SolarWinds, Microsoft, FireEye et CrowdStrike défendent les actions lors d’un piratage majeur

WASHINGTON: Les hauts dirigeants de la société de logiciels basée au Texas SolarWinds Corp, de Microsoft Corp et des sociétés de cybersécurité FireEye Inc et CrowdStrike Holdings Inc ont défendu leur conduite dans des violations imputées à des pirates informatiques russes et ont cherché à transférer la responsabilité ailleurs dans un témoignage devant un panel du Sénat américain mardi.

Tous les quatre ont été victimes de l’un des pires hacks jamais découverts, affectant environ 100 entreprises américaines et neuf agences fédérales. SolarWinds et les programmes Microsoft ont été utilisés pour attaquer les autres.

Les dirigeants ont plaidé pour une plus grande transparence et un partage d’informations sur les violations, avec des protections en matière de responsabilité et un système qui ne punit pas ceux qui se manifestent, à l’instar des enquêtes sur les catastrophes aériennes.

Le président de Microsoft, Brad Smith, et d’autres ont déclaré à la commission spéciale du Sénat américain sur le renseignement que la véritable portée des dernières intrusions est encore inconnue, car la plupart des victimes ne sont pas légalement tenues de divulguer des attaques à moins qu’elles ne concernent des informations sensibles sur des individus.

Le chef de la direction de FireEye, Kevin Mandia, dont la société a été la première à découvrir les pirates informatiques, le chef de la direction de SolarWinds Sudhakar Ramakrishna, dont le logiciel de la société a été détourné par les espions pour s’introduire dans une foule d’autres organisations, et le chef de la direction de CrowdStrike, George Kurtz, ont également témoigné. dont la société aide SolarWinds à se remettre de la violation.

«Il est impératif pour le pays d’encourager et parfois même d’exiger un meilleur partage d’informations sur les cyberattaques», a déclaré Smith.

Smith a déclaré que de nombreuses techniques utilisées par les pirates n’ont pas été révélées et que «l’attaquant a peut-être utilisé jusqu’à une douzaine de moyens différents pour accéder aux réseaux de victimes au cours de l’année écoulée».

Microsoft a révélé la semaine dernière que les pirates avaient pu lire le code source étroitement surveillé de la société pour savoir comment ses programmes authentifiaient les utilisateurs. Chez de nombreuses victimes, les pirates ont manipulé ces programmes pour accéder à de nouvelles zones à l’intérieur de leurs cibles.

Smith a souligné qu’un tel mouvement n’était pas dû à des erreurs de programmation de la part de Microsoft, mais à de mauvaises configurations et à d’autres contrôles de la part du client, y compris des cas «où les clés du coffre-fort et de la voiture étaient laissées à l’air libre».

Dans le cas de CrowdStrike, les pirates ont utilisé un fournisseur tiers de logiciels Microsoft, qui avait accès aux systèmes CrowdStrike, et ont essayé, mais sans succès, d’accéder aux e-mails de l’entreprise.

Kurtz de CrowdStrike a rejeté la faute sur Microsoft pour son architecture complexe, qu’il a qualifiée de «désuète».

«L’acteur de la menace a profité des faiblesses systémiques de l’architecture d’authentification Windows, lui permettant de se déplacer latéralement dans le réseau» et d’atteindre l’environnement cloud tout en contournant l’authentification multifactorielle, indique le communiqué préparé par Kurtz.

Là où Smith a fait appel à l’aide du gouvernement pour fournir des instructions correctives aux utilisateurs du cloud, Kurtz a déclaré que Microsoft devrait se tourner vers sa propre maison et résoudre les problèmes avec son Active Directory et Azure largement utilisés.

«Si Microsoft abordait les limitations de l’architecture d’authentification autour d’Active Directory et d’Azure Active Directory, ou passait à une méthodologie totalement différente, un vecteur de menace considérable serait complètement éliminé de l’une des plates-formes d’authentification les plus utilisées au monde», a déclaré Kurtz.

Alex Stamos, ancien responsable de la sécurité de Facebook et Yahoo consultant maintenant pour SolarWinds, a convenu avec Microsoft que les clients qui partagent leurs ressources entre leurs propres locaux et le cloud de Microsoft sont particulièrement à risque, car les pirates informatiques expérimentés peuvent faire des va-et-vient, et devraient passer entièrement à le nuage.

Mais il a ajouté dans une interview: «Il est également trop difficile d’exécuter Azure ID (logiciel cloud) en toute sécurité, et la complexité du produit crée de nombreuses opportunités pour les attaquants d’augmenter les privilèges ou de masquer l’accès.»