On croyait que le piratage Storm-0558 subi par Microsoft qui a été dévoilé en juillet se limitait à Outlook.com et à Exchange Online. Toutefois, des chercheurs de la startup Wiz, spécialisée dans la sécurité cloud, ont récemment révélé un aspect plus important et plus pernicieux du piratage ayant touché la plateforme M365 de Microsoft.
Il s’avère qu’il ne s’est pas limité à la violation de l’accès au service de messagerie électronique de Microsoft : en réalité, il a eu des conséquences bien plus graves.
Ce que Wiz nous apprend sur l’ampleur réelle du piratage
À l’origine, Microsoft avait déclaré que la clé Microsoft Security Authority (MSA) volée n’avait permis de compromettre qu’Exchange Online et Outlook.com. Toutefois, ce n’est pas ce que suggère la nouvelle étude. La clé MSA n’a pas seulement permis de déverrouiller l’accès aux services de messagerie. En fait, elle a donné accès au « système de génération de clés », qui permet de pénétrer potentiellement dans tous les espaces des solutions cloud de Microsoft.
La clé MSA compromise aurait pu permettre aux attaquants de créer des jetons d’accès pour plusieurs applications Azure Active Directory qui auraient été considérés comme valides du point de vue du chiffrement. Bien qu’elles ne soient pas autorisées par Microsoft/Azure, les clés en elles-mêmes sont tout à fait fonctionnelles. Parmi ces applications, on retrouve toutes celles qui prennent en charge l’authentification via le compte personnel, telles que SharePoint, Teams et OneDrive, et même des applications client compatibles avec la fonctionnalité « Se connecter avec Microsoft ».
Comment les entreprises et les pouvoirs publics gèrent-ils les conséquences ?
Suite à l’indignation générale, Microsoft a consenti à accorder à tous les clients de M365 l’accès aux journaux de sécurité cloud pour permettre la réalisation d’analyses criminalistiques post-incident. Cependant, même cet accès plus poussé aux systèmes de journalisation peut ne pas suffire à détecter l’utilisation de jetons non autorisés, étant donné l’inadéquation des journaux en ce qui concerne des champs cruciaux liés au processus de vérification des jetons.
Bien que Microsoft ait procédé à la révocation de la clé compromise, fermant ainsi la porte à toute nouvelle création non autorisée de jetons, de sérieuses inquiétudes subsistent. Au cours des sessions précédemment établies, il est possible que les attaquants aient pu mettre en place des menaces persistantes ou créer des portes dérobées, en s’octroyant des clés d’accès propres à certaines applications. Cela nous laisse dans l’incertitude quant aux actes qui ont été perpétrés, à la manière dont ils ont été exécutés et à l’étendue des dégâts.
L’impact potentiel de ce piratage va bien au-delà des services de messagerie, ce qui souligne la nécessité pour les organisations ayant recours aux services Microsoft et Azure d’en évaluer l’ensemble des conséquences. Parmi les mesures immédiates à prendre, il est notamment recommandé de procéder à la mise à jour des déploiements Azure SDK vers leur dernière version et de mettre à jour le cache des applications afin de réduire le risque que davantage de vulnérabilités soient exploitées.
Alors, que cela signifie-t-il pour les entreprises lambda (qu’elles soient grandes ou petites) utilisant ces services ? Il apparaît que leurs données et leur activité pourraient être menacées si elles ne disposent pas de couches de protection supplémentaires. De manière générale, les implications de l’exposition à des attaquants externes et l’étendue réelle des dommages restent à déterminer.
Bien que la décision de Microsoft d’octroyer l’accès aux journaux de sécurité cloud aux clients disposant d’offres de niveau inférieur représente un pas dans la bonne direction, cet événement souligne la nécessité d’une plus grande transparence et de la mise en place de mesures de sécurité avancées pour prévenir de telles violations à l’avenir.
Quelles leçons pouvons-nous tirer de cette révélation ?
