Le Cyber Safety Review Board (CSRB), dirigé par le ministère américain de la sécurité intérieure, a mené une enquête de sept mois sur l'incident impliquant l'acteur de cyberespionnage Storm-0558, affilié à la Chine.
L'opération, qui a été découverte pour la première fois par le département d'État américain en juin 2023, comprenait le piratage de courriels officiels et personnels de la ministre du Commerce, Gina Raimondo, et de l'ambassadeur des États-Unis en Chine, Nicholas Burns.
Des critiques sur la culture d'entreprise de Microsoft
Microsoft fournit des services informatiques hébergés sur le cloud (informatique à distance), tels qu'Azure ou Office360, y compris le stockage de données sensibles pour de nombreuses entreprises et gouvernements.
Le rapport, publié lundi, critique la culture d'entreprise de Microsoft qui est "en contradiction avec la place centrale qu'occupe l'entreprise dans l'écosystème technologique et avec le niveau de confiance que les clients placent dans l'entreprise".
>> À LIRE AUSSI - Restrictions dans la technologie : Xi dit à Biden que Pékin «ne restera pas les bras croisés»
"Le cloud est l'une des infrastructures les plus critiques que nous ayons", a déclaré le président du CSRB, Robert Silvers. "Il est impératif que les fournisseurs de services de cloud accordent la priorité à la sécurité et l'intègrent dès la conception", a-t-il ajouté.
L'étude a mis en évidence une série de décisions opérationnelles et stratégiques prises par Microsoft qui ont ouvert la voie au piratage, notamment le fait de ne pas avoir identifié l'ordinateur portable compromis d'un nouvel employé à la suite d'une acquisition d'entreprise en 2021.
"La Commission estime que cette intrusion aurait pu être évitée"
Il a également constaté que Microsoft n'a pas respecté les normes de sécurité en vigueur dans les entreprises de cloud concurrentes, notamment Google, Amazon et Oracle.
"La Commission estime que cette intrusion aurait pu être évitée et n'aurait jamais dû se produire", assène le rapport, qui met en évidence "la cascade d'erreurs évitables de Microsoft qui ont permis à cette intrusion de réussir".
Le rapport recommande également à Microsoft d'élaborer et de rendre public un plan assorti d'un calendrier pour mettre en œuvre des réformes de sécurité de grande envergure.
Le vice-président du CSRB, Dmitri Alperovitch, a qualifié Storm-0558 et d'autres acteurs similaires de "menace persistante et pernicieuse" qui ont "la capacité et l'intention de compromettre les systèmes d'identité pour accéder à des données sensibles, y compris les courriels de personnes présentant un intérêt pour le gouvernement chinois".
Le gouvernement a remercié Microsoft, qui n'a pas répondu immédiatement à une demande de commentaire, d'avoir pleinement coopéré à son examen.