Microsoft victime de la plus grosse fuite de données confidentielles de son histoire!

D’après un rapport éponyme publié par Verizon Data Breach Investigations, les fuites d’origine interne représenteraient 34 % des vols de données en entreprise en 2020. Comme l’avouait volontiers Christopher Slowe, directeur technique de Reddit, au moment d’expliquer le hack dont avait était victime son entreprise en février dernier : « Nous le savons tous, les humains sont souvent la partie la plus faible de la chaîne de sécurité ». En d’autres termes rien ne sert de renforcer ses digues si l’on n’est pas d’abord maître à bord car les dangers son grands et en voici la preuve.

Cette nouvelle affaire, qui s’annonce déjà comme la mésaventure de l’année pour Microsoft, a été révélée par hasard lors d’un contrôle de routine des employés de Wizz, l’une des principales start-up dédiée à la cyber-sécurité. Alors qu’ils analysaient un dépôt Github – comprenez un site d’hébergement open source – sur lequel les développeurs du service IA de Microsoft partageaient leurs éléments de travail, les équipes de Wizz sont tombés sur un URL permettant le téléchargement de 38 téraoctets – !!! – de données privées de l’entreprise. Tout simplement la plus grosse quantité de data leakés de l’histoire du géant américain.

La tambouille interne

Une mine d’informations en tout genre où l’on retrouve notamment les mots de passe de service utilisés par les employés, la sauvegarde des PC personnels de deux d’entre eux, un accès total aux modèles d’IA pour la reconnaissance d’images sur lesquels ils travaillaient et plus de 30 000 messages internes envoyés par 359 salariés via la messagerie Teams. Une interface souvent utilisée pour communiquer ses observations sur un projet en cours auprès de ses collègues. En bref, des informations dont seuls les employés de l’entreprise étaient sensés avoir connaissance.

Les agents contractés par Wiz auraient alerté Microsoft dès le 22 juin dernier en indiquant que l’URL en question exposait des données remontant jusqu’à 2020. De leur côté, les équipes de l’entreprise ont révoqué l’accès au serveur deux jours plus tard. Une enquête ultérieure, rapportée par Microsoft dans un communiqué, a conclu que la violation n’avait en rien affecté ses clients en réaffirmant qu’« aucunes données concernant des personnes extérieurs à l’entreprise n’avaient été exposée ».

Cette révélation intervient alors que Microsoft est en pleine procédure judiciaire contre la FTC – la Federal Trade Commission –, le grand vigile américain de la concurrence, qui tente de suspendre son acquisition de l’éditeur de jeux vidéo Activision. Une tuile en a donc appelé une autre. Soucieuse de se laver de tout soupçon concernant cette fuite, au timing quelque peu douteux, la FTC a précisé, via un tweet de son représentant Douglas Farrar, qu’elle n’était en aucun cas « responsable du téléchargement des projets de Microsoft concernant ses jeux et consoles ». On est rassurés.

Xbox’ sneak peak

Un enseignement majeur – et la concurrence les en remercie – de ce hack concerne la prochaine console de salon développée par Microsoft. Le tout dans un contexte de guerre commerciale acharnée avec Sony et sa Playstation pour s’accaparer les parts d’un marché qui ne cesse croître. En épluchant la montagne de données à sa disposition, Stephen Tolito, un insider bien informé du milieu, en a conclu que le constructeur américain plancherait sur une « console de jeu hybride pour 2028 » qui privilégierait le Cloud Gaming afin de proposer une « immersion toujours plus profonde et des expériences de jeu entièrement nouvelles ». Pour rappel, le cloud gaming, qui a déjà métamorphosé l’industrie, permet de jouer à des jeux vidéo sur différents supports sans que ceux-ci soient à l’origine du traitement graphique. Plus besoin de support physique, donc, il suffit juste d’un accès à une connexion internet et d’un écran sur lequel jouer.

Ce choix stratégique s’inscrit complètement dans la politique mise en place par Microsoft ces dernières années. Selon les statistiques partagées par la CMA – Competition and Markets Authority –, Microsoft Xbox Cloud Gaming représentait entre 20 et 30% du marché en 2021. L’année suivante, le service était parvenu à s’accaparer entre 60 et 70% de parts, loin devant Sony qui en totalisait 10 à 20% sur la même année. Un « monopole » en puissance que le constructeur japonais, prévenu désormais de l’offensive de Microsoft, semble mieux armé à contester.

Des failles exposées…

Afin de bien montrer – à ses actionnaires – qu’il a compris la leçon, le géant étasunien a annoncé qu’il étendait son service de surveillance des modifications du code open source public sur GitHub dans l’objectif de détecter l’exposition des informations d’identification et autres données confidentielles, y compris le partage de jetons SAS qui sont, pour le moment, beaucoup trop permissifs.

Pour comprendre l’enjeu de sécurité relatif autour de ces fameux jetons, il faut rappeler que le serveur à l’origine de cette hack était bel et bien privé et administré par Azure Storage, le service de Microsoft dédié au stockage des données dans le GitHub. Sa protection, quant à elle, était assurée par ce mécanisme appelé « token SAS » – Shared Access Signature –, qui permet la création d’un lien partageable autorisant l’accès au serveur. Plus le lien circule librement dans la « nature », plus le risque de piratage informatique est grand pour le serveur qu’il représente.

… et maintenant ?

Pour Ami Luttwak, cofondateur et directeur de la technologie de Wiz, il est clair que plusieurs nouvelles mesures de sécurité sont nécessaires pour éviter que de telles situations ne se reproduisent : « L’IA offre un énorme potentiel aux entreprises technologiques. Cependant, alors que les data scientists et les ingénieurs se précipitent pour mettre en production de nouvelles solutions d’IA, les énormes quantités de données qu’ils manipulent nécessitent des contrôles de sécurité et des garanties supplémentaires ». Pourtant, l’entrepreneur américain comprend parfaitement que ces plateformes qui visent à partager les progrès d’un projet en cours sont particulièrement compliquées à contrôler : « Comme de nombreuses équipes de développement ont besoin de manipuler des quantités massives de données, de les partager avec leurs pairs ou de collaborer sur des projets open source, des cas comme celui de Microsoft deviennent de plus en plus difficiles à surveiller et à prévenir ».

Cette affaire sert de nouvel électrochoc pour nous rappeler que l’explosion technologique et culturelle que provoque aujourd’hui l’IA, à l’ère du big data qui plus est, exige des mesures strictes pour mieux contrôler et protéger les données lorsqu’elles circulent dans les pipelines complexes et poreux de l’intelligence artificielle. Repousser les limites de la technologie ne doit pas se faire au détriment des citoyens numériques que nous sommes. Inversement, rien ne sert de tout mettre sur le dos des employés.

L’année dernière, la société de cyber-sécurité Tessian publiait une étude qui nous apprenait qu’un salarié sur quatre avait perdu son emploi au cours des 12 derniers mois après avoir compromis la sécurité de son entreprise. Cependant, ces incidents résultent généralement d’une simple erreur humaine dûe à un manque de formation sur la manière de traiter les informations sensibles. Une politique de sensibilisation à ces questions trop souvent défaillante et qu’il revient d’imputer à l’entreprise elle-même. Aucune de ces raisons ne justifie qu’une organisation ne cloue au pilori l’employé à l’origine de la violation. Comme à toutes les étapes de la vie d’un projet à base d’IA, sachons raisons garder messieurs les chefs de service.