Le sénateur Wyden lance une enquête de la FTC sur Microsoft concernant les vulnérabilités des ransomwares

Par Sandos en Sécurité informatique

Se traduisent par :

Le sénateur américain Ron Wyden a officiellement demandé à la Federal Trade Commission (FTC) d'enquêter sur Microsoft pour ce qu'il qualifie de « grave négligence en matière de cybersécurité » suite à une attaque par rançongiciel contre le prestataire de soins de santé Ascension. L'inquiétude du sénateur porte sur la manière dont les configurations logicielles par défaut de Microsoft auraient exposé des réseaux d'infrastructures critiques à des attaques.

Table des matières

Le déclencheur : la brèche d'Ascension et les vulnérabilités techniques

Aperçu de l'incident : L'année dernière, Ascension, un important système de santé, a été victime d'une attaque par rançongiciel menée par le groupe Black Basta , touchant près de 5,6 millions de personnes . Cette attaque a entraîné un vol de données et une perturbation des dossiers médicaux électroniques.
Vecteur initial : Un sous-traitant travaillant pour Ascension a cliqué sur un lien malveillant découvert via le moteur de recherche Bing de Microsoft. Ce clic a déclenché des réactions en chaîne qui ont permis aux attaquants d'exploiter les paramètres par défaut non sécurisés des logiciels Microsoft.
Faiblesse logicielle par défaut : Selon la lettre du sénateur, les logiciels Microsoft incluent des paramètres par défaut dangereusement peu sûrs. L’un des principaux problèmes réside dans la prise en charge du chiffrement RC4 par le protocole d’authentification Kerberos. RC4 est un chiffrement ancien jugé non sécurisé par la recherche cryptographique. Bien qu’obsolète sur de nombreux systèmes modernes, il est resté activé par défaut chez Microsoft. Cela a permis aux attaquants d’utiliser une technique appelée Kerberoasting pour extraire les identifiants des comptes de service d’Active Directory.

Spécificités techniques : Kerberoasting, chiffrements par défaut et faiblesses exploitables

Explication du Kerberoasting : Dans un environnement Active Directory, les comptes de service dotés de noms principaux de service (SPN) demandent des tickets Kerberos. Si ces tickets sont chiffrés avec des algorithmes de chiffrement faibles comme RC4, un attaquant peut les obtenir, puis lancer des attaques hors ligne (par exemple, force brute ou cryptanalyse) pour récupérer les identifiants ou les secrets du compte de service en clair. Dans ce cas précis, le cabinet Wyden affirme que la faille a utilisé ces tickets protégés par RC4.

RC4 Matters : RC4 (Rivest Cipher 4), un chiffrement par flux développé à la fin des années 1980, est connu depuis des décennies pour ses vulnérabilités : biais dans son flux de clés et vulnérabilité à la récupération de texte en clair. Les organismes de normalisation (par exemple, l'IETF) interdisent son utilisation dans les canaux sécurisés, notamment TLS, depuis le milieu des années 2010 en raison de ces failles. Microsoft a néanmoins inclus la prise en charge de RC4 par défaut dans Kerberos, ce qui, selon Wyden, « expose inutilement » les clients lorsque des mots de passe faibles sont utilisés.

Force des mots de passe et comptes de service : Le sénateur souligne également que Microsoft n'applique pas de politiques de mots de passe forts (par exemple, 14 caractères minimum, mots de passe générés aléatoirement) pour les comptes de service, ni n'exige l'utilisation de chiffrements plus puissants (AES-128 ou AES-256) pour le chiffrement des tickets de service Kerberos lorsque des SPN sont impliqués. Ces politiques faibles, combinées à un chiffrement par défaut faible, augmentent le risque de compromission des identifiants.

Mesures d'atténuation recommandées par Microsoft : En réponse à la lettre de Wyden, Microsoft a publié des directives et annoncé son intention de supprimer progressivement l'utilisation de RC4. Elle a également décrit des mesures telles que l'utilisation de comptes de services gérés de groupe (gMSA) ou de comptes de services gérés délégués (dMSA), l'audit des comptes avec SPN, la mise à jour des algorithmes de chiffrement des tickets et la définition de mots de passe forts et générés aléatoirement pour les comptes privilégiés. Microsoft a également indiqué que RC4 sera désactivé par défaut pour les nouveaux domaines Active Directory utilisant Windows Server 2025 à compter du premier trimestre 2026.

