Le sénateur américain Ron Wyden a appelé à la responsabilité après les attaques de ransomware de santé exposées aux vulnérabilités de Windows que Microsoft connaissait depuis plus d’une décennie.
Le sénateur américain Ron Wyden a officiellement demandé à la Federal Trade Commission enquêter sur Microsoft pour ce qu’il a qualifié de «négligence brute de cybersécurité» qui avait permis de répartir les attaques de ransomware contre les infrastructures critiques, y compris les organisations de soins de santé.
Dans une lettre de quatre pages au président de la FTC, Andrew Ferguson, le démocrate de l’Oregon a documenté comment les décisions d’ingénierie logicielle de Microsoft avaient permis des attaques de ransomwares.
« Microsoft est devenu comme un incendiaire vendant des services de lutte contre les incendies à leurs victimes », a écrit Wyden dans la lettre, arguant que la société avait construit une activité de cybersécurité rentable tout en laissant simultanément ses produits principaux vulnérables à l’attaque.
La lettre a présenté une étude de cas détaillée de l’attaque de ransomware de février 2024 contre Ascension Health qui a compromis 5,6 millions de dossiers de patients, démontrant comment les configurations de sécurité par défaut de Microsoft ont permis aux pirates de passage d’un ordinateur portable infecté unique à une violation à l’échelle de l’organisation.
Quand un clic a fait tomber un système hospitalier
L’attaque d’ascension a commencé lorsqu’un entrepreneur utilisant un ordinateur portable Ascension a cliqué sur un lien malveillant à partir d’un résultat de recherche Microsoft Bing. Le malware s’est répandu latéralement via le réseau d’Ascension, compromettant finalement les comptes administratifs sur le serveur Microsoft Active Directory de l’organisation.
Les pirates ont exploité une technique appelée Kerberoasting, qui a exploité le support par défaut continu de Microsoft pour le cryptage RC4 – une technologie des années 1980 contre laquelle les agences fédérales avaient mis en garde contre plus d’une décennie.
« C’est exactement ce qui s’est déroulé dans le cas de l’Ascension, où une faible boule de neige par défaut a fait une catastrophe de ransomwares », a déclaré Sanchit Vir Gogia, analyste en chef et PDG de Greyhound Research.
« En raison des décisions dangereuses d’ingénierie logicielle de Microsoft, que la société a largement caché ses clients d’entreprise et gouvernementaux, une seule personne dans un hôpital ou une autre organisation en cliquant sur le mauvais lien peut rapidement entraîner une infection à ransomware à l’échelle de l’organisation », a écrit Wyden dans la lettre.
La réalité technique derrière les échecs
Les experts en sécurité ont longtemps critiqué la dépendance de Microsoft à l’égard des normes de cryptage obsolètes. « RC4 aurait dû être retiré il y a longtemps, mais il se cache toujours dans Active Directory et continue d’activer des attaques comme Kerberoasting », a noté Gogia.
La justification de Microsoft a été centrée sur les problèmes de compatibilité en arrière. « La ligne de Microsoft a été que le désactiver la nuit pourrait briser les systèmes plus anciens », a expliqué Gogia. «Cela peut être vrai, mais après plus d’une décennie d’avertissements, l’argument est devenu de plus en plus difficile à soutenir.»
Wyden a détaillé comment «la prise en charge continue de Microsoft pour la technologie de chiffrement RC4 ancienne et peu sûre expose inutilement ses clients à des ransomwares et à d’autres cyber-menaces en permettant des pirates qui ont eu accès à n’importe quel ordinateur sur un réseau d’entreprise pour casser les mots de passe des comptes privilégiés utilisés par les administrateurs.»
L’activité de sécurité de 20 milliards de dollars
La division de sécurité de Microsoft génère désormais plus de 20 milliards de dollars par an, dont une grande partie à partir de fonctionnalités qui ont commis des lacunes dans les principaux produits de l’entreprise. «Des fonctionnalités telles que la journalisation avancée, que beaucoup supposaient faisant partie du produit de base, se sont assis derrière des licences premium jusqu’à ce que le piratage en ligne échange ait forcé Microsoft à développer l’accès», a observé Gogia.
