Au mois de mai, un groupe de cyberpirates dénommé Storm-0558 s’est procuré l’accès aux e-mails et à d’autres données d’agences gouvernementales des États-Unis. Cette attaque est restée insoupçonnée pendant longtemps. De surcroît, sa portée a été sous-estimée. Il semblerait que Microsoft n’y soit pas pour rien.
Comment le piratage s’est-il produit ?
Dans un premier temps, l’Agence de cybersécurité et de sécurité des infrastructures (CISA) joue également la carte de l’apaisement. Le contenu des courriels concernés serait inoffensif. Microsoft a également estimé qu’il s’agissait d’une tentative d’espionnage et non de sabotage. Et encore, celle-ci aurait été infructueuse.
Pourquoi personne ne l’a remarqué ?
Ce piratage soulève des problèmes beaucoup plus larges et plus profonds. La première question est de savoir pourquoi l’ampleur du piratage a été révélée plus d’un mois plus tard.
Une master key volée et copiée
La clé dérobée n’était pas une copie de token, mais un certificat de signature OpenID pour l’AAD. Une sorte de clé maîtresse pour le système cloud de Microsoft.
Microsoft a certes bloqué la clé. Il ne devrait donc plus y avoir d’accès possible. Il n’est toutefois pas exclu qu’une porte dérobée ait été intégrée dans les comptes précédemment compromis, de sorte que cette clé ne soit plus nécessaire.
Depuis que j'ai découvert comment activer les deux canaux téléphoniques de la carte RNIS pour obtenir une plus grande bande passante, je bricole des réseaux numériques. Depuis que je sais parler, je travaille sur des réseaux analogiques. Un Winterthourois d'adoption au cœur rouge et bleu.
L’information a été publiée mi-juillet qu’une cyberattaque avait été lancée par un groupe présumé chinois de pirates informatiques qui répondent au nom de Storm-0558. Le groupe a eu accès à des courriels provenant de 25 comptes de messagerie différents d’agences gouvernementales. Cet accès ne s’est toutefois pas limité à un incident unique. En fait, la correspondance électronique est restée ouverte aux pirates pendant environ un mois. La date de début du piratage est particulièrement critique. Au mois de mai, le secrétaire d’État américain Tony Blinken a rencontré des représentants du gouvernement chinois en Chine pour négocier d’importantes affaires.
L’origine du piratage de Storm-0558 est une faille dans Outlook sur le web (OWA) de Microsoft ainsi que dans Outlook.com. Le collectif a réussi à se procurer un token d’authentification. Ces personnes ont ainsi pu se faire passer pour des membres AAD (Azure Active Directory). Elles ont réussi à passer le processus d’authentification pour accéder aux comptes de messagerie. En principe, cela ne devrait pas fonctionner. Selon la description de service de Microsoft, ce mode d’authentification ne serait prévu que pour les comptes privés et non pour les comptes professionnels dans AAD. Jusqu’à présent, Microsoft ne peut, ou ne veut pas expliquer comment cela a été possible.
Le secrétaire d’État américain Blinken s’est rendu en Chine. Source : Shutterstock
Les accès non autorisés n’ont été découverts qu’après une étude approfondie des journaux de bord détaillés par une autorité des États-Unis. Un abonnement à la version Premium de Microsoft Purview Audit est nécessaire afin de consulter les journaux concernés. Il s’agit d’un outil qui enregistre tout ce qui se passe dans le système de manière très détaillée. Il coûte cher et n’est pas inclus dans le pack standard de Microsoft. Si la clientèle ne peut pas se l’offrir, elle est laissée pour compte. Autrement dit, si l’agence n’avait pas eu d’abonnement, elle n’aurait pas décelé l’attaque.
Faisant écho aux spécialistes, la classe politique a exprimé un avis critique à cet égard. Non sans raison : selon une déclaration de la CISA, le gouvernement américain est en train de miser sur une stratégie de cybersécurité basée sur le cloud. Si de tels incidents surviennent, ces projets ont de bonnes chances de tomber à l’eau. Comme Microsoft vient de le faire savoir, il est prévu d’inclure à l’avenir Purview Audit (Premium) gratuitement dans la solution de sécurité.
Il s’avère aujourd’hui que l’incident pourrait avoir des conséquences bien plus importantes qu’on ne le pensait initialement. L’entreprise de sécurité Wiz affirme avoir pu identifier la clé Microsoft qui a permis aux pirates d’espionner les comptes de messagerie à l’aide de listes de clés d’authentification disponibles publiquement.
Wiz illustre le problème dans ce graphique. Source : Wiz
Pour comprendre ce qui s’est passé ou ce qui aurait pu se passer, il faut comprendre ce que sont un certificat de signature et un token. Voici un exemple concret : imaginez que vous souhaitez vous rendre dans un pays, ce pour quoi vous avez besoin d’un visa. Comme vous n’avez pas le droit de vous rendre dans ce pays, vous n’avez pas de visa et les gardes-frontières ne vous laissent pas passer. Vous créez vous-même un visa qui ressemble à l’original. Ce nouveau visa est votre token. Ensuite, vous vous rendez à l’ambassade du pays de destination. Là-bas, une personne est en charge de signer les visas. Elle, c’est votre certificat de signature. Elle ne doit pas signer votre visa, mais vous l’avez soudoyée. Vous l’avez compromise pour qu’elle signe. De retour à la frontière, les gardes voient la signature et vous laissent entrer. C’est aussi simple que cela. Sauf que dans ce cas, le certificat de signature est valable pour des dizaines de pays.
Comme la dernière partie du nom l’indique, il s’agit d’un répertoire. Ici, il s’agit du service de répertoire en ligne de Microsoft. Les identités, les droits d’accès et les rôles des internautes pour les services y sont enregistrés et gérés. C’est la fonction principale. Ceci est possible via une interface graphique ou via Windows Powershell. Il existe en outre des interfaces qui permettent de relier AAD à ses propres répertoires locaux d’utilisateurs et d’utilisatrices. Microsoft utilise d’une part elle-même l’AAD, par exemple pour la gestion des utilisateurs de Microsoft 365. Mais d’autres entreprises louent également le service AAD de Microsoft pour pouvoir y gérer elles-mêmes les comptes qui accèdent à leurs services.
Selon le rapport de Wiz, les pirates n’avaient pas seulement un accès potentiel à Exchange Online, hébergé par Microsoft. Au contraire, ce groupe a eu accès à presque tous les domaines du cloud de Microsoft. C’est-à-dire Office, Teams, Sharepoint et Outlook. Et ce n’est pas tout. En effet, comme l’explique Wiz, la clé volée peut signer n’importe quel jeton d’accès OpenID. Donc théoriquement parlant, les pirates pourraient accéder à n’importe quelle application cloud dont l’authentification repose sur Azure Active Directory. Toutes entreprises confondues. Les comptes qui proposent une « authentification par Microsoft », comme GitHub, seraient également concernés.
Microsoft n’a pas encore confirmé la description de l’affaire telle qu’elle est présentée par Wiz. Certes, je ne doute pas de l’évaluation fournie par Wiz, mais pour l’instant, nous ne savons pas si ces possibilités ont effectivement été exploitées par les pirates et dans quelle mesure. Il faudrait vérifier tous les comptes Microsoft, y compris ceux basés sur l’AAD. Mission impossible ? En tout cas, cette histoire est un fiasco aux proportions épiques pour Microsoft. Sans parler du fait que la stratégie de non-communication constitue un manque de transparence totalement inapproprié. Il serait grand temps d’assumer ses erreurs. Sinon, la confiance en Microsoft en pâtira encore plus qu’elle ne le fait déjà.
