Microsoft supprime des millions de locataires Azure inactifs dans le cadre d'une refonte massive de la sécurité du cloud

Microsoft a annoncé une vaste série de mises à niveau de sécurité cloud dans le cadre de son initiative « Secure Future Initiative » (SFI), incluant la suppression de 6,3 millions de locataires Azure inactifs et une refonte complète du stockage et de la gestion des jetons d'identité. Ces mises à niveau font suite à une attaque dévastatrice d'un État-nation qui a exploité les faiblesses de l'infrastructure d'identité de Microsoft et a suscité une surveillance gouvernementale intense.

Protection des clés basée sur le matériel pour prévenir les exploits futurs

Au cœur de cette initiative se trouve une modification structurelle de la gestion par Microsoft de ses clés de signature de compte Microsoft (MSA) et de jetons Entra ID. Ces clés, essentielles à l'authentification des utilisateurs sur les services cloud de Microsoft, ont été transférées vers des modules de sécurité matériels (HSM) ou des machines virtuelles confidentielles Azure avec rotation automatique des clés. Cette modification vise à empêcher une répétition de la faille de 2021, lors de laquelle des attaquants ont accédé à une clé de signature client sensible à partir d'un vidage sur incident trouvé dans le compte professionnel d'un ingénieur compromis.

Charlie Bell, responsable de la sécurité chez Microsoft, a déclaré que cinq des 28 objectifs SFI étaient presque atteints et que 11 autres avaient enregistré des progrès significatifs. Parmi les réalisations à ce jour, Microsoft indique que plus de 90 % de ses comptes de productivité internes ont adopté une authentification multifacteur résistante au phishing, et que 90 % des jetons d'identité propriétaires sont désormais validés grâce à un kit de développement logiciel (SDK) nouvellement renforcé. Le service de signature MSA a déjà été migré vers les machines virtuelles confidentielles Azure, et le service Entra ID est en cours de migration.

Purge des locataires Azure inactifs pour minimiser la surface d'attaque

Outre le renforcement de ses pratiques de gestion des clés, Microsoft a entrepris un nettoyage massif du cloud, supprimant 6,3 millions de locataires Azure inactifs afin de réduire sa surface d'attaque et d'améliorer l'isolation des systèmes de production. Ces locataires inutilisés ou abandonnés peuvent présenter des risques de sécurité s'ils ne sont pas gérés ; leur suppression est donc essentielle pour prévenir les intrusions furtives.

Microsoft a également migré 88 % de ses ressources cloud actives vers Azure Resource Manager, permettant ainsi des politiques de sécurité plus cohérentes et plus applicables. Dans le cadre d'une autre mesure visant à réduire les risques liés aux identités, 4,4 millions d'identités gérées ont été segmentées pour s'authentifier uniquement à partir d'emplacements réseau préapprouvés.

Une réponse aux critiques et une tentative de restaurer la confiance

L'initiative « Secure Future » a été lancée en novembre 2023 à la suite d'une vague de critiques de la part de responsables gouvernementaux américains et de la communauté de la cybersécurité. L'entreprise a essuyé des critiques non seulement pour sa gestion de la faille impliquant un groupe chinois de menaces persistantes avancées (APT), mais aussi pour les retards et les lacunes dans la correction des vulnérabilités, notamment dans les services cloud. Microsoft a également été critiquée pour son approche en matière de recherche et de divulgation de vulnérabilités par des tiers.

Regard vers l’avenir : ces changements seront-ils suffisants ?

Les mises à jour publiées ce mois-ci témoignent d'un effort renouvelé de Microsoft pour regagner la confiance grâce à la transparence et à un renforcement de ses bases de sécurité. En corrigeant les faiblesses architecturales, en renforçant son infrastructure d'identité et en améliorant à grande échelle l'hygiène du cloud, l'entreprise vise à réduire son exposition aux attaques sophistiquées et à améliorer ses normes de sécurité par défaut.

Bien que Microsoft soit toujours confronté à des défis – notamment une vague croissante de vulnérabilités zero-day sous Windows et des critiques constantes concernant son processus de correctifs – les changements actuels représentent une avancée significative. Leur capacité à restaurer la confiance dans les services cloud du géant technologique dépendra de leur efficacité à long terme et de l'engagement continu de l'entreprise en matière de cybersécurité proactive.