Le géant technologique Microsoft a récemment fait face à un incident de sécurité majeur affectant ses services cloud. Pendant plus de deux semaines, du 2 au 19 septembre, un bug dans l’un de ses agents de surveillance internes a entraîné un dysfonctionnement lors du téléchargement des données de logs vers sa plateforme interne, laissant de nombreux clients sans informations essentielles pour détecter d’éventuelles intrusions.
Un manque de visibilité préoccupant pour les clients
Cette panne de journalisation a touché plusieurs produits clés de Microsoft, notamment Entra, Sentinel, Defender for Cloud et Purview. Les clients utilisant ces solutions ont été privés de données de logs de sécurité pendant cette période, limitant considérablement leur capacité à analyser l’activité sur leur réseau, détecter les menaces potentielles et générer des alertes.
Bien que Microsoft ait assuré que l’incident n’était pas lié à une cyberattaque mais à un simple bug, ce manque de visibilité reste très préoccupant. En effet, les logs de sécurité sont essentiels pour identifier rapidement toute tentative d’accès non autorisé ou comportement suspect. Sans ces informations, les équipes de sécurité des entreprises se retrouvent démunies face aux risques d’intrusion.
Un problème récurrent chez Microsoft
Malheureusement, ce n’est pas la première fois que Microsoft est pointé du doigt pour sa gestion des logs de sécurité. L’année dernière déjà, l’entreprise avait été critiquée par les enquêteurs fédéraux américains pour avoir retenu certains logs concernant des départements gouvernementaux hébergés sur son cloud sécurisé.
À l’époque, des hackers chinois avaient réussi à s’introduire dans le réseau de Microsoft et à dérober une « clé numérique » leur donnant un accès sans restriction aux emails gouvernementaux. Le Département d’État américain avait pu identifier l’intrusion uniquement grâce à sa licence Microsoft de niveau supérieur lui donnant accès aux logs, contrairement à de nombreuses autres agences piratées.
Les logs sont vitaux pour tout analyste en cybersécurité – ils contiennent les traces numériques laissées par les attaquants. Sans eux, c’est naviguer à l’aveugle.
– Kevin Beaumont, chercheur en sécurité
Des mesures correctives à mettre en place d’urgence
Suite à cet incident, Microsoft a déclaré avoir corrigé le bug en annulant un changement de service. La société a également communiqué avec tous les clients impactés et s’est engagée à leur fournir l’assistance nécessaire. Néanmoins, il est primordial que l’entreprise revoie en profondeur ses processus de logging et de partage d’informations avec ses clients.
Voici quelques mesures clés à mettre en place :
- Revoir les niveaux d’accès aux logs pour tous les clients, quelle que soit leur licence
- Mettre en place des systèmes de sauvegarde et de redondance des logs
- Améliorer la détection des bugs et anomalies dans les agents de surveillance
- Renforcer la transparence et la communication avec les clients en cas d’incident
Avec le cloud computing occupant une place de plus en plus centrale dans les systèmes informatiques des entreprises et des gouvernements, il est essentiel que les fournisseurs comme Microsoft soient irréprochables en matière de sécurité et de gestion des logs. Toute faille peut avoir des conséquences dramatiques, comme l’a montré le piratage mené par des hackers chinois l’an dernier.
Espérons que cet incident serve de piqûre de rappel à Microsoft et à l’ensemble de l’industrie. La sécurité dans le cloud n’est pas un détail qu’on peut négliger ou réserver à certains clients privilégiés, c’est un impératif pour tous à l’heure du tout numérique. À l’avenir, une plus grande transparence et réactivité seront attendues de la part du géant de Redmond.
