La semaine dernière, Microsoft a annoncé qu'il n'utiliserait plus le ministère de la Défense des systèmes informatiques cloud après que Publica, après Propublica, pourrait exposer le gouvernement au piratage et à l'espionnage.
Cependant, il s'avère que le Pentagone n'était pas la seule partie du gouvernement exposée à une telle menace. Depuis des années, Microsoft utilise sa main-d'œuvre mondiale, y compris l'employé basé en Chine, pour maintenir les systèmes cloud d'autres départements fédéraux, notamment certaines parties de la justice, du ministère des Finances et du commerce.
Ce travail a eu lieu dans le cloud communautaire gouvernemental So-Salled qui sont destinés aux informations qui ne sont pas classées mais qui sont toujours sensibles. Le programme fédéral de gestion des risques et de l'autorisation, l'organisation d'accréditation du cloud du gouvernement américain, a approuvé le CCG afin de traiter les effets «modérés», «si la perte de confidentialité, d'intégrité et de disponibilité conduirait à de graves effets négatifs sur les affaires, les actifs ou les particuliers d'une agence».
Selon un rapport de 2022, le service du Ministère de la Justice a utilisé le CCG pour étayer son enquête pénale et civil et ses litiges. Certaines parties de l'Autorité de la protection de l'environnement et du ministère de l'Éducation ont également utilisé le CCG.
Selon Microsoft, ses ingénieurs étrangers actifs dans GCC ont été supervisés par des employés basés aux États-Unis, connus sous le nom de “escortes numériques”, similaires au système présent au ministère de la Défense.
Néanmoins, les experts en cybersécurité Prublica ont annoncé que le soutien étranger au CCG est l'occasion d'espionner et de saboter. “Il y a un malentendu que si les données du gouvernement ne sont pas classées, aucun dommage à la distribution ne peut se produire”, a déclaré Rex Booth, une ancienne cybersécurité du gouvernement fédéral, qui est maintenant directeur de la sécurité de l'information de la société technologique Sailpoint.
“Avec autant de données stockées dans les services cloud – et la puissance de l'IA pour les analyser rapidement – même pas des données classifiées peuvent entraîner des résultats qui pourraient nous nuire”, a-t-il déclaré.
Harry Coker, employé principal de la CIA et de la National Security Agency, a déclaré que les agences de renseignement étrangères pouvaient utiliser des informations que les systèmes GCC ont été obtenus pour “nager en amont” pour nager plus sensible ou encore plus classé. “C'est une opportunité que je ne peux pas imaginer un service secret qui n'est pas suivi”, a-t-il déclaré.
Le bureau du directeur des services secrets nationaux a classé la Chine comme “la cyber-menace la plus active et la plus persistante pour le gouvernement américain, le secteur privé et les réseaux d'infrastructures critiques”. Là, les lois donnent aux fonctionnaires du pays un grand pouvoir de collecter des données, et les experts disent qu'il est difficile pour chaque citoyen ou entreprise chinois de s'opposer objectivement à une demande directe des forces de sécurité ou des autorités d'application de la loi.
Microsoft a refusé les demandes d'interview pour cette histoire. En réponse aux questions, la technicienne a fait une explication dans laquelle il a été souligné qu'il embaucherait l'utilisation du soutien basé sur la Chine pour le CCG, comme cela a récemment été le cas pour les systèmes cloud du ministère de la Défense.
“Microsoft a pris des mesures la semaine dernière pour améliorer la sécurité de nos offres cloud du gouvernement du DoD. À l'avenir, nous prenons des mesures similaires à tous nos clients de l'État qui utilisent le cloud de la communauté de l'État pour assurer davantage la sécurité de vos données”, a déclaré l'explication. Un porte-parole a refusé de travailler sur les marches.
La société a également déclaré que le mois prochain “effectuera un examen pour évaluer si des mesures supplémentaires sont nécessaires”.
Les départements et agences fédéraux, que Prublica a utilisés en tant que CCG, n'a pas répondu aux demandes de renseignements sur les commentaires.
Les récentes révélations sur l'utilisation par Microsoft de ses effectifs chinois au service du gouvernement américain – et la réaction rapide de l'entreprise – sont susceptibles de encourager une tempête de feu en développement rapide à Washington, dans laquelle la législature fédérale et l'administration Trump remettent en question les pratiques de cybersécurité des praticiens de la technologie et tentent de contenir des défaillances potentielles de sécurité nationale. “Les ingénieurs étrangers – de tous les pays, y compris, bien sûr, la Chine – ne doivent jamais maintenir ou accéder aux systèmes DoD”, a écrit le ministre de la Défense, Pete Hegseth, vendredi dernier dans un article sur X.
La semaine dernière, Prublica a annoncé que Microsoft a maintenu le ministère de la Défense de la Défense pendant une décennie sur les travailleurs étrangers, y compris ceux basés en Chine, des escortes numériques aux États-Unis. Cependant, nous avons constaté que ces escortes n'ont souvent pas la connaissance technique avancée – comment pour les collègues étrangers avec des compétences beaucoup plus avancées et rendre les informations très sensibles sensibles. En réponse aux rapports, Hegseth a mis en revue la pratique.
Publica a constaté que Microsoft avait développé l'accord d'escorte afin de remplir les fonctionnaires du ministère de la Défense qui avaient obtenu les employés étrangers de l'entreprise en raison des exigences de citoyenneté du ministère pour les personnes qui traitent des données sensibles. Microsoft a remporté l'activité fédérale du cloud computing et a déclaré que dans des rapports gagnants qu'il recevrait “un revenu important des contrats de l'État”.
Alors que Microsoft a expliqué qu'il n'utiliserait plus l'utilisation du support technique basé sur la Chine pour le ministère de la Défense, il a refusé de répondre aux questions sur ce qu'elle remplacerait, y compris la question de savoir si le support cloud des ingénieurs sortirait des États-Unis. La société a également refusé de dire si elle continuerait à utiliser des escortes numériques.
Microsoft a confirmé Publica cette semaine qu'un accord d'escorte similaire avait été utilisé dans le CCG – une dynamique qui a surpris certains anciens représentants du gouvernement et les experts en cybersécurité. “Dans un monde numérique de plus en plus complexe, les consommateurs de produits cloud méritent de la façon dont leurs données sont traitées et par qui”, a déclaré Booth. “L'industrie de la cybersécurité dépend de la clarté.”
Microsoft a annoncé que l'accord de GCC-STORT en documentation, qui a été présenté au gouvernement fédéral dans le cadre du Cloud Fedramm, le processus d'accréditation, avait annoncé des détails. La société a rejeté Prublica à rendre les documents disponibles et a cité le risque de sécurité potentiel de les divulguer publiquement.
Publica a contacté d'autres grands fournisseurs de services cloud du gouvernement fédéral pour demander s'ils utilisent le soutien en Chine. Un porte-parole d'Amazon Web Services a déclaré dans un communiqué que “AWS en Chine n'utilise aucun personnel en Chine pour soutenir les contrats fédéraux”. Un porte-parole de Google a déclaré dans un communiqué: “Le secteur public de Google n'a pas de programme d'escorte numérique. Au lieu de cela, ses systèmes sensibles sont soutenus par des employés entièrement formés qui répondent à l'emplacement du gouvernement américain, de la citoyenneté et de l'approbation de la sécurité.” Oracle a déclaré qu'il n'avait utilisé “aucun support chinois pour les clients fédéraux américains”.
#support #technologique #Microsoft #pourrait #suspendre #DOJ #ministère #des #Finances #aux #opposants #étrangers #Publica
