« Microsoft a mis en place des contrôles de sécurité autour de l’identité, comme l’accès conditionnel et les journaux, mais ce mécanisme de jeton d’impression interne les contourne tous », déclare Michael Bargury, directeur technique de la société de sécurité Zenity. « Il s’agit de la vulnérabilité la plus importante que l’on puisse trouver dans un fournisseur d’identité, car elle permet de compromettre totalement n’importe quel locataire de n’importe quel client.
Si la vulnérabilité avait été découverte par des pirates informatiques malveillants ou était tombée entre leurs mains, les conséquences auraient pu être dévastatrices.
« Nous n’avons pas besoin de deviner quel aurait pu être l’impact ; nous avons vu il y a deux ans ce qui s’est passé lorsque Storm-0558 a compromis une clé de signature qui leur permettait de se connecter en tant que n’importe quel utilisateur sur n’importe quel locataire », explique M. Bargury.
Bien que les détails techniques soient différents, Microsoft a révélé en juillet 2023 que le groupe de cyberespionnage chinois connu sous le nom de Storm-0558 avait volé une clé cryptographique qui lui permettait de générer des jetons d’authentification et d’accéder aux systèmes de messagerie Outlook basés sur le cloud, y compris ceux appartenant à des départements du gouvernement américain.
Réalisé sur plusieurs mois, un post-mortem de Microsoft sur l’attaque Storm-0558 a révélé plusieurs erreurs qui ont permis au groupe chinois d’échapper aux défenses du cloud. Cet incident de sécurité s’inscrit dans une série de problèmes rencontrés par Microsoft à cette époque. Ces problèmes ont incité l’entreprise à lancer son « Secure Future Initiative », qui a étendu les protections des systèmes de sécurité de l’informatique en nuage et fixé des objectifs plus ambitieux pour répondre aux divulgations de vulnérabilités et publier des correctifs.
M. Mollema affirme que Microsoft s’est montrée extrêmement réactive face à ses conclusions et a semblé en saisir l’urgence. Il souligne toutefois que ses conclusions auraient pu permettre à des pirates malveillants d’aller encore plus loin qu’ils ne l’ont fait dans l’incident de 2023.
« Avec cette vulnérabilité, il suffit de s’ajouter en tant qu’administrateur privilégié le plus élevé du locataire pour avoir un accès total », explique M. Mollema. Tout service Microsoft « pour lequel vous utilisez EntraID, qu’il s’agisse d’Azure, de SharePoint ou d’Exchange, aurait pu être compromis par cette vulnérabilité ».
Cet article a été publié à l’origine sur wired.com.