• Votre panier est vide.

  • LOGIN

Comment une faille du cloud a donné aux espions chinois une clé du royaume de Microsoft


Certains articles de veille peuvent faire l'objet de traduction automatique.


Mais exactement comment une clé aussi sensible, permettant un accès aussi large, pourrait être volée en premier lieu reste inconnue. WIRED a contacté Microsoft, mais la société a refusé de commenter davantage.

En l’absence de plus de détails de Microsoft, une théorie sur la façon dont le vol s’est produit est que la clé de signature de jetons n’a en fait pas du tout été volée à Microsoft, selon Tal Skverer, qui dirige les recherches sur la sécurité Astrix, qui plus tôt cette année a découvert un problème de sécurité de jeton dans le cloud de Google. Dans les anciennes configurations d’Outlook, le service est hébergé et géré sur un serveur appartenant au client plutôt que dans le cloud de Microsoft. Cela aurait pu permettre aux pirates de voler la clé de l’une de ces configurations « sur site » sur le réseau d’un client.

Ensuite, suggère Skverer, les pirates auraient pu exploiter le bogue qui permettait à la clé de signer des jetons d’entreprise pour accéder à une instance cloud Outlook partagée par les 25 organisations touchées par l’attaque. « Ma meilleure hypothèse est qu’ils ont commencé à partir d’un seul serveur appartenant à l’une de ces organisations », explique Skverer, « et ont fait le saut vers le cloud en abusant de cette erreur de validation, puis ils ont eu accès à plus d’organisations qui partagent le même instance cloud d’Outlook.

Mais cette théorie n’explique pas pourquoi un serveur sur site pour un service Microsoft au sein d’un réseau d’entreprise utiliserait une clé que Microsoft décrit comme destinée à signer des jetons de compte client. Cela n’explique pas non plus pourquoi tant d’organisations, y compris des agences gouvernementales américaines, partageraient toutes une instance cloud Outlook.

Une autre théorie, bien plus troublante, est que la clé de signature de jetons utilisée par les pirates a été volée sur le propre réseau de Microsoft, obtenue en incitant l’entreprise à délivrer une nouvelle clé aux pirates, ou même reproduite d’une manière ou d’une autre en exploitant des erreurs dans le processus cryptographique qui l’a créé. En combinaison avec le bogue de validation de jeton décrit par Microsoft, cela peut signifier qu’il aurait pu être utilisé pour signer des jetons pour n’importe quel compte cloud Outlook, consommateur ou entreprise – une clé squelette pour une large bande, voire la totalité, du cloud de Microsoft.

Le célèbre chercheur en sécurité Web Robert « RSnake » Hansen dit avoir lu la ligne dans le post de Microsoft sur l’amélioration de la sécurité des « systèmes de gestion de clés » pour suggérer que « l’autorité de certification » de Microsoft – son propre système pour générer les clés pour la signature cryptographique des jetons – a été en quelque sorte piraté par les espions chinois. « Il est très probable qu’il y ait eu soit une faille dans l’infrastructure ou la configuration de l’autorité de certification de Microsoft qui a entraîné la compromission d’un certificat existant ou la création d’un nouveau certificat », déclare Hansen.

Si les pirates volaient en fait une clé de signature qui pourrait être utilisée pour falsifier des jetons sur l’ensemble des comptes de consommateurs – et, grâce au problème de validation des jetons de Microsoft, sur les comptes d’entreprise également – le nombre de victimes pourrait être bien supérieur à 25 organisations Microsoft a rendu compte publiquement, avertit Williams.

Pour identifier les entreprises victimes, Microsoft pourrait rechercher lesquels de leurs jetons avaient été signés avec une clé grand public. Mais cette clé aurait également pu être utilisée pour générer des jetons grand public, ce qui pourrait être beaucoup plus difficile à repérer étant donné que les jetons pourraient avoir été signés avec la clé attendue. « Du côté des consommateurs, comment le sauriez-vous ? » demande Williams. « Microsoft n’en a pas discuté, et je pense qu’il y a beaucoup plus de transparence à laquelle nous devrions nous attendre. »

La dernière révélation d’espionnage chinois de Microsoft n’est pas la première fois que des pirates informatiques parrainés par l’État exploitent des jetons pour violer des cibles ou étendre leur accès. Les pirates informatiques russes qui ont mené la célèbre attaque de la chaîne d’approvisionnement Solar Winds ont également volé des jetons Microsoft Outlook sur les machines des victimes qui pourraient être utilisées ailleurs sur le réseau pour maintenir et étendre leur portée dans les systèmes sensibles.

Pour les administrateurs informatiques, ces incidents, et en particulier le dernier en date, suggèrent certains des compromis réels de la migration vers le cloud. Microsoft et la plupart des acteurs de l’industrie de la cybersécurité recommandent depuis des années de passer à des systèmes basés sur le cloud pour confier la sécurité aux géants de la technologie plutôt qu’aux petites entreprises. Mais les systèmes centralisés peuvent avoir leurs propres vulnérabilités, avec des conséquences potentiellement massives.

« Vous remettez les clés du royaume à Microsoft », déclare Williams. « Si votre organisation n’est pas à l’aise avec cela maintenant, vous n’avez pas de bonnes options. »

Voir aussi :

juillet 13, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)