Cette violation vient brutalement nous rappeler qu’il existe des vulnérabilités même au sein des infrastructures de grands noms de la technologie comme Microsoft. Bien qu’il soit facile de pointer Microsoft du doigt, le caractère inévitable de ces attaques sophistiquées devrait réellement nous inciter à reconsidérer nos propres pratiques.
Microsoft, Google, Amazon… nous avons beau faire confiance à ces géants, ils ne sont pas infaillibles pour autant. Certaines fautes ont effectivement été commises, mais cela mis à part, aussi bien les responsables de la sécurité que les utilisateurs individuels devraient réfléchir à deux fois avant de confier l’ensemble de leur infrastructure de sécurité à un seul et unique prestataire. Cela signifie qu’il faut mettre en place plusieurs niveaux de protection afin de disposer de solutions de repli en cas de défaillance d’autres systèmes. Voici à quoi cela pourrait ressembler concrètement :
Séparer pour mieux renforcer
Le fait de créer un tampon entre l’accès aux données elles-mêmes à un niveau individuel et l’accès général à l’ensemble du système permet de mettre en place une couche de sécurité supplémentaire. Cela signifie que même si les défenses de votre système subissent une violation, les attaquants n’auront pas nécessairement accès à vos données.
L’arsenal de Virtru pour améliorer la protection des données
Chiffrement côté client pour les e-mails : les mesures de sécurité classiques appliquées aux e-mails, notamment dans Outlook ou Gmail, reposent sur le protocole de sécurité de la couche transport (TLS, pour Transport layer security), qui ne protège les données que durant leur transmission. Virtru renforce cette protection en proposant un chiffrement de bout en bout facile d’emploi permettant aux utilisateurs de chiffrer les données confidentielles avant de les partager, ce qui leur permet d’avoir également le contrôle sur celles-ci à l’extérieur de leur organisation. Avec des outils tels que Virtru pour Outlook ou Virtru pour Gmail, les utilisateurs peuvent partager des informations sécurisées en toute fluidité, sans que cela vienne entraver la réalisation de leurs tâches quotidiennes.
Passerelle de chiffrement pour la protection des données : vous pouvez considérer le chiffrement côté serveur comme un filet de sécurité pour les données qui quittent votre organisation. Il s’apparente à un garde intelligent placé à la porte de sortie, qui peut repérer les informations confidentielles et soit les empêcher de quitter votre infrastructure, soit leur appliquer un chiffrement pour les sécuriser. De plus, grâce à des outils tels que Virtru Data Protection Gateway et Virtru Secure Share, vous pouvez même récupérer des données que vous avez déjà envoyées à l’extérieur.
Clés de chiffrement auto-hébergées : avec Virtru Private Keystore, vous pouvez héberger les clés à l’endroit de votre choix, ce qui vous donne davantage de contrôle sur vos données. Le fait d’assurer vous-même la gouvernance de vos clés de chiffrement, plutôt que de les confier à des fournisseurs de cloud comme Google ou Microsoft, garantit que vos données chiffrées restent sous votre contrôle tout en étant invisibles et inaccessibles pour le fournisseur.
Sécurité des données proactive et multi-couche : voici ce que promet Virtru
Au vu des récentes cyber-menaces, telles que la violation subie par Microsoft, il est clair que les e-mails et les applications cloud constituent une cible privilégiée. Les grandes quantités de données personnelles et d’entreprise qu’ils contiennent font d’eux une mine d’or pour les attaquants.
Avec Virtru, vous ne vous contentez pas de protéger vos données : vous adoptez une approche offensive. Nous sécurisons les données de manière individuelle, en instaurant de puissants contrôles d’accès qui s’appliquent même en dehors de votre organisation.
Vous souhaitez renforcer les défenses de votre cloud Microsoft, Google ou hybride ? Contactez Virtru pour bénéficier d’une approche proactive en matière de sécurité des données.
