Microsoft perd des semaines de logs de sécurité pour ses services cloud

Imaginez que pendant plus de deux semaines, les caméras de surveillance de votre maison étaient éteintes à votre insu. C'est un peu ce qui est arrivé à Microsoft et à ses clients utilisant certains de ses produits cloud entre le 2 et le 19 septembre 2023. Un bug dans un agent de surveillance interne a provoqué un dysfonctionnement empêchant le téléchargement des logs de sécurité sur la plateforme d'enregistrement de Microsoft.

Cette panne, qui selon Microsoft n'est pas liée à un incident de sécurité, n'a affecté que la collecte des événements de log. Mais les conséquences peuvent être importantes pour les clients concernés, qui se retrouvent sans données critiques pour détecter d'éventuelles intrusions sur leurs réseaux pendant cette période. Parmi les produits touchés figurent Microsoft Entra, Sentinel, Defender for Cloud et Purview.

Un trou noir dans la surveillance de la sécurité

Les logs de sécurité sont essentiels pour garder une trace des événements au sein d'un produit ou d'un système, comme les informations sur les connexions des utilisateurs et les tentatives échouées. Ils permettent aux équipes de sécurité d'identifier des activités suspectes pouvant indiquer une intrusion. Sans ces données, il devient beaucoup plus difficile de repérer des accès non autorisés aux réseaux des clients pendant ces deux semaines.

Bien que Microsoft assure que l'incident a été causé par un "bug opérationnel" et non une faille de sécurité, les clients affectés "ont pu subir des lacunes potentielles dans les logs ou événements liés à la sécurité, ce qui pourrait affecter leur capacité à analyser les données, détecter les menaces ou générer des alertes de sécurité", selon la notification envoyée.

Des antécédents de logs manquants préoccupants

Ce n'est malheureusement pas la première fois que Microsoft se retrouve dans ce genre de situation. L'année dernière, l'entreprise avait été critiquée par des enquêteurs fédéraux américains pour avoir retenu des logs de sécurité à certains départements du gouvernement hébergeant leurs emails sur son cloud gouvernemental sécurisé.

Les enquêteurs avaient déclaré que l'accès à ces logs aurait pu permettre d'identifier beaucoup plus tôt une série d'intrusions soutenues par la Chine, baptisées Storm-0558. Ces pirates étaient parvenus à s'introduire dans le réseau de Microsoft et à voler une clé numérique leur donnant un accès illimité aux emails gouvernementaux américains stockés dans le cloud de Microsoft.

Selon un rapport officiel sur cette cyberattaque, seul le département d'État avait pu identifier les intrusions car il payait une licence Microsoft de niveau supérieur lui donnant accès aux logs de sécurité, contrairement à de nombreuses autres agences gouvernementales piratées.

Microsoft promet plus de transparence sur les logs

Suite à ces piratages soutenus par la Chine, Microsoft avait annoncé qu'il fournirait les logs à ses clients cloud moins bien lotis à partir de septembre 2023. Une promesse qui prend un goût amer à la lumière de cette nouvelle panne massive de collecte de logs de sécurité.

Cet incident souligne une fois de plus l'importance cruciale des logs de sécurité et de la surveillance dans le cloud. Les entreprises doivent pouvoir compter sur la continuité et l'intégrité de ces données pour protéger efficacement leurs systèmes et détecter rapidement toute activité malveillante.

Espérons que Microsoft tirera les leçons de ces événements et renforcera la résilience et la transparence de ses services de logs de sécurité, un maillon essentiel de la chaîne de cybersécurité pour ses clients cloud. Car dans le monde numérique d'aujourd'hui, quelques semaines dans le noir peuvent suffire pour une intrusion dévastatrice.