Wyden a fait valoir que «au lieu de livrer des logiciels sécurisés à ses clients, Microsoft a créé une entreprise secondaire de plusieurs milliards de dollars vendant des services complémentaires de cybersécurité aux organisations qui peuvent se le permettre.»
Cela a créé ce que les clients d’entreprise ont décrit comme un problème à double dossier. « C’est pourquoi les DSI décrivent le sentiment comme étant facturés deux fois – une fois pour la plate-forme, et encore une fois pour la tranquillité d’esprit », a déclaré Gogia.
Wyden a capturé cette dynamique avec ses critiques pointues: «À ce stade, Microsoft est devenu comme un incendiaire vendant des services de lutte contre les incendies à leurs victimes.»
Promesses cassées et pression réglementaire
Lorsque le personnel de Wyden a informé les hauts responsables de Microsoft au sujet de la menace de kerberoasting en juillet 2024, la lettre a ajouté, ils «ont spécifiquement demandé que Microsoft publie et publie des conseils clairs en anglais simple afin que les cadres supérieurs comprennent ce cyber-risque grave et évitable».
La réponse de Microsoft n’a pas réussi, la publication des conseils comme «un article de blog hautement technique sur un domaine obscur du site Web de l’entreprise un vendredi après-midi». La société a également promis de publier une mise à jour logicielle désactivant le cryptage RC4, mais onze mois plus tard, « Microsoft n’a pas encore publié cette mise à jour de sécurité promise », a noté Wyden.
Les implications réglementaires sont restées incertaines. « Un cas de FTC complet contre Microsoft sur la base de défauts faibles semble toujours peu probable », a déclaré Gogia. Cependant, il a noté que «le rapport du Cyber Sécurité Review de l’année dernière complique le tableau. Il a conclu que la culture de sécurité de Microsoft était inadéquate et a accusé la société d’erreurs évitables dans une violation par e-mail du gouvernement».
Ce que font les Cisos maintenant
Les dirigeants de la sécurité des entreprises n’attendaient pas que Microsoft ou les régulateurs agissent. « Les CISO agissent déjà comme si les points de Wyden étaient prouvés », a déclaré Gogia. «Ils désactivent le RC4 manuellement, obligeant les mots de passe plus longs pour les comptes de service et poussent l’authentification multi-facteurs à tous les niveaux.»
Les organisations utilisaient de plus en plus des contrats d’approvisionnement comme effet de levier. «Les contrats commencent à inclure des clauses exigeant des rapports de configuration et des protections de référence», a noté Gogia. «Dans certains cas, les charges de travail sont menacées de migration à moins que ces termes ne soient respectés.»
Implications à l’échelle de l’industrie
Les implications de l’enquête de Wyden pourraient remodeler la façon dont l’ensemble de l’industrie du logiciel aborde la sécurité. « Si les préoccupations de Wyden gagnent du terrain, les implications s’étendent au-delà de Microsoft », a déclaré Gogia. «Traiter les défauts d’insécurité comme une négligence changerait la façon dont les logiciels sont construits et vendus.»
Wyden s’est terminé par un avertissement frappant: «Microsoft a complètement échoué ou même ralentir le fléau des ransomwares rendu en place par son logiciel dangereux», et a averti que «la culture de la cybersécurité négligente de Microsoft, combinée à sa monopolisation de fait de fait en fait sur le marché du système d’exploitation d’entreprise, pose une menace nationale grave et rend les hacks supplémentaires inévitables».
Comme Gogia a résumé: «La violation de l’ascension est devenue un point de ralliement: un réglage négligé peut éliminer une industrie entière, donc les défauts ne sont plus fiables.»
Microsoft n’a pas immédiatement répondu à une demande de commentaires.
