Il y a quelques jours, Reuters révélait que Microsoft aurait passé sous silence un piratage d’une de ses bases de données contenant des informations sensibles, survenu en 2013. Cette base de données contenait non seulement des informations sur les vulnérabilités et bugs sur des produits Microsoft pour lesquels des corrections devaient être faites, mais surtout les systèmes informatiques des clients Microsoft dans lesquels ces vulnérabilités existaient. Pour des cybercriminels planifiant des attaques ciblées et APT, il ne pouvait y avoir d’informations plus précieuses que celles-ci ! La preuve par l’exemple : Les récentes attaques WannaCry et Petya/NotPetya qui ont causées tant de dégâts, utilisaient une vulnérabilité dans des serveurs Microsoft qui ont été corrigés 3 mois avant que WannaCry ne commence à se répandre.

Notons tout de même que Microsoft a satisfait aux exigences de sécurité nécessaires (à ce moment-là) et que la société n’avait pas obligation de divulguer plus d’informations…

Techniquement, le piratage de cette base de données interne de Microsoft résulte probablement d’une mauvaise protection se traduisant par un simple accès via un mot de passe. Une aubaine pour des pirates compétents. Cet incident met en évidence deux problèmes principaux. Premièrement, la base de données interne pour le suivi des bogues devrait être l’une des bases de données les plus protégées de l’entreprise, car elle contient non seulement des détails sur les vulnérabilités non corrigées, mais également sur les systèmes informatiques de clients qui sont vulnérables. Le deuxième problème concerne la sécurité de l’infrastructure propre aux développeurs. Bien que des normes pertinentes telles que les Critères Communs couvrent cela, il est clair que la cybersécurité n’est pas une priorité absolue pour les développeurs de logiciels. Cette faille devrait servir d’avertissement.

Les mots de passe ne suffisent plus à protéger ce type de bases de données critiques. Une approche plus efficace consisterait à exiger une surveillance plus précise et une analyse automatique des activités des utilisateurs en temps réel. Cela permet de créer une authentification continue qui peut raccourcir de manière conséquente la découverte de brèches et de menaces et ainsi éviter aux entreprises ce type de failles aux conséquences potentiellement très lourdes.

Mais tant qu’un contrôle plus rigoureux et une surveillance de l’activité des utilisateurs ne seront pas imposés par des exigences de conformité, il sera difficile de faire appliquer au sein des entreprises.

 

__________
Csaba Krasznay est Security Evangelist chez Balabit