Lexipedia

23.1050 · Question · 2023-09-28

Chancellerie fédérale

Liquidé

Wortlaut

Une agence gouvernementale américaine non nommée a découvert au mois de juin des accès illégaux à ses comptes dans le nuage Azure de Microsoft. Une enquête a montré que des cybercriminels chinois avaient réussi à voler une clé Master Key de Microsoft et à en faire une utilisation abusive. Microsoft a dû admettre par la suite que la clé donnait non seulement accès à des comptes de messagerie, mais aussi à des comptes requérant une authentification personnelle comme Sharepoint, le logiciel de conférence Teams, OneDrive ou des applications client avec login Microsoft. Il n’est pas exclu qu’une partie de l’infrastructure d’informatique en nuage soit encore compromise du point de vue de la sécurité.

  1. Comment le Conseil fédéral évalue-t-il l’ampleur de l’incident pour l’administration fédérale ?

  2. La Confédération dispose-t-elle de droits pour auditer le fournisseur ?

  3. Les fichiers journaux supplémentaires que Microsoft a mis à la disposition de ses clients ont-ils été analysés ? Qu’a-t-on découvert ?

  4. Quelles actions le Conseil fédéral a-t-il engagées afin de détecter une éventuelle compromission des applications de l’administration déjà migrées dans le nuage Microsoft ?

  5. Quel impact a cette attaque aboutie contre Microsoft sur le passage déjà décidé de la bureautique à Office365 ?

Stellungnahme des Bundesrates

Selon la déclaration écrite de la société Microsoft du 11 août 2023, l’administration fédérale ne fait pas partie des victimes de l’incident Storm 0558, ce que confirme l’enquête interne en l’état actuel.Microsoft accorde à ses clients un droit d’audit contractuel qui leur permet, si nécessaire, de faire vérifier le traitement des données par des experts indépendants et leur donne accès aux rapports d’audit internes de Microsoft.Oui, les fichiers journaux ont été vérifiés par les prestataires internes. Aucune compromission des comptes de la Confédération n’a été constatée. Il n’y a actuellement aucune application M365 en environnement infonuagique productif. Un monitorage du trafic de données et une analyse des fichiers journaux ont été réalisés préventivement et sont désormais intégrés à l’organisation d’exploitation du fournisseur de prestations interne. Toutes les clés de signature Microsoft (MSA) actives avant l’incident, y compris celle achetée par l’attaquant, ont été invalidées. Microsoft a corrigé l’erreur de conception dans le processus de validation au moyen de jetons. L’administration fédérale a pris des mesures d’urgence pour améliorer la communication interne en cas d’incident de sécurité. Le NCSC, le secteur TNI et l’OFIT organisent actuellement un système d’alerte dans le contexte de l’infrastructure en nuage.L’incident Storm 0558 n’a pas d’impact sur la décision de déployer M365. L’interdiction de traiter des informations sensibles (au sens de la LPD) ou confidentielles (au sens de l’OPrl ou de la LSI à partir du 01.01.2024) dans le nuage informatique avait déjà été prise avant, et le projet CEBA propose des moyens organisationnels et techniques à cet effet.