Brad Smith, de Microsoft, admet que l’entreprise n’a pas toujours réussi à sécuriser ses produits dans le passé et promet que les choses vont changer.
Smith, dirigeant de Microsoft, a été sommé par la Commission de la sécurité intérieure des États-Unis de venir expliquer la situation. L’année dernière, des pirates chinois ont réussi à s’introduire dans les serveurs de messagerie des employés du gouvernement américain via Microsoft Exchange Online. Le gouvernement a pris au sérieux l’incident et a rédigé un rapport alarmant pour Microsoft. Smith a dû se présenter au nom de Microsoft pour expliquer.
Dans son témoignage écrit, Smith avait déjà exprimé son regret même avant le début de l’audience. « Microsoft accepte la responsabilité de chacune des questions soulevées à propos du piratage d’Exchange, sans aucun doute ni hésitation », a écrit Smith. Lors de l’audience, il a aussi reconnu que son entreprise n’avait pas été à la hauteur dans cet incident.
Les affaires avant la sécurité
Le récent piratage d’Exchange n’est pas du tout le seul reproche que l’on peut faire à Microsoft. Depuis des années, les experts du secteur de la sécurité dénoncent les politiques de sécurité parfois laxistes du géant du logiciel. ProPublica a publié jeudi un témoignage détaillé d’un ancien employé sur le rôle douteux joué par Microsoft dans le tristement célèbre piratage de SolwarWinds en 2020.
Andrew Harris a travaillé dans l’équipe de sécurité de Microsoft jusqu’à quelques mois avant le piratage. Un travail peu gratifiant à l’époque, selon le témoignage de Harris. En 2016, il aurait identifié une vulnérabilité potentiellement grave dans Azure AD FS, un produit Microsoft permettant de se connecter au cloud Azure. Harris a averti les dirigeants de l’entreprise que la vulnérabilité donnerait aux intrus la clé pour s’introduire dans les environnements cloud des clients via un serveur sur site.
Mais l’avertissement disparaît dans à cause du disinterêt. À l’époque, Microsoft, sous l’impulsion de son PDG Satya Nadella, était en train de se transformer en une entreprise » cloud-first » et voulait rivaliser pour un contrat lucratif avec le gouvernement américain. Craignant que la reconnaissance de la vulnérabilité ne nuise à la réputation de la division cloud, alors naissante, la vulnérabilité a été cachée.
Après avoir essayé sans succès pendant quatre ans, Harris a démissionné en août 2020 et est passé à CrowdStrike, frustré par le fait que Microsoft faisait passer ses intérêts commerciaux avant la sécurité. Peu de temps après, la bombe SolarWinds explosait. Smith devait déjà se représenter devant le Congrès américain en 2021, mais il a réussi à transformer cette situation en une histoire positive sur la rapidité avec laquelle Microsoft a réagi au piratage.
Axée sur la sécurité
Cette fois, Smith a été plus modeste et a reconnu que Microsoft avait commis des erreurs. Microsoft aurait aussi appris de ces erreurs et serait devenue une entreprise « axée sur la sécurité ». « Nous nous engageons pleinement à suivre toutes les recommandations et à utiliser ce rapport comme une opportunité et une base pour renforcer notre cybersécurité dans tous les domaines », a déclaré Smith.
Et ces mots semblent peser lourdement. Le PDG Satya Nadella a déjà envoyé un mémo aux employés : « Si vous devez faire un compromis entre la sécurité et une autre priorité, la réponse est claire : privilégiez la sécurité. » Par ailleurs, la récente controverse autour de Windows Recall fait douter que Microsoft ait vraiment appris des choses.