Le Congrès demande des réponses au patron de Microsoft après une « cascade » d’erreurs de sécurité

Le Congrès demande des réponses au patron de Microsoft après une « cascade » d’erreurs de sécurité
Le Congrès demande des réponses au patron de Microsoft après une « cascade » d’erreurs de sécurité
-

Le président de Microsoft, Brad Smith, est interrogé par le comité de la sécurité intérieure après le piratage de comptes de messagerie fédéraux. (Reuters/Dado Ruvic)

Le Comité de la sécurité intérieure de la Chambre interroge Brad Smith, président de Microsoftjeudi sur les projets du géant du logiciel pour améliorer sa sécurité après une série de piratages dévastateurs qui ont touché les comptes de messagerie de fonctionnaires fédéraux, remettre en question l’aptitude de l’entreprise en tant qu’entrepreneur gouvernemental dominant.

L’interrogatoire fait suite à un rapport cinglant sur l’une de ces lacunes, où le Commission fédérale d’examen de la cybersécurité a constaté que l’événement était possible grâce à « une cascade d’erreurs évitables » et une culture de sécurité « qui nécessite une refonte complète ».

Lors de ce piratage, des agents présumés du Ministère chinois de la Sécurité d’État créé l’année dernière clés numériques à l’aide d’un outil qui leur permettait de se faire passer pour n’importe quel client existant de Microsoft. À l’aide de l’outil, ils se sont fait passer pour 22 organisations, dont les départements d’État et du commerce des États-Unis, et ont examiné le courrier électronique de la secrétaire au Commerce, Gina Raimondo.entre autres.

L’événement a déclenché les critiques les plus virulentes à l’encontre du puissant fournisseur fédéral depuis des décennies et a conduit des entreprises rivales et certains décideurs politiques à faire pression pour que le gouvernement soit moins dépendant de sa technologie. Deux sénateurs ont écrit à Pentagone le mois dernier, demandant pourquoi l’agence envisage d’améliorer la sécurité des technologies non classifiées du Département de la Défense avec licences Microsoft plus cher qu’avec des fournisseurs alternatifs.

“La cybersécurité devrait être une fonctionnalité logicielle essentielle, et non une fonctionnalité premium que les entreprises vendent aux gouvernements et aux entreprises disposant de gros budgets”, ont écrit les chercheurs. Les sénateurs Eric Schmitt (R-Mo.) et Ron Wyden (D-Ore.). « Par leur pouvoir d’achat, les stratégies et les standards des DOD « Ils ont le pouvoir de façonner des stratégies d’entreprise qui se traduisent par des services de cybersécurité plus résilients. »

Tout changement sérieux dans les dépenses du pouvoir exécutif prendrait des années, mais les dirigeants du gouvernement département de la Sécurité intérieure Ils affirment que des plans sont en cours pour ajouter des garanties et des exigences de sécurité à davantage d’achats gouvernementaux, une idée promue dans le rapport américain. Microsoft de la Comité d’examen de la cybersécurité. Le rapport révèle que les exigences actuelles « n’exigent pas systématiquement des pratiques robustes » pour authentifier les utilisateurs.

Les sénateurs remettent en question la dépendance du Pentagone à l’égard de la technologie Microsoft pour améliorer la sécurité des données non classifiées. (Gratuit)

Le président du comité, Mark Green (R-Tenn.)a déclaré avant l’audience qu’« il est désormais de la responsabilité du Congrès d’examiner la réponse du Microsoft à ce rapport. Nous devons restaurer la confiance du peuple américain, qui dépend des produits américains. Microsoft tous les jours.”

Dans un témoignage écrit présenté mercredi, Forgeron a répété des déclarations antérieures saluant les conclusions du Commission d’examen et s’engager à faire mieux. Forgeron a promu une initiative de sécurité à l’échelle de l’entreprise qui a amené 1 600 ingénieurs sécurité au cours de l’exercice en cours et ajoutera d’autres 800 postes l’année prochaine.

Forgeron a déclaré que l’entreprise avait fait de la sécurité sa priorité absolue à l’échelle de l’entreprise et qu’elle se conformerait aux recommandations du Commission d’examen tant pour l’entreprise que pour l’industrie en général.

Microsoft accepte la responsabilité de chacun des problèmes cités dans le rapport CSRB», a-t-il témoigné. Forgeron.

Le témoignage a fait sourciller certains professionnels de la sécurité qui a marqué le lancement ce mois-ci par Microsoft d’une caractéristique de les fenêtres appel Rappelqui prend des captures d’écran de la plupart des activités sur un ordinateur personnel toutes les quelques secondes et les stocke pour faciliter la recherche d’actions passées.

Même si Microsoft a déclaré que les utilisateurs ne pourraient voir que leur propre historique et qu’autrement, ils resteraient cryptés et stocké localementles experts l’ont qualifié de trésor pour les intrus électroniques. Ils ont allégué que toute personne disposant de droits d’administration sur une machine pourrait espionner d’autres utilisateurs et qu’un pirate informatique pourrait exporter et lire des fichiers, y compris des journaux de mots de passe financiers et des messages cryptés, s’il parvenait à s’introduire par effraction..

Après avoir refusé de commenter ces informations pendant plus d’une semaine, Microsoft Il a dit qu’il ne livrerait pas le logiciel avec Rappel inclus automatiquement, comme prévu, et cela nécessiterait une authentification supplémentaire de la part de l’utilisateur pour l’activer.

Dans son témoignage écrit, Forgeron Il a cité ce changement comme exemple des efforts redynamisés de l’entreprise en matière de sécurité.

(c) 2024, Le Washington Post

-

PREV Ils paient 150 mille dollars à l’heureux propriétaire de ce billet de 1 dollar
NEXT Mt. Gox a transféré 2,7 milliards de dollars de BTC vers une nouvelle adresse de portefeuille