Une autorité gouvernementale américaine critique la cybersécurité défaillante de Microsoft

Le Cyber Safety Review Board (CSRB), comité consultatif rattaché au département de la Sécurité intérieure des États-Unis, a publié, le 2 avril 2024, un rapport sur la campagne de cyber-espionnage chinoise qui a visé Microsoft Exchange Online en 2023. Le président américain Joe Biden avait lui-même mandaté le CSRB pour enquêter sur cette affaire.

En juillet 2023, Microsoft avait admis que le groupe cybercriminel Storm-0558, considéré comme affilié à la Chine, avait infiltré l’infrastructure d’Exchange Online. Le piratage, ciblé, visait les boîtes e-mail de 22 organisations et de 500 individus dans le monde, dont de hauts responsables politiques américains. La secrétaire au Commerce Gina Raimondo et l’ambassadeur des États-Unis en Chine, Nicholas Burns, faisaient notamment partie des victimes.

Dans son rapport, le CSRB se montre sévère avec Microsoft, en estimant notamment que l’intrusion était « évitable ». Il pointe en particulier « une série de décisions opérationnelles et stratégiques », mettant en évidence « une culture d’entreprise […] et une gestion des risques en contradiction avec le niveau de confiance que les clients accordent à l’entreprise pour protéger leurs données et opérations ».

Pour le comité consultatif, le plus inquiétant reste le fait que Microsoft ignore toujours comment les cybercriminels ont pu infiltrer son service de messagerie. Le rapport du CSRB propose également des recommandations pour les fournisseurs de cloud, afin qu’ils améliorent leur niveau de cyberprotection contre des opérations d’espionnage.