Combien de violations de données et de vulnérabilités Microsoft y a-t-il eu au cours des deux dernières années ? Plus que vous ne l'imaginez. Voici ce que nous pouvons apprendre.
Ces 24 derniers mois, on décompte plusieurs violations de données Microsoft médiatisées et plus de 1 200 vulnérabilités signalées qui concernent des millions d’utilisateurs et d’organisations. Voici les événements les plus notables ayant eu lieu de l’automne 2021 à l’automne 2023.
Juillet 2023 : un hacker localisé en Chine infiltre les agences gouvernementales américaines via le Cloud Microsoft
En juillet 2023, Microsoft a annoncé qu’un hacker localisé en Chine avait accédé aux messageries e-mail de plusieurs agences gouvernementales et think tanks américains. Cette violation a touché environ 10 000 organisations.
Virtru a publié deux articles de blog sur cet incident : un sur les événements qui ont mené à la découverte du piratage, et un sur les révélations ultérieures au sujet des problèmes de gestion de clés de chiffrement Microsoft qui ont aggravé les retombées de cette attaque. Les hackers auraient exploité une vulnérabilité de la plateforme Cloud Microsoft Azure pour accéder aux systèmes. De plus, selon des recherches effectuées par Wiz, la clé MSA volée aurait permis aux hackers de créer des jetons d’accès à plusieurs applications Azure Active Directory.
De toute évidence, cette histoire est très inquiétante, d’autant plus que les clients touchés étaient pour beaucoup des organisations gouvernementales. Dans cette vidéo, Rob McDonald de Virtru, Michael Wilkes, enseignant vacataire à NYU, et David London du Chertoff Group étudient les détails de cette violation chez Microsoft.
Octobre 2022 : les données de plus de 548 000 utilisateurs sont exposées lors de la fuite BlueBleed
En octobre 2022, une erreur de configuration du service de stockage Blob Azure de Microsoft a rendu disponibles les données personnelles de plus de 548 000 utilisateurs. Parmi celles-ci, on trouvait des noms, des adresses e-mail et des numéros de téléphone. Selon Microsoft, les données n’étaient pas suffisamment sensibles pour justifier la notification des utilisateurs concernés.
Mars 2022 : le groupe Lapsus$ infiltre Microsoft
En mars 2022, le groupe de hackers Lapsus$, connu pour leur ciblage des grandes entreprises technologiques, s’est introduit dans les systèmes internes de Microsoft. Le groupe affirme avoir volé le code source de plusieurs produits de la marque, notamment Bing, Cortana et Exchange Server. Selon Microsoft, cette attaque n’a pas eu de conséquences sur les données de ses clients.
Août 2021 : des organisations rendent disponibles 38 millions d’enregistrements à cause d’une erreur de configuration de Power Apps
En août 2021, une erreur de configuration de la plateforme Power Apps de Microsoft a rendu disponibles les données personnelles de plus de 38 millions d’utilisateurs. Parmi celles-ci, on trouvait des noms, des adresses e-mail et des numéros de téléphone. Selon Microsoft, l’erreur de configuration incombait à un partenaire tiers.
Août 2021 : des milliers de comptes client et de bases de données Microsoft Azure sont exposés
En août 2021, des milliers de comptes client et de bases de données Azure ont été exposés à cause d’une erreur de configuration de Microsoft Azure. Parmi ces données, on trouve des noms, des adresses e-mail et des mots de passe. Selon Microsoft, l’erreur de configuration incombait à un partenaire tiers.
Avril 2021 : 500 millions de données d’utilisateurs LinkedIn sont volées et revendues
En avril 2021, une importante violation de données LinkedIn a mis au jour les données personnelles de plus de 500 millions d’utilisateurs LinkedIn. Parmi ces données, on trouvait des noms, des adresses e-mail, des numéros de téléphone et des mots de passe. La violation était due à une vulnérabilité de la plateforme LinkedIn. (Microsoft a acheté LinkedIn en 2016.)
De 2021 à 2023 : plus de 1 200 vulnérabilités Microsoft
Selon la base de données Common Vulnerabilities and Exposures (CVE), plus de 1 292 vulnérabilités Microsoft ont été signalées ces 24 derniers mois. Ce nombre inclut des vulnérabilités dans Windows, Office, Edge et d’autres produits Microsoft.
L’une des plus inquiétantes est celle relative au chiffrement de messages Office (OME pour « Office Message Encryption »), en 2022. La vulnérabilité elle-même était due au fait que Microsoft OME utilise un mode de chiffrement par blocs appelé Electronic Code Book (ECB). Microsoft a bien pris en compte ce signalement et payé à WithSecure une prime aux bogues. Mais cette vulnérabilité n’a pas été jugée suffisamment grave pour faire l’objet d’un correctif. À l’époque, dans un e-mail adressé à The Register, un porte-parole de Microsoft a déclaré : « La fonctionnalité de gestion des droits est conçue comme un outil pour prévenir les abus accidentels et ne constitue pas un garde-fou en matière de sécurité. » Depuis, Microsoft a abandonné OME au profit du chiffrement des messages Purview, compris dans certains abonnements Microsoft.
Conclusion : avec les produits Microsoft, mieux vaut réduire les risques via différentes couches de sécurité
Les logiciels Microsoft présentent de nombreux avantages, mais cela ne vous empêche pas de prendre des précautions pour protéger vos données de manière plus précise et contrôlée.
Ces violations et vulnérabilités soulignent l’importance d’avoir plusieurs couches de protection. Si vous utilisez un logiciel de productivité Microsoft, il convient bien sûr d’effectuer des analyses régulières des systèmes à la recherche de vulnérabilités, d’installer les correctifs et de mettre à jour le logiciel. Mais au-delà de cela, posez-vous les questions suivantes :
- Les données sensibles de mon organisation sont-elles correctement chiffrées dans le Cloud, lors du transfert et au repos ?
- Mes clés de chiffrement sont-elles gérées ? Est-ce que Microsoft héberge le contenu ainsi que les clés, ou seulement l’un des deux ?
- Est-ce que Microsoft pourrait déverrouiller les données sensibles chiffrées de mon organisation ?
- Les accès au système et aux données sont-ils gérés séparément, ou ensemble ?
- Un hacker aurait-il du mal à accéder à mes données, chiffrées ou non ?
Virtru permet d’ajouter des couches de sécurité à votre environnement Microsoft. La sécurité centrée sur les données de Virtru pour Microsoft comprend :
- Virtru Data Protection Gateway, capable d’automatiser le chiffrement des données sensibles qui quittent l’organisation, avec des options de protection avancée contre la perte de données (DLP pour « Data Loss Prevention ») fonctionnant avec l’IA et Nightfall.
- Virtru pour Microsoft Outlook, qui fournit un chiffrement côté client facile pour les utilisateurs de Microsoft Outlook 365, ainsi qu’une visibilité et des capacités d’audit centralisées pour les admins.
- Virtru Private Keystore, qui vous permet d’héberger et de gérer vos propres clés de chiffrement où vous le souhaitez, tandis que Virtru fait le gros du travail en matière d’application des règles selon les besoins.
Vous souhaitez limiter les risques liés à votre utilisation de Microsoft en prenant le contrôle du destin de vos données ? Contactez Virtru pour demander une démonstration. Nous serons ravis de vous montrer les fonctionnalités de nos produits pour sécuriser votre activité et protéger vos données.
