Lexipedia

23.1051 · Question · 2023-09-28

Parlement

Liquidé

Wortlaut

Une agence gouvernementale américaine non nommée a découvert au mois de juin des accès illégaux à ses comptes dans le nuage Azure de Microsoft. Une enquête a montré que des cybercriminels chinois avaient réussi à voler une clé Master Key de Microsoft et à en faire une utilisation abusive. Microsoft a dû admettre par la suite que la clé donnait non seulement accès à des comptes de messagerie, mais aussi à des comptes requérant une authentification personnelle comme Sharepoint, le logiciel de conférence Teams, OneDrive ou des applications client avec login Microsoft. Il n’est pas exclu qu’une partie de l’infrastructure d’informatique en nuage soit encore compromise du point de vue de la sécurité.

Récemment, les services de messagerie des parlementaires ont été migrés vers Office365 et la bureautique des Services du Parlement vers le nuage de Microsoft.

  1. Comment les Services du Parlement évaluent-ils l’ampleur de l’incident pour le fonctionnement du Palais fédéral ?

  2. Les Services du Parlement disposent-ils de droits pour auditer le fournisseur ?

  3. Les fichiers journaux supplémentaires que Microsoft a mis à la disposition de ses clients ont-ils été analysés ? Qu’a-t-on découvert ?

  4. Quelles actions les Services du Parlement ont-ils engagées afin de détecter une éventuelle compromission des applications de Microsoft ?

Stellungnahme des Bundesrates

Depuis 2021, les boîtes aux lettres électroniques des parlementaires – mais pas celles des collaborateurs et collaboratrices des Services du Parlement – se trouvent dans le nuage de Microsoft ; le stockage des données en Suisse est garanti par contrat. Dans le cadre du groupe de produits Microsoft 365, d’autres outils, tels que Teams et les applications de la suite bureautique de Microsoft, sont également à la disposition des membres des conseils.

En adoptant, le 1er septembre 2023, les principes applicables au traitement des données dans le nuage, la Délégation administrative (DA) a confirmé la licéité de cette forme de traitement des données dans le nuage, pour autant qu’il ne s’agisse pas d’informations classées « CONFIDENTIEL » ou « SECRET » ou de données personnelles sensibles. Sont notamment autorisées l’utilisation de Microsoft 365 et la tenue de séances de commission en ligne avec Teams, en application de l’art. 45b LParl, qui entrera en vigueur le 4 décembre 2023.

Dans l’incident mentionné ci-dessus, dont la cause a déjà pu être éliminée par Microsoft, un groupe de pirates informatiques chinois a réussi à se procurer une clé principale (Master Key) interne de Microsoft et à accéder ainsi de manière illégale à des comptes de messagerie Outlook – uniquement en Amérique du Nord. Microsoft a donné des informations à ce sujet en juillet 2023 et les résultats de l’enquête menée sur cette attaque, connue sous le nom de « Storm-0558 Key Acquisition », ont été publiés en septembre 2023.

Si les Services du Parlement n’ont pas été touchés par cet incident, Microsoft les en a malgré tout informés. Ni les comptes de messagerie des parlementaires ni ceux des collaborateurs et collaboratrices des Services du Parlement n’ont été compromis.

En collaboration avec Swisscom, les Services du Parlement surveillent 24 heures sur 24 et 7 jours sur 7 aussi bien le « tenant » (nuage) PARL de Microsoft 365 que les systèmes de serveurs internes. Swisscom est chargée d’analyser – et donc habilitée à le faire – tous les fichiers journaux afin d’y détecter d’éventuelles anomalies et, si nécessaire, d’intervenir. Un audit interne du « tenant » PARL réalisé en octobre 2023 n’a pas révélé d’irrégularités, et l’équipe de surveillance de Swisscom n’a pas non plus signalé d’anomalies au cours des dernières semaines.

Microsoft fait régulièrement l’objet d’audits par des entreprises indépendantes et les rapports relatifs à ces audits sont publiés. Enfin, il convient de relever que les Services du Parlement ne disposent pas d’un droit d’audit direct.