Microsoft s’est engagé mercredi à offrir à tous ses clients un accès gratuit aux journaux de sécurité du nuage, une fonction habituellement réservée aux clients privilégiés. Cette décision fait suite à des informations selon lesquelles des courriels hébergés sur des serveurs en nuage du gouvernement auraient fait l’objet d’une tentative de piratage de la part de la Chine.

Dans un billet de blog datant de 2023, Microsoft a détaillé ses plans pour élargir l’accès à ce service afin de « renforcer la sécurité inhérente » de ses plateformes en nuage « à la lumière de l’escalade et de l’évolution des cybermenaces émanant d’États-nations ».

Les clients qui utilisent l’offre standard de Microsoft Purview Audit bénéficieront d’une extension de leur période de conservation par défaut de 90 à 180 jours.

Bien que les journaux ne puissent pas directement prévenir les attaques, Microsoft a souligné leur valeur dans la réponse aux incidents et la criminalistique numérique, en aidant à faire la distinction entre un comportement normal et un comportement suspect de l’utilisateur.

Cette décision, a déclaré Microsoft, est le résultat d’une collaboration intensive avec des clients commerciaux et gouvernementaux et avec l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA). La CISA aurait demandé que l’industrie rende davantage de comptes sur les questions de cybersécurité.

Lire aussi : « Naviguer dans la cybersécurité : Le programme pilote de Google pour renforcer la confiance des utilisateurs »

La directrice de la CISA, Jen Easterly, a qualifié cette décision de « progrès dans la bonne direction ». Dans un billet de blog sur le site web de la CISA applaudissant la décision, Eric Goldstein, directeur adjoint exécutif de l’organisation pour la cybersécurité, a fait référence à la récente violation de Microsoft Exchange Online.

M. Goldstein a expliqué que les données d’enregistrement ont aidé l’agence touchée par la violation à identifier l’intrusion dans les services de messagerie en nuage de Microsoft et à mettre en place des mesures de contrôle des dommages. Il a déclaré que la facturation des données d’enregistrement « constitue un obstacle à une visibilité approfondie lors des enquêtes sur les incidents de cybersécurité ».

L’attaque, que Microsoft a identifiée comme étant centrée sur l’espionnage et liée à un groupe de menace basé en Chine connu sous le nom de Storm-O558, a été détectée par l’agence Federal Civilian Executive Branch (FCEB). Parmi les victimes confirmées figurent la secrétaire américaine au commerce, Gina Raimondo, et plusieurs autres fonctionnaires du département d’État et du département du commerce. Les attaquants auraient eu accès au compte pendant environ un mois avant d’être détectés le 16 juin 2023.

Microsoft a indiqué que le groupe de menace falsifiait des jetons Azure Active Directory (AD) à l’aide d’une clé de signature de consommateur de compte Microsoft (MSA) détournée, ce qui a été rendu possible grâce à une faille dans le code de validation de Microsoft. Une clé mal utilisée a permis à l’équipe spécialisée de Microsoft de surveiller toutes les demandes d’accès émanant du groupe de menace.

Vendredi, Microsoft a avoué qu’elle ne savait toujours pas comment les pirates s’étaient emparés de la clé de signature permettant d’accéder au compte et a déclaré que l’enquête était « toujours en cours ».

La société a également révélé qu’elle avait observé le passage de Storm-0558 à d’autres méthodes, ce qui suggère que la capacité du groupe à utiliser des clés de signature a été entravée par les défenses de cybersécurité. ®