microsoft sans un salaire à sept chiffres.
    • Je ressens aussi personnellement un lien entre un respect limité du travail (ex. l'abus du visa H1B) et l'usage d'un environnement Microsoft. En Californie, en particulier, il y a très peu de respect pour les talents et les travailleurs locaux. Il y a une ambiance qui pousse à démanteler rapidement syndicats et même les États eux-mêmes.
    • Ce genre d'environnement est vraiment extrêmement mauvais. Cela inculque l'idée que les logiciels et les ordinateurs sont de moindre importance, et semble avoir un effet négatif sur les personnes qui les créent.

  • Quand ce type de sujet sort, beaucoup répondent toujours “Microsoft, ça pue” en plaisantant, mais je pense qu'ils ne se posent pas la question des raisons business qui le soutiennent. On me dit : “n'utilisez pas Exchange, alors quelle autre option ?” ; peut-il vraiment gérer de 15 à 150 000 utilisateurs ? J'ai déjà opéré un cluster Exchange utilisé par 70 000 personnes. Existe-t-il un logiciel mail alternatif qui remplace un système redondé sur disque non partagé avec un seul point de terminaison ? Et maintenant deux RCE supplémentaires sur SharePoint ? Rien d'étonnant, le logiciel en lui-même est moyen. Pour autant, ce logiciel supporte bien les fortes charges. Beaucoup de solutions open source vont bien en petite taille, mais tombent souvent en grande échelle. Je comprends aussi que les développeurs open source n'ont pas tendance à prendre en charge gratuitement le fait d'interfacer avec des utilisateurs à la fois ennuyeux et peu familiers avec l'informatique. Et le logiciel Microsoft offre une compatibilité ascendante à un certain degré. Les entreprises regorgent de logiciels hérités, comme des CV restés intacts pendant des décennies ou des fichiers Excel avec macros. La sécurité peut en souffrir côté registre, mais un fichier Excel macro de 1997 continue à fonctionner. J'ai du mal à croire qu'on puisse trouver une suite bureautique offrant une compatibilité similaire à celle de MS Office. En bref, Microsoft a un vrai nœud gordien : en pratique, la seule solution reste “arrêtons la rétrocompatibilité, mettez tout à niveau.” Dans ce contexte, une entreprise m'a récemment contacté pour refaire évoluer une solution construite sur Exchange Web Services. Microsoft a désactivé EWS dans Office 365 et demande de passer à GraphAPI.

    • Tu sembles parler des avantages des produits Microsoft centrés sur Exchange, mais le sujet ici est SharePoint. Comme Windows, Microsoft a bâti des défenses autour de Exchange. La vraie question est : pourquoi les entreprises choisissent tout l'écosystème Microsoft, surtout quand on parle de technologies web où Microsoft fait vraiment mal, et où SharePoint est parmi les pires ? Et pourtant, les déploiements de grands systèmes mail Postfix/Dovecot semblent quand même assez répandus. Partage d'expérience Reddit sur la mise en place d'un grand serveur mail
    • On dit que SharePoint a encore un nouveau RCE, ce qui est présenté comme grave. Mais au final, ce n'est pas un rôle de “fichier partagé” ? (Je ne l'ai pas utilisé.) Les serveurs Samba ou FTP n'ont pas de problème de volume. En pratique, c'est surtout une question d'interface utilisateur.
    • Je me demande comment les anciens sites de fabrication d'armes ont fonctionné avant ce type de système.
    • Je me demande aussi combien d'entreprises ont vraiment besoin qu'un serveur Exchange supporte 150 000 utilisateurs. Dans une entreprise manufacturière classique, une telle taille est probablement rare.
    • Les développeurs open source ont peu envie de prendre en charge ce créneau, où il faut gérer un logiciel fastidieux avec des utilisateurs “illettrés numériques”. Le gouvernement pourrait embaucher des développeurs open source pour contribuer à l'intérêt public. Sous l'administration Obama, le gouvernement américain a créé l'organisation 18F pour développer de vrais logiciels utiles aux citoyens. Elle a très bien fonctionné, notamment sur des cas difficiles comme les logiciels de déclaration fiscale, mais Trump l'a supprimée dès le début de son second mandat. (Référence : Histoire et valeurs de 18F, Lawfare : les enseignements du legs de 18F)

  • Je ne comprends pas du tout la logique derrière l'installation de SharePoint dans des infrastructures nationales critiques. Comment peut-on utiliser des produits Microsoft dans des environnements liés à des informations aussi sensibles ? Même avec MS Office 365, Teams, Edge... On dirait qu'il faudrait repenser immédiatement les politiques de sécurité.

    • De très mauvaises nouvelles à propos de cette situation.
    • Je me demande donc s'il existe des solutions alternatives recommandables.
    • On entend aussi une histoire de documents ultra-confidentiels stockés dans les toilettes publiques d'une station de vacances...
    • Mais au moins, ça permet d'utiliser le service gratuitement /humour

  • J'ai déjà fait tomber un système d'alerte avec Excel. (Pour être précis, c'est moins une question Microsoft que d'effets de bord involontaires.) Je gérais un système d'alerte, avec une logique qui cherchait le mot-clé “alert_log” dans les logs. J'avais fait une feuille de calcul Excel pour le suivi des données et nommé un onglet “alert_log”. Comme j'utilisais la version cloud d'Excel, tous les textes saisis traversaient quand même le pare-feu. Le log du pare-feu contenait donc “alert_log”. Le système d'alerte pensait qu'un tel mot existait dans les logs et continuait d'émettre des alertes. Lors de la seconde alerte, les logs du pare-feu étaient à nouveau injectés, et une boucle infinie a commencé. Les systèmes peuvent interagir de façon inattendue et provoquer des incidents imprévus. C'est pourquoi l'audit, des red teams et une approche defense in depth sont essentiels.

