Comment une faille dans le cloud a donné aux espions chinois la clé du royaume de Microsoft

Feb 10, 2024

Andy Greenberg

Pour la plupart des professionnels de l’informatique, la transition vers le cloud a été une aubaine. Au lieu de protéger vos données vous-même, laissez les experts en sécurité de Google ou de Microsoft les protéger. Mais lorsqu’une seule clé volée peut permettre aux pirates informatiques d’accéder aux données cloud de dizaines d’organisations, ce compromis commence à paraître beaucoup plus risqué.

Mardi soir, Microsoft a révélé qu'un groupe de hackers basé en Chine, baptisé Storm-0558, avait fait exactement cela. Le groupe, qui se concentre sur l'espionnage contre les gouvernements d'Europe occidentale, avait accédé aux systèmes de messagerie Outlook basés sur le cloud de 25 organisations, dont plusieurs agences gouvernementales.

Ces cibles englobent les agences gouvernementales américaines, notamment le Département d'État, selon CNN, bien que les responsables américains s'efforcent toujours de déterminer l'ampleur et les conséquences de ces violations. Un avis de l'Agence américaine de cybersécurité et de sécurité des infrastructures indique que la faille, détectée à la mi-juin par une agence gouvernementale américaine, a volé des données de courrier électronique non classifiées « d'un petit nombre de comptes ».

La Chine pirate sans relâche les réseaux occidentaux depuis des décennies. Mais cette dernière attaque utilise une astuce unique : Microsoft affirme que les pirates ont volé une clé cryptographique qui leur permet de générer leurs propres « jetons » d'authentification, des chaînes d'informations destinées à prouver l'identité d'un utilisateur, leur donnant libre cours sur des dizaines de comptes clients Microsoft.

"Nous accordions notre confiance aux passeports et quelqu'un a volé une machine à imprimer les passeports", explique Jake Williams, un ancien hacker de la NSA qui enseigne aujourd'hui à l'Institute for Applied Network Security de Boston. « Pour un magasin aussi grand que Microsoft, avec autant de clients touchés – ou qui auraient pu être touchés par cela – c'est sans précédent. »

Dans les systèmes cloud basés sur le Web, les navigateurs des utilisateurs se connectent à un serveur distant et, lorsqu'ils saisissent des informations d'identification telles qu'un nom d'utilisateur et un mot de passe, ils reçoivent un peu de données, appelées jetons, provenant de ce serveur. Le jeton sert comme une sorte de carte d'identité temporaire qui permet aux utilisateurs d'aller et venir à leur guise dans un environnement cloud tout en ne ressaisissant qu'occasionnellement leurs informations d'identification. Pour garantir que le jeton ne peut pas être usurpé, il est signé cryptographiquement avec une chaîne unique de données appelée certificat ou clé que possède le service cloud, une sorte de sceau d'authenticité infalsifiable.

Lexi Pandell

Reid McCarter

Angela Coupe-Eau

Julien Chokkattu

Microsoft, dans son article de blog révélant les failles d'Outlook en Chine, a décrit une sorte de panne en deux étapes de ce système d'authentification. Premièrement, les pirates ont réussi à voler une clé que Microsoft utilise pour signer des jetons pour les utilisateurs grand public de ses services cloud. Deuxièmement, les pirates ont exploité un bug dans le système de validation des jetons de Microsoft, qui leur a permis de signer des jetons grand public avec la clé volée, puis de les utiliser pour accéder à des systèmes d'entreprise. Tout cela s'est produit malgré la tentative de Microsoft de vérifier les signatures de différentes clés pour ces différentes qualités de jeton.

Microsoft affirme avoir bloqué tous les jetons signés avec la clé volée et remplacé la clé par une nouvelle, empêchant ainsi les pirates d'accéder aux systèmes des victimes. L'entreprise ajoute qu'elle s'est également efforcée d'améliorer la sécurité de ses « systèmes de gestion des clés » depuis le vol.

Mais on ne sait pas exactement comment une clé aussi sensible, permettant un accès aussi large, a pu être volée. WIRED a contacté Microsoft, mais la société a refusé de commenter davantage.

En l'absence de plus de détails de la part de Microsoft, une théorie sur la façon dont le vol s'est produit est que la clé de signature de jetons n'a en fait pas été volée à Microsoft, selon Tal Skverer, qui dirige les recherches chez Astrix, qui a publié plus tôt cette année. année a découvert un problème de sécurité des jetons dans le cloud de Google. Dans les anciennes configurations d'Outlook, le service est hébergé et géré sur un serveur appartenant au client plutôt que dans le cloud de Microsoft. Cela aurait pu permettre aux pirates informatiques de voler la clé de l'une de ces configurations « sur site » sur le réseau d'un client.