Un rapport cinglant publié mardi par un comité d'examen nommé par l'administration Biden a révélé une série d'erreurs de Microsoft qui ont permis aux cyber-opérateurs chinois soutenus par l'État de violer les comptes de messagerie de hauts responsables américains, y compris la secrétaire au Commerce Gina Raimondo. Le Cyber Safety Review Board, créé en 2021, a critiqué les pratiques de sécurité, la culture et la transparence de Microsoft dans le traitement de la violation ciblée, qui a affecté plusieurs agences américaines traitant avec la Chine.

Le panel a décrit la culture de sécurité de Microsoft comme inadéquate et nécessitant une refonte complète, compte tenu du rôle essentiel de l'entreprise dans l'écosystème technologique mondial. Il a déclaré que l'intrusion, découverte en juin par le département d'État et remontant à mai, était évitable et n'aurait jamais dû se produire en raison d'une cascade d'erreurs évitables. Étonnamment, Microsoft ne sait toujours pas comment les pirates ont obtenu l'accès.

Le rapport détaillait comment des pirates chinois soutenus par l'État ont violé le courrier électronique Microsoft Exchange Online de 22 organisations et de plus de 500 personnes dans le monde, y compris l'ambassadeur des États-Unis en Chine et plusieurs entités gouvernementales étrangères. Le panel a accusé Microsoft d'avoir fait des déclarations publiques inexactes au sujet de l'incident et s'est dit préoccupé par un piratage distinct attribué à des pirates informatiques russes soutenus par l'État.

En réponse au rapport, Microsoft a reconnu la nécessité de mesures de sécurité renforcées et s'est engagé à renforcer ses systèmes contre les cybermenaces. La société a déclaré que les événements récents ont mis en évidence la nécessité d'adopter une nouvelle culture de la sécurité de l'ingénierie au sein de ses réseaux et a mobilisé ses équipes d'ingénierie pour améliorer les processus et faire respecter les repères de sécurité.

Les recommandations du conseil incluaient d'exhorter Microsoft à mettre fin à l'ajout de fonctionnalités à son environnement de cloud computing jusqu'à ce que des améliorations substantielles en matière de sécurité soient apportées. Il a également appelé le PDG et le conseil d'administration de Microsoft à mettre en oeuvre un changement culturel rapide, à partager publiquement un plan de réformes axées sur la sécurité et à appliquer des pratiques rigoureuses de gestion des risques dans l'ensemble de l'entreprise et de ses produits.

Dans l'ensemble, le rapport a souligné le besoin urgent pour Microsoft de remédier à ses lacunes en matière de sécurité et de donner la priorité à la protection des services essentiels qui soutiennent la sécurité nationale, l'économie, la santé et la sécurité publiques.