Le président de Microsoft, Brad Smith, a critiqué vendredi les principaux rivaux Amazon Web Services et Google pour ne pas avoir partagé publiquement ce qu’ils savent de l’attaque SolarWinds.

Smith a déclaré aux membres de la Chambre des représentants que le géant du logiciel basé à Redmond, Washington a publié 32 blogs décrivant tout ce que Microsoft a observé et vu des attaquants de SolarWinds au cours de leur campagne, tandis que Google a publié un seul blog et Amazon n’a rien publié. AWS a admis jeudi les pirates de SolarWinds a utilisé son Elastic Compute Cloud (EC2) dans leur attaque.

«Il y a d’autres entreprises qui, à ma connaissance, n’ont même pas alerté leurs clients ou d’autres qu’ils étaient victimes d’une attaque basée sur SolarWinds», a déclaré Smith vendredi. «Ce sont des entreprises où leur propre infrastructure a été utilisée pour lancer l’attaque. Et d’une manière ou d’une autre, ils ne pensent pas qu’il soit de leur responsabilité de faire savoir à ces victimes qu’elles sont des victimes. Et cela doit changer. »

[Related: AWS: SolarWinds Hackers Used Our Elastic Compute Cloud]

Le sénateur Richard Burr, RN.C., a déclaré aux pirates de SolarWinds a tiré parti de l’hébergement cloud AWS pour exécuter des programmes qui communiquaient avec et contrôlaient le code empoisonné qu’ils avaient installé sur les systèmes de la victime. Plusieurs Les sénateurs américains ont critiqué AWS mardi pour avoir refusé de témoigner lors d’une audience sur l’intrusion de SolarWinds, plusieurs républicains faisant allusion à la possibilité d’assigner des représentants d’Amazon.

«Je pense en fait que cela devrait commencer par la transparence», a déclaré Smith. «Je suis ici aujourd’hui. Je réponds à toutes vos questions… Je pense que nous en profiterons tous si nous créons une culture où les entreprises technologiques partagent plus d’informations.

AWS pourrait avoir des informations financières sur la façon dont les pirates de SolarWinds ont payé pour ses services, des données de trafic réseau montrant avec qui les pirates ont interagi sur Internet, et des données stockées sur les serveurs AWS eux-mêmes montrant quelle autre activité les pirates étaient engagés et éventuellement quels autres outils ils utilisaient, Joe Slowik, chercheur senior en sécurité chez DomainTools a déclaré au Wall Street Journal Jeudi.

Google n’a été mentionné par son nom par aucun sénateur ou membre du Congrès lors des audiences de mardi ou vendredi, mais Politico a rapporté mardi que Google avait proposé lundi aux législateurs une liste de plus d’une douzaine de questions visant à scruter la sécurité des produits Microsoft tels que Windows 10, Azure et Office 365. Ni AWS ni Google n’ont immédiatement répondu aux demandes de commentaires du CRN.

Contrairement à AWS et Google, Smith a déclaré vendredi que Microsoft informe les clients dès que l’entreprise découvre qu’un adversaire a pénétré leur réseau, même si le compromis n’avait rien à voir avec le service de Microsoft. Microsoft a fait cela plus de 13 000 fois au cours des deux dernières années et demie en réponse aux attaques des États-nations, selon Smith.

“Vous avez d’autres entreprises, certaines des plus grandes entreprises de notre secteur, qui sont bien connues pour avoir été impliquées dans ce domaine, qui n’ont toujours pas parlé publiquement de ce qu’elles ressentaient”, a déclaré Smith. «Rien n’indique qu’ils aient même informé les clients.

Microsoft a informé 60 de ses clients qu’ils avaient été compromis par les pirates de SolarWinds, et Smith a déclaré qu’environ la moitié de ces entreprises étaient des entreprises de communication et de technologie. La plupart des clients de la technologie et des communications concernés n’ont en aucun cas révélé publiquement qu’ils avaient été attaqués dans le cadre de la campagne SolarWinds, selon Smith.

«Je crains que, dans une certaine mesure, certaines autres entreprises – certains de nos concurrents même – n’aient tout simplement pas l’air très difficiles», a déclaré Smith. «Si vous ne regardez pas, vous ne trouverez pas, et vous irez vous coucher tous les soirs en étant parfaitement ignorant en pensant que vous n’avez pas de problème alors qu’en fait, vous le faites.

Smith a déclaré que les législateurs devraient faire appel à la loyauté des entreprises américaines pour qu’elles se manifestent volontairement et partagent des informations. Cependant, il devient clair que ce n’est pas suffisant ou ne fait pas le travail, selon Smith. En conséquence, Smith a déclaré que les entreprises du secteur des infrastructures critiques ou qui sont les «premiers intervenants» en cas d’incidents de sécurité devraient avoir l’obligation légale de signaler ce qu’elles savent.

«Le silence ne rendra pas ce pays plus fort», a déclaré Smith. «Et donc, je pense que nous devons encourager, et je pense, même obliger certaines entreprises à faire ce genre de rapports… Chez Microsoft, nous rapportons ce genre d’informations, partageons des données et publions des blogs sans aucune obligation légale de le faire. “

Le PDG de SolarWinds, Sudhakar Ramakrishna, a déclaré vendredi aux membres de la Chambre qu’inciter davantage de fournisseurs et de clients à s’exprimer sur la manière dont ils ont été touchés par l’intrusion facilitera la résolution de ce problème. Il ne suffit pas de consacrer uniquement plus de ressources à la sécurité à moins que le gouvernement et le secteur privé ne partagent les informations dont ils disposent pour le bénéfice collectif de tous les Américains.

«Le défi ici est un litige potentiel, et l’un des, comme je le décris, victimiser la victime elle-même pour s’être manifestée», a déclaré Ramakrishna. «Et ce sont des choses qui doivent être éliminées, ou ces stigmates doivent être éliminés pour que nous soyons plus nombreux à sortir et à parler ouvertement.»

Ric Opal, principal et national GTM et leader des partenariats stratégiques chez BDO Digital, un Microsoft Gold Partner, a déclaré qu’il félicitait Microsoft d’avoir été «transparent» sur ce qui s’est passé lors de l’attaque SolarWinds – et aussi d’être «agressif» dans son approche globale de la cybersécurité. .

«Ils exploitent la puissance des données pour essayer de nous protéger tous. Et je pense qu’ils ont été très ouverts », a déclaré Opal, soulignant le récent rapport final de Microsoft sur l’attaque SolarWinds.

«Je pense qu’ils ne sont pas seulement transparents – ce n’est pas seulement que Brad Smith témoigne – mais tout est en fait par écrit. Vous pouvez aller télécharger le rapport », a déclaré Opal. «Ce que je vois [from Microsoft] est une bonne intention et une volonté de résoudre le problème. Et ils ne font pas cavalier seul… Tout le monde doit travailler ensemble ici. Et la seule façon de travailler ensemble est de mettre de côté les objectifs commerciaux et de résoudre le problème. »

Avec la contribution de Kyle Alspach, rédacteur en chef du CRN.


.

Leave a Reply