Microsoft est devenu la cible de critiques publiques de nos jours après que de graves incidents de violation de données ont frappé l’entreprise. Le PDG de Tenable, Amit Yoran, a maintenant critiqué Microsoft pour ses pratiques de cybersécurité. Il a déclaré que les antécédents de l’entreprise en matière de cybersécurité sont « encore pires que vous ne le pensez ».
Début juillet, un groupe de piratage chinois baptisé Storm-0558 ciblait la plate-forme Microsoft Azure. La société a ensuite confirmé que les données d’environ 25 organisations différentes étaient ciblées. De plus, des pirates ont volé des e-mails sensibles à des responsables du gouvernement américain. Compte tenu des tensions actuelles entre les États-Unis et la Chine, les mauvais acteurs sont plus susceptibles d’être directement soutenus par le gouvernement chinois.
Le PDG de Tenable déclare que Microsoft met ses clients en danger
La violation de données Azure a porté un coup dur à la réputation de Microsoft, car Microsoft a transmis des données gouvernementales sensibles à la Chine. Le sénateur Ron Wyden a demandé au ministère américain de la Justice de tenir Microsoft responsable de ses « pratiques de cybersécurité négligentes ».
Le PDG de Tenable a appelé le géant de la technologie de Redmond pour ses pratiques de cybersécurité « extrêmement irresponsables, voire manifestement négligentes ». Selon Yoran, le « modèle répété de pratiques de cybersécurité négligentes » de Microsoft a permis aux pirates chinois d’exploiter les données Azure et de voler des e-mails sensibles du gouvernement américain. Il a ajouté que Microsoft « manque une boussole morale » concernant les pratiques cybernétiques.
Le PDG de Tenable a également révélé que son entreprise avait trouvé plus de failles de cybersécurité dans Azure. L’une de ces failles était grave et pouvait permettre à des pirates d’accéder aux données sensibles de l’entreprise, y compris une banque. Yoran a déclaré qu’il avait fallu plus de 90 jours à Microsoft pour mettre en œuvre un correctif partiel, et que le correctif n’était appliqué qu’aux nouvelles applications chargées dans le service. Cela signifie que les clients qui ont lancé le service avant le correctif étaient à risque.
Microsoft a ensuite publié un correctif pour le problème après que le message de Yoran soit devenu public. Cependant, la société de Redmond a déclaré qu’aucun mauvais acteur ne pourrait jamais exploiter la faille. « Ce que vous entendez de Microsoft, c’est » faites-nous confiance « , mais ce que vous obtenez en retour, c’est très peu de transparence et une culture d’obscurcissement toxique », écrit Yoran.
Les récentes violations de données ont poussé le gouvernement américain à agir. Selon la dernière loi adoptée par la Securities and Exchange Commission, chaque entreprise doit divulguer un incident de violation de données dans les quatre jours suivant sa découverte.
