Microsoft doit être tenu responsable du piratage en Chine : le sénateur Wyden

Le sénateur Ron Wyden, D-Oregon, président de la puissante commission des finances du Sénat, a exigé jeudi que le ministère de la Justice et deux régulateurs civils ouvrent des enquêtes distinctes sur Microsoft « pratiques de cybersécurité négligentes » qui ont conduit à un piratage ciblé de haut niveau ciblant les plus hauts échelons du cabinet du président Joe Biden.

Les pirates chinois accédé aux comptes de messagerie Microsoft des principaux envoyés chinois, la secrétaire au Commerce Gina Raimondo et le secrétaire d’État Antony Blinken. L’intrusion, de mai à juin, s’est produite juste avant une réunion sino-américaine critique.

actualités liées à l’investissement

Wyden a envoyé la lettre au procureur général Merrick Garland, à la présidente de la Federal Trade Commission Lina Khan et à la directrice de la Cybersecurity and Infrastructure Security Agency Jen Easterly jeudi.

Microsoft les actions ont chuté d’environ 1% dans les échanges de jeudi matin.

« Les e-mails du gouvernement ont été volés parce que Microsoft a commis une autre erreur. Bien que le
La clé de cryptage volée était destinée aux comptes personnels, « une erreur de validation dans le code Microsoft » a permis aux pirates de créer également de faux jetons pour les comptes hébergés par Microsoft pour les agences gouvernementales et d’autres organisations, et ainsi d’accéder à ces comptes », a écrit Wyden.

Wyden a demandé que le ministère de la Justice examine si Microsoft avait violé la loi fédérale par sa négligence ; que la CISA examine si Microsoft a enfreint les meilleures pratiques de sécurisation de la « clé squelette » hautement sensible ; et que la Federal Trade Commission examine si Microsoft a violé les lois fédérales sur la protection de la vie privée.

La directive de Wyden à la FTC portait sur les problèmes de confidentialité, mais l’agence pourrait également examiner si la domination de Microsoft sur le marché du cloud computing entraînait un risque accru en raison d’un comportement anticoncurrentiel. Cette allégation a été soulevée par des rivaux et des opérateurs de cybersécurité, notamment Google.

« Alors que les ingénieurs de Microsoft n’auraient jamais dû déployer des systèmes qui violaient de tels principes de cybersécurité de base, ces failles évidentes auraient dû être détectées par les audits de sécurité internes et externes de Microsoft », a déclaré Wyden.

Un porte-parole de la FTC a confirmé que l’agence avait reçu la lettre mais a refusé de commenter davantage. CISA et Microsoft n’ont pas immédiatement répondu aux demandes de commentaires.

Les experts en cybersécurité ont exprimé leur inquiétude croissante face à l’intrusion, qui a touché au moins une douzaine d’organisations gouvernementales dans le monde. Le département d’État et le département du commerce ont été ciblés par des pirates chinois.

L’équipe cyber du Département d’État a informé Microsoft de l’attaque, et n’a pu le faire que parce qu’elle avait conçu des rapports et une journalisation plus granulaires. Après le piratage, Microsoft a déclaré qu’il cesserait de facturer la journalisation sophistiquée et l’offrirait gratuitement.

Wyden a noté que ce n’était pas la première fois qu’un gouvernement étranger avait piraté des agences gouvernementales en exploitant les vulnérabilités de Microsoft.

« Les pirates russes à l’origine de la campagne de piratage SolarWinds 2020 ont utilisé une technique similaire », a noté Wyden. « De plus, alors que Microsoft savait depuis 2017 que de telles clés pouvaient être discrètement exfiltrées des serveurs clients exécutant ses logiciels, elle n’a pas averti ses clients, y compris les agences gouvernementales, de ce risque. »

Microsoft et les responsables fédéraux ont divulgué relativement peu de choses sur le piratage, bien que Microsoft ait diffusé des informations supplémentaires et fait des concessions aux clients pour atténuer l’impact de l’exploitation.

Lisez la lettre ci-dessous.