Allégations réglementaires et politiques

La critique du sénateur Wyden va au-delà d'une simple violation. Dans sa lettre de quatre pages adressée au président de la FTC, Andrew Ferguson, il accuse Microsoft d'un problème systémique : une « culture de cybersécurité négligente », aggravée par son quasi-monopole sur les systèmes d'exploitation d'entreprise. Wyden utilise un langage métaphorique acerbe, qualifiant Microsoft d'« incendiaire vendant des services de lutte contre les incendies à ses victimes ».
La lettre affirme que les configurations par défaut de Microsoft (activation d'un chiffrement hérité et non sécurisé par défaut, et politiques de mots de passe laxistes) ont, au fil du temps, affaibli les protections de base dans de nombreuses organisations, notamment celles du secteur de la santé et des infrastructures critiques. L'idée est que la négligence des paramètres par défaut et de la configuration ne constitue pas seulement un problème informatique, mais aussi une préoccupation de sécurité nationale.

La réponse de Microsoft

Reconnaissance du caractère obsolète de RC4 et du fait que Microsoft déconseille son utilisation « dans la conception de ses logiciels et dans la documentation destinée à ses clients ». L'entreprise affirme que moins de 0,1 % de son trafic utilise encore RC4. Cependant, Microsoft craint également que la désactivation complète et immédiate de RC4 n'entraîne des problèmes de compatibilité avec les environnements existants.

Microsoft s'est engagé à supprimer progressivement la prise en charge de RC4, tout en continuant à fournir des avertissements et des conseils rigoureux à ses clients. De plus, Microsoft précise que les nouveaux domaines AD de Windows Server 2025 désactiveront, par défaut, le chiffrement RC4.

Évaluation des risques de sécurité

Surface d'attaque et conséquences en cascade : Lorsque les éditeurs de logiciels autorisent un chiffrement faible par défaut ou des politiques de mots de passe faibles, ils constituent une cible facile pour les attaquants. Même les administrateurs système soucieux de la sécurité peuvent hériter de configurations autorisant le RC4 ou autorisant des identifiants faibles, en particulier dans les environnements où la continuité et la compatibilité des systèmes existants sont primordiales.
Exploitations de vulnérabilités : Les attaques Kerberoasting ne sont pas spéculatives ; elles sont connues, documentées et ont été utilisées avec succès lors de multiples incidents de violation. Une fois les identifiants des comptes de service compromis, les attaquants peuvent se déplacer latéralement, élever leurs privilèges et accéder à des ressources sensibles. Dans le secteur de la santé, cela peut inclure les données de santé personnelles, les dispositifs médicaux IoT et les infrastructures critiques.
Conséquences réglementaires et de confiance : Microsoft étant profondément ancré dans de nombreuses infrastructures et environnements d'entreprise critiques, toute défaillance dans la configuration de la sécurité par défaut transfère automatiquement la charge de la défense aux organisations qui manquent parfois d'expertise, de ressources ou de visibilité pour détecter ces faiblesses. L'atteinte à la réputation et le risque de responsabilité sont considérables.

Implications réglementaires

L'accusation du sénateur Wyden soulève d'importantes questions concernant la responsabilité du fait des produits , les paramètres de sécurité par défaut et la responsabilité des fournisseurs . Dans quelle mesure les fournisseurs de logiciels devraient-ils être tenus responsables des défauts de sécurité non sécurisés ?
Des outils réglementaires, comme le pouvoir de la FTC d'enquêter sur les « actes ou pratiques déloyaux ou trompeurs », pourraient être appliqués aux cas de négligence en matière de sécurité logicielle. Si Microsoft est reconnu coupable de négligence, cela pourrait créer un précédent quant à la réglementation des configurations par défaut, des normes de chiffrement et des exigences en matière de mots de passe dans les logiciels largement utilisés.
Il existe également une question normative plus large : sécurité par défaut ou sécurité par option . La position de Wyden implique que les valeurs par défaut devraient privilégier la sécurité, avec des mots de passe plus robustes, la dépréciation des algorithmes cryptographiques faibles et des configurations sécurisées intégrées, et non des options optionnelles.

La lettre du sénateur Wyden à la FTC met en lumière la convergence entre cybersécurité, réglementation et responsabilité des entreprises. La faille Ascension est plus qu'un incident isolé ; elle illustre comment des défauts logiciels largement répandus, des normes de chiffrement faibles et une compatibilité héritée peuvent se combiner pour déclencher des attaques de grande ampleur contre des infrastructures critiques.

Alors que Microsoft commence à supprimer progressivement les chiffrements non sécurisés et à publier des recommandations, la question centrale reste de savoir si les mécanismes réglementaires exigeront des changements plus rapides, appliqueront de meilleures valeurs par défaut et tiendront les fournisseurs responsables des risques qu'ils engendrent. Cette question mérite un examen attentif, non seulement de la part des chercheurs en sécurité, mais aussi des régulateurs, des entreprises clientes et du grand public.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région