Microsoft a étendu les capacités de journalisation gratuite pour tous les clients de Purview Audit Standard, y compris les agences fédérales américaines, six mois après avoir révélé que des pirates informatiques chinois avaient volé des courriels du gouvernement américain sans être détectés lors d’une violation d’Exchange Online entre mai et juin 2023.
La société travaille avec CISA, le Bureau de la gestion et du budget (OMB) et le Bureau du Directeur national de la cybercriminalité (ONCD) depuis qu’elle a divulgué l’incident pour s’assurer que les agences fédérales ont désormais accès à toutes les données de journalisation nécessaires pour détecter des attaques similaires à l’avenir.
« À partir de ce mois-ci, la journalisation étendue sera disponible pour toutes les agences utilisant Microsoft Purview Audit, quel que soit le niveau de licence », indique un communiqué de presse publié aujourd’hui.
« Microsoft activera automatiquement les journaux dans les comptes clients et augmentera la période de conservation des journaux par défaut de 90 jours à 180 jours. De plus, ces données fourniront une nouvelle télémétrie pour aider davantage d’agences fédérales à répondre aux exigences de journalisation prescrites par le mémorandum M-21-31 de l’OMB. »
Le nouveau changement s’aligne également sur les directives Secure by Design de CISA, qui stipulent que tous les fournisseurs de technologie doivent fournir des « journaux d’audit de haute qualité » sans nécessiter de configuration supplémentaire ni de frais supplémentaires.
« L’été dernier, nous avons été heureux de constater l’engagement de Microsoft à mettre la journalisation nécessaire à la disposition des agences fédérales et de la communauté de la cybersécurité au sens large. Je suis heureux que nous ayons fait de réels progrès vers cet objectif », a déclaré Eric Goldstein, Directeur adjoint exécutif de CISA pour la cybersécurité.
« Chaque organisation a droit à une technologie sûre et sécurisée, et nous continuons de progresser vers cet objectif. »
Comptes Outlook piratés pour au moins 25 organisations
En juillet, Microsoft a révélé qu’un groupe de piratage chinois suivi par Storm-0558 avait accédé et volé les données Exchange Online Outlook d’environ 25 organisations, y compris des agences gouvernementales américaines et d’Europe occidentale.
Comme révélé plus tard, les auteurs de la menace ont utilisé une clé de consommateur de compte Microsoft (MSA) volée dans un vidage sur incident Windows pour falsifier des jetons d’authentification et accéder à des comptes de messagerie ciblés via Outlook Web Access dans Exchange Online (OWA) et Outlook.com.
Alors que les pirates ont pour la plupart échappé à la détection, certaines agences fédérales américaines affectées ont identifié l’activité malveillante à l’aide d’une journalisation améliorée (c’est-à-dire des événements accessibles aux éléments de messagerie).
Cependant, ces fonctionnalités de journalisation avancées n’étaient disponibles que pour les clients disposant des licences de journalisation Purview Audit (Premium) de Microsoft, ce qui a conduit Redmond à être critiqué pour avoir empêché les organisations de détecter rapidement les attaques de Storm-0558.
Suite à la divulgation de l’incident et sous la pression de CISA, Microsoft a accepté d’élargir l’accès aux données de journalisation gratuitement pour permettre aux défenseurs du réseau de repérer des tentatives de violation similaires à l’avenir.
Des mois après l’incident, des responsables du Département d’État américain ont révélé que les pirates informatiques chinois Storm-0558 avaient volé au moins 60 000 courriels provenant de comptes Outlook appartenant à des responsables du Département d’État après avoir violé la plate-forme de messagerie en ligne Exchange basée sur le cloud de Microsoft.
« Microsoft ne mérite aucun éloge pour avoir cédé à la pression et annoncé qu’il ne facturerait plus à ses clients des frais supplémentaires pour des fonctionnalités de base telles que les journaux de sécurité », a déclaré aujourd’hui à CyberScoop le sénateur américain Ron Wyden.
« Comme un pyromane vendant des services de lutte contre les incendies, Microsoft a profité des vulnérabilités de ses propres produits et a bâti une entreprise de sécurité générant des dizaines de milliards de dollars par an. Il n’y a pas d’exemple plus clair de la nécessité de tenir les éditeurs de logiciels responsables de leur cybersécurité négligente. »