Microsoft a caché le piratage de sa base de données de bugs interne

Microsoft Chief Executive Officer (CEO) Satya Narayana Nadella. © REUTERS
Pieterjan Van Leemputten

La base de données interne de Microsoft destinée à suivre les bugs dans ses logiciels a été piratée en 2013. L’entreprise l’a caché sciemment, même aujourd’hui alors que cinq ex-collaborateurs le révèlent.

L’agence de presse Reuters s’est entretenue en aparté avec cinq ex-collaborateurs de Microsoft, qui déclarent que cette base de données a été piratée en 2013. Elle contenait en fait les descriptifs de failles critiques et irrésolues dans les logiciels de Microsoft, dont Windows. Une véritable mine d’or donc pour les pirates et espions, puisqu’il s’agissait là de brèches non encore colmatées.

Selon le quintet, les failles en question ont été très probablement corrigées dans les mois qui suivirent, mais cela offrit néanmoins aux hackers de l’époque un délai suffisant pour lancer des attaques contre des particuliers et des entreprises.

Prévenu certes, mais pas concrètement

Du point de vue technique, Microsoft a certes prévenu du piratage. Lorsque début 2013, des hackers avaient réussi à s’introduire chez Apple, Facebook et Twitter notamment, Microsoft avait aussi avoué avoir été la victime d’une intrusion. Mais l’entreprise ajouta dans la foulée que l’impact était limité et ne pipa mot sur le piratage de sa base de données de bugs.

Ensuite, Microsoft aurait mené une enquête pour vérifier si les bugs de la base de données avaient été abusés lors d’intrusions. L’entreprise avait conclu à l’époque que tel n’était pas le cas. Mais deux des cinq ex-collaborateurs ont déclaré à l’agence Reuters que l’entreprise disposait alors de trop peu de données que pour en tirer des conclusions édifiantes.

Reprocher à autrui ce qu’on fait soi-même

Comme le piratage remonte à 2013, il ne subsiste que peu de risques que les bugs de l’époque puissent encore causer des dégâts aujourd’hui. Mais il n’en reste pas moins vrai qu’on peut se poser des questions sur la façon de communiquer de Microsoft en la circonstance.

Ajoutons que la base de données piratée n’était protégée que par un seul mot de passe. Entre-temps, deux formes d’identification sont nécessaires.

Microsoft n’avait pas non plus manqué de critiquer la NSA après le piratage de celle-ci. Le service secret américain stockait en effet aussi des failles et des outils de piratage, mais suite au piratage, le virus WannaCry notamment a pu se répandre. Microsoft avait alors prestement réagi en déclarant que la NSA causait des nuisances aux citoyens en amassant des failles dans une base de données de ce genre.

Reuters fait enfin observer que Mozilla, l’entreprise à l’initiative de Firefox, avait également connu pareille mésaventure en 2015, mais qu’elle l’avait signalé aussitôt et avait recommandé aux utilisateurs de prendre rapidement les mesures qui s’imposaient.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire