Fin juin, l'un des clients de Steven Adair, expert en cybersécurité, a reçu une alerte de Microsoft : le compte de messagerie d'un de ses employés travaillant dans le domaine des droits de l'homme avait été compromis. Le client voulait savoir si Steven Adair pouvait aller au fond des choses.

Steven Adair, qui a travaillé dans le domaine de la cyberdéfense à la NASA, l'agence spatiale américaine, avant de créer sa propre société, Volexity, a immédiatement lancé une enquête - et s'est heurté à un mur.

"Nous avons étudié tous les détails relatifs au comportement de cet utilisateur", a déclaré M. Adair à l'agence Reuters jeudi. "Nous n'avons rien trouvé.

Les pirates qui se sont introduits dans les courriels de son client étaient les mêmes cyberespions sophistiqués que ceux que Microsoft a accusés cette semaine d'avoir volé les courriels de hauts fonctionnaires américains, dont des employés du département d'État et la secrétaire d'État au commerce, Gina Raimondo. Microsoft a déclaré que les pirates n'ont pas détourné des ordinateurs ou volé des mots de passe, mais qu'ils ont tiré parti d'un problème de sécurité encore non divulgué concernant le service de messagerie en ligne omniprésent de la société.

Étant donné que le client d'Adair - qu'il a refusé d'identifier - ne payait pas Microsoft pour sa suite de sécurité premium, des données médico-légales détaillées n'étaient pas disponibles et Adair n'avait aucun moyen de comprendre ce qui s'était passé.

"À ce stade, nous sommes devenus des spectateurs", a-t-il déclaré.

M. Adair fait maintenant pression pour que Microsoft fournisse gratuitement les données supplémentaires à ses clients, une campagne qui a pris de l'ampleur à la suite de la violation, alors que les pratiques de sécurité du géant du logiciel suscitent des inquiétudes dans les cercles gouvernementaux.

Le sénateur américain Ron Wyden a déclaré que Microsoft devrait offrir à tous ses clients des capacités médico-légales complètes, estimant que "faire payer aux gens les fonctions premium nécessaires pour ne pas se faire pirater, c'est comme vendre une voiture et demander un supplément pour les ceintures de sécurité et les airbags".

Microsoft n'a pas immédiatement répondu aux messages demandant des commentaires sur l'expérience d'Adair, sur le commentaire de Wyden ou sur d'autres critiques concernant sa sécurité.

Dans un billet de blog qui a présenté le piratage mardi en fin de journée, Microsoft a déclaré que "la responsabilité commence avec nous" et qu'elle "s'auto-évalue continuellement, tire les leçons des incidents" et renforce ses défenses.

UNE TEMPÊTE DANS LES NUAGES

Depuis des années, les particuliers, les organisations et les gouvernements transfèrent leurs courriers électroniques, leurs feuilles de calcul et d'autres données de leurs propres serveurs vers ceux de Microsoft, profitant ainsi des économies réalisées et de l'intégration avec la suite d'outils bureautiques de l'entreprise de Redmond, dans l'État de Washington. Parallèlement, Microsoft a encouragé l'utilisation de ses propres produits de sécurité, ce qui a incité certains clients à abandonner ce qu'ils considéraient comme des programmes antivirus redondants.

Le processus de migration des données et des services d'une organisation vers une grande entreprise technologique est parfois appelé "migration vers le nuage". Il peut renforcer la sécurité, en particulier pour les petites organisations qui n'ont pas les ressources nécessaires pour gérer leurs propres services informatiques ou de sécurité.

Cependant, les concurrents qui ont été pris en étau par l'offre de sécurité de Microsoft tirent la sonnette d'alarme sur le fait que de vastes pans de l'industrie et du gouvernement ont effectivement mis tous leurs œufs dans le même panier.

"Les organisations doivent investir dans la sécurité", a déclaré Adam Meyers, de la société de cybersécurité CrowdStrike, dans un courriel distribué aux journalistes mercredi. "Le fait d'avoir un fournisseur monolithique responsable de l'ensemble de votre technologie, de vos produits, de vos services et de votre sécurité peut se solder par un désastre.

La frustration s'installe également à l'égard de la structure de licence de Microsoft, qui fait payer aux clients un supplément pour pouvoir consulter des journaux judiciaires détaillés comme ceux auxquels Adair, de Volexity, n'a pas pu accéder. Cette question est un point de désaccord entre l'entreprise et le gouvernement américain depuis qu'un piratage de l'entreprise de logiciels professionnels SolarWinds a été révélé en 2020.

M. Adair a déclaré qu'il comprenait que Microsoft veuille gagner de l'argent avec son produit de sécurité haut de gamme. Mais il a ajouté que le fait d'ouvrir davantage les yeux sur les cybermenaces serait bénéfique à la fois pour l'entreprise et pour ses clients. Il a fait remarquer que les pirates - que Microsoft surnomme Storm-0558 - n'ont été arrêtés que parce qu'une personne du département d'État ayant accès au système d'enregistrement haut de gamme de Microsoft a remarqué une anomalie dans leurs données médico-légales.

"Le meilleur moyen est sans doute que Microsoft donne davantage de pouvoir à ses clients et aux entreprises de sécurité pour qu'ils puissent travailler ensemble", a déclaré M. Adair.