Non classé

La comédie d'erreurs qui a permis à des hackers soutenus par la Chine de voler la clé de signature de Microsoft

Microsoft

En mars 2021, Microsoft a révélé une cyberattaque massive qui a compromis son logiciel de messagerie Exchange Server et affecté des dizaines de milliers d'organisations à travers le monde. L'attaque, attribuée à un groupe de piratage parrainé par l'État chinois connu sous le nom de Hafnium, a exploité quatre vulnérabilités jusqu'alors inconnues du serveur Exchange pour accéder aux comptes de messagerie, voler des données et installer des logiciels malveillants.

Microsoft
Microsoft

Mais l'attaque a également eu une autre conséquence, plus alarmante : des pirates ont réussi à voler la clé de signature de Microsoft, utilisée pour vérifier l'authenticité et l'intégrité des mises à jour logicielles. Cela signifiait que les pirates pouvaient utiliser la clé volée pour signer du code malveillant et le distribuer sous forme de mises à jour légitimes à des utilisateurs peu méfiants.

Comment est-ce arrivé? Comment une entreprise sophistiquée comme Microsoft a-t-elle pu perdre le contrôle d’un actif aussi critique ? Et qu’est-ce que cela signifie pour la sécurité des chaînes d’approvisionnement en logiciels ?

La réponse réside dans une comédie d’erreurs impliquant des erreurs humaines, des échecs techniques et des échecs organisationnels. Voici quelques-uns des facteurs clés qui ont contribué à cette violation sans précédent :

– Microsoft a utilisé un certificat auto-signé pour ses mises à jour Exchange Server, plutôt qu'un certificat émis par une autorité externe de confiance. Cela a permis aux pirates informatiques de se faire passer pour Microsoft et d'inciter les utilisateurs à installer des mises à jour malveillantes.

– Microsoft a stocké sa clé de signature sur un serveur connecté à Internet, plutôt que de l'isoler dans un environnement hors ligne sécurisé. Cela exposait la clé à une compromission potentielle par toute personne pouvant accéder au serveur.

– Microsoft n'a pas mis en œuvre de contrôles de sécurité adéquats sur son serveur de signature, tels que le cryptage, l'authentification, la journalisation et la surveillance. Cela a permis aux pirates d'accéder au serveur sans être détectés et de modifier ses paramètres.

– Microsoft n'a pas suivi le principe du moindre privilège, qui consiste à accorder uniquement le niveau minimum d'accès nécessaire à chaque utilisateur ou processus. Au lieu de cela, il a donné à son serveur de signature tous les privilèges administratifs, permettant aux pirates d'exécuter des commandes arbitraires et de voler la clé.

– Microsoft ne disposait pas d’un plan de réponse aux incidents robuste qui l’aurait aidé à détecter, contenir et atténuer l’attaque. Il a fallu plusieurs semaines à Microsoft pour découvrir la faille et en informer ses clients, laissant ainsi aux pirates suffisamment de temps pour exploiter la clé volée.

Ces erreurs illustrent comment un seul maillon faible peut compromettre toute une chaîne d’approvisionnement logicielle et mettre en danger des millions d’utilisateurs. Ils soulignent également la nécessité pour les développeurs et les fournisseurs de logiciels d'adopter les meilleures pratiques pour protéger leurs clés et leurs processus de signature, telles que :

– Utilisez des certificats d’autorités accréditées qui appliquent des politiques strictes de vérification et de révocation.

– Stockage des clés de signature dans des modules de sécurité matériels (HSM) qui assurent une protection physique et logique contre les accès non autorisés.

– Mettre en œuvre des contrôles de sécurité tels que le cryptage, l’authentification, la journalisation et la surveillance sur les serveurs et réseaux de signature.

– Suivez le principe du moindre privilège et appliquez le principe de défense en profondeur, ce qui signifie utiliser plusieurs couches de sécurité pour protéger les actifs critiques.

– Disposez d’un plan de réponse aux incidents clair et complet qui comprend des tests et des mises à jour régulières.

Le vol de la clé de signature de Microsoft a été un signal d'alarme pour l'industrie du logiciel et un rappel de l'importance de protéger les chaînes d'approvisionnement en logiciels. En tirant les leçons de cet incident et en appliquant ces bonnes pratiques, les développeurs et fournisseurs de logiciels peuvent empêcher des attaques similaires à l'avenir et garantir la fiabilité de leurs produits.