Microsoft Storm-0558

En juillet 2023, Microsoft révèle qu’un acteur du renseignement chinois, qu’elle suit sous le nom de Storm-0558, a obtenu une clé cryptographique privée utilisée pour signer les jetons du service d’identité grand public de l’entreprise. Par le biais d’une faille de validation distincte, l’acteur a pu se servir de cette clé grand public pour forger des jetons d’accès à des environnements Microsoft 365 d’entreprise — pour n’importe quel tenant, sans jamais toucher au réseau du client.

L’email du Département d’État

Les jetons forgés sont utilisés pour accéder aux comptes email d’une vingtaine d’organisations, dont le Département d’État américain et le bureau de la secrétaire au Commerce Gina Raimondo, alors en pleine visite diplomatique à Pékin. Le Département d’État lui-même détecte l’activité grâce à une analyse de logs personnalisée qu’il avait payée à Microsoft en supplément ; sans cela, la journalisation par défaut de Microsoft n’aurait pas levé l’alerte.

Un long débat sur ce qui s’est passé

Le premier post-mortem de Microsoft attribue la compromission de la clé à une chaîne de défaillances : un dump de crash qui n’aurait pas dû contenir la clé, un environnement de débogage qui n’aurait pas dû ingérer le dump, et une étape de validation qui n’aurait pas dû accepter un jeton signé par une clé grand public dans un contexte d’entreprise. Le rapport ultérieur du Cyber Safety Review Board américain est plus sévère, qualifiant la cascade d’« enchaînement d’erreurs évitables » et d’intrusion qui aurait pu être empêchée.

Ce que la chronique retient

Storm-0558 a fait de l’infrastructure d’identité cloud un sujet de débat national. Cela a aussi entraîné des changements durables — journalisation de niveau supérieur gratuite pour tous les clients Microsoft 365, examen plus profond des pratiques de gestion des clés, et une Secure Future Initiative publique visant à traiter structurellement la classe de défaillance décrite par le CSRB.