Le sénateur Wyden dénonce les failles de sécurité de Microsoft
Récemment, Microsoft a été vivement critiquée pour son laxisme en matière de cybersécurité. Cette décision fait suite à un incident où l’entreprise a choisi de ne pas implémenter une fonctionnalité spécifique de Windows en raison de problèmes de compatibilité, une décision qui a suscité des réactions négatives de la part des critiques, qui l’ont qualifiée de manque de diligence. La situation s’est envenimée lorsque le sénateur américain Ron Wyden est intervenu, adressant une lettre cinglante à la Federal Trade Commission (FTC) soulignant les faiblesses des mesures de cybersécurité de Microsoft et sa position dominante dans le secteur informatique des entreprises.
Préoccupations soulevées concernant les pratiques de cybersécurité
Le sénateur Wyden, membre du Parti démocrate, a qualifié de « grossière » la négligence de Microsoft en matière de cybersécurité et a affirmé qu’elle avait directement contribué à la recrudescence des incidents de rançongiciels. Cette situation est particulièrement alarmante dans le secteur de la santé, où la sécurité compromise peut avoir des répercussions mortelles pour les patients. Compte tenu du contrôle substantiel de Microsoft sur le marché informatique d’entreprise, il affirme que cela représente une grave menace pour la sécurité nationale. Au lieu de privilégier une sécurité robuste, il accuse Microsoft de tirer profit d’un modèle économique de plusieurs milliards de dollars axé sur la vente de modules complémentaires et de services de cybersécurité aux victimes de cyberattaques. Il compare brutalement ce comportement à celui d’un « pyromane vendant des services de lutte contre les incendies à ses victimes ».
Valeurs par défaut dans les configurations de sécurité
Selon Wyden, bien que Windows intègre des configurations de sécurité, celles-ci sont fondamentalement peu sûres. Bien que les utilisateurs puissent personnaliser ces paramètres, beaucoup n’effectuent pas les ajustements nécessaires, ce qui les rend vulnérables. Le sénateur affirme que ces « décisions d’ingénierie logicielle dangereuses » sont dissimulées aux utilisateurs, tant des entreprises que des administrations publiques, les exposant ainsi à des cybermenaces.
Étude de cas : l’attaque du rançongiciel Ascension
Le sénateur a cité l’attaque par rançongiciel contre Ascension, un prestataire de soins de santé à but non lucratif, comme exemple frappant de ces vulnérabilités. La faille exploitait la technique du « Kerberoasting », qui permettait aux pirates d’infiltrer l’ordinateur portable d’un prestataire via un lien malveillant trouvé sur Bing. En suivant ce point d’entrée, les attaquants pouvaient naviguer sur le réseau, obtenir un accès administrateur, déployer un rançongiciel et compromettre les données de millions de patients.
Technologies de sécurité obsolètes et responsabilité
Le sénateur Wyden impute la responsabilité principale de cette faille de sécurité à Microsoft. Il souligne que l’entreprise continue d’utiliser la technologie de chiffrement RC4, obsolète, et n’impose pas le chiffrement AES, plus sécurisé, par défaut dans Windows. Bien que Microsoft affirme que les utilisateurs peuvent réduire la surface d’attaque en créant des mots de passe d’au moins 14 caractères, le logiciel n’impose pas cette exigence cruciale pour les comptes administrateurs. Bien que Microsoft ait précédemment assuré à Wyden qu’elle supprimerait progressivement RC4, cet engagement n’a toujours pas été respecté.
Appel à une enquête de la FTC
La lettre de Wyden à la FTC, longue de quatre pages, exhorte la commission à prendre des mesures contre Microsoft pour les impacts néfastes de ses logiciels sur les infrastructures gouvernementales et publiques critiques. Il souligne que si Microsoft n’est pas tenue responsable de son monopole effectif et de l’absence de sécurité dans ses pratiques de développement logiciel, des incidents similaires risquent de se produire. Vous pouvez accéder à l’intégralité de la lettre ici, et vous trouverez des informations complémentaires dans cet article grâce à The Register.
Conclusion
Alors que le paysage de la cybersécurité continue d’évoluer, la nécessité de pratiques de sécurité solides et fiables devient de plus en plus cruciale. Négliger ces responsabilités peut non seulement engendrer des charges financières pour les entreprises, mais aussi compromettre la sécurité publique. La position ferme du sénateur Wyden souligne le rôle crucial que doivent jouer les organismes de réglementation pour garantir la responsabilité des grandes entreprises technologiques comme Microsoft.
Articles connexes:
Windows 10 reçoit une nouvelle mise à jour préliminaire avant la fin du support le mois prochain
17:43
KB5065790 : Microsoft corrige les problèmes de connexion à Windows 11 et propose des mises à jour supplémentaires dans la version 22631.5982
17:37
Microsoft résout les problèmes de nettoyage des fichiers temporaires et les bugs dans Windows 11 Build 27943
17:33
Laisser un commentaire