    • En tant qu'ingénieur firewall, je recommanderais de désactiver systématiquement la génération de logs de trafic quand on exporte le trafic firewall vers syslog, pour ce genre de problème.

  • SharePoint est, de mon expérience, le logiciel le plus mauvais et le plus rempli de bugs. Il y a un bug depuis des années où les fichiers refusent soudain de s'ouvrir quand on les utilise avec SolidWorks (outil de CAO 3D). Microsoft connaît ce bug et je ne vois pas de raison qu'il soit insoluble, pourtant il est laissé en plan pendant des années. Le stockage cloud Microsoft ressemble à un vrai labyrinthe : je ne sais pas où se trouve le fichier ni s'il fonctionne bien. Certaines fonctionnalités marchent dans le navigateur, d'autres uniquement dans l'app, sans liste claire de compatibilité. Je suis donc convaincu qu'il existe encore beaucoup de vulnérabilités exploitables à l'infini.

    • Les produits Microsoft récents (surtout cloud) font régulièrement ressentir des bugs, erreurs et des performances plus lentes que prévu à chaque utilisation. Récemment, en essayant d'émettre des mails depuis un nouveau sous-domaine sur 365, j'ai galéré juste pour trouver le menu DKIM. J'ai fini par découvrir que la clé DKIM pour le courriel du sous-domaine doit être ajoutée au domaine racine. C'est vraiment inefficace.
    • Je travaille actuellement sur un projet de contrat gouvernemental, et je suis poussé à migrer toute l'équipe de Slack vers MS Teams. Nous avons tenu sans produits Microsoft pendant presque 20 ans ; dans les grands groupes et les administrations, je réalise que la tolérance à la douleur UX est quasi infinie.
    • Nous synchronisons des fichiers vers un SharePoint hébergé par Microsoft avec rsync. Pour les fichiers Microsoft (par ex. Excel), lorsque le fichier arrive, les métadonnées internes changent et le checksum diffère, donc rsync pense qu'il a encore changé et relance la synchronisation.
    • Word en ligne a, au moins depuis deux ans, un bug qui supprime du texte sur Firefox sous Linux (et peut-être aussi sur d'autres OS). La priorité d'un éditeur de texte, c'est d'écrire dans le document, et pourtant ça ne marche pas, sans correction du bug. Il aurait été préférable de migrer vers Overleaf payant et d'enseigner LaTeX ou l'éditeur intégré aux non spécialistes. Les exports de documents sont beaux, Overleaf fonctionne en continu sans arrêt. J'en suis très satisfait. Même en tant que client payant de Microsoft 365, je pense que leurs priorités sont bizarres. Q&R officielle du bug de suppression de texte dans la version web de MS Word
    • Les services Microsoft comme SharePoint semblent traités comme des parias bien qu'ils jouent des rôles essentiels en interne.

  • Si SharePoint est si mauvais, pourquoi ne voit-on pas de grandes attaques à grande échelle ? Je travaille avec des entreprises Fortune 500, et subjectivement plus de 90 % utilisent SharePoint. Bien sûr, l'architecture varie, mais bien implémenté, c'est assez utile. Même avec une meilleure alternative, maintenir en parallèle 5 à 10 produits de différents fournisseurs est encore plus pénible. Je ne comprends pas l'aversion pour Teams. J'utilise Zoom, Slack, Discord et d'autres outils de collaboration ; Teams couvre aussi bien les plannings, réunions, enregistrements et l'usage de Copilot pour l'ensemble des tâches. Le partage d'écran multitâche en temps réel et la possibilité de rejoindre librement des canaux dans Discord sont agréables pour le debug ou le pair programming, mais Teams couvre les besoins de base.

    • La majorité des usages de SharePoint restent en accès interne. En poussant avec o365 (Office 365) une version “nouvelle” de SharePoint en mode SaaS, Microsoft expose l'outil directement sur Internet. En échange, c'est Microsoft qui assume les correctifs, WAF et la gestion de sécurité.

  • En tant qu'acteur qui soutient des systèmes OT, je suis toujours mal à l'aise quand des droits d'écriture directs sont ouverts du niveau 5 du modèle Purdue vers les niveaux 1/0. (À noter) Le modèle Purdue est expliqué ici : Palo Alto Networks - What is the Purdue model for ICS security

  • Ce sujet me rappelle la page MSSQL de howfuckedismydatabase.com

    • Pour moi, MSSQL fait partie des produits Microsoft réellement corrects. Il a ses particularités (Oracle aussi), mais la fonctionnalité et la stabilité sont excellentes.

  • (Partage des liens d'incidents de sécurité récents liés à CVE-2025-53770)

  • Quelqu'un qui met en ligne une installation de fission nucléaire devrait aller en prison, à mon sens.

    • En fait, ce n'est pas une installation de fission, mais une usine américaine fabriquant des composants nucléaires clés. Selon les reportages, il s'agissait de systèmes IT compromis, et les systèmes opérationnels pouvaient être en air gap. Mais même un site de production sensible ne peut pas être complètement isolé de l'extérieur. Les employés ont besoin de choses basiques comme nourriture, fournitures de bureau ou papier toilette, donc une certaine connectivité externe est inévitable.