Microsoft utilise des ingénieurs en Chine depuis près d'une décennie pour maintenir des systèmes informatiques très sensibles du ministère de la Défense. L'examen de Prublica montre comment un modèle qui s'appuie sur des “escortes numériques” afin de surveiller le support technique étranger pourrait être susceptible de pirater le principal adversaire du pays.
Voici les snack-bars les plus importants de ce rapport:
Seuls les citoyens américains ayant des contrôles de sécurité peuvent accéder aux données sensibles du ministère de la Défense.
Depuis 2011, les sociétés de cloud computing qui voulaient vendre leurs services au gouvernement américain ont déterminé comment elles s'assureraient que le personnel qui travaille avec les données fédérales a les «autorisations d'accès» nécessaires et les examens d'arrière-plan. De plus, le ministère de la Défense exige que les personnes qui éditent des données sensibles, les citoyens américains ou les résidents constants le sont.
C'était un problème basé sur une grande main-d'œuvre mondiale avec des opérations considérables en Inde, en Chine et dans l'Union européenne.
Microsoft a mis en place son programme «Escorte numérique» profilé pour éviter cette interdiction.
La main-d'œuvre étrangère de Microsoft ne doit pas accéder directement aux systèmes de cloud sensibles, de sorte que le géant de la technologie a embauché les «escortes numériques» américaines qui ont eu des vérifications de sécurité qui les autorisent à accéder à des informations sensibles pour orienter l'expert étranger. Les ingénieurs peuvent décrire brièvement l'ordre à faire – par exemple, la mise à jour d'un pare-feu, l'installation d'une mise à jour pour corriger une erreur ou vérifier les protocoles pour résoudre un problème. Ensuite, l'escorte copie les commandes de l'ingénieur dans le cloud fédéral.
Le problème, comme l'a déclaré Publica, est que les escortes numériques n'ont pas nécessairement la connaissance technique avancée – comment qui est nécessaire pour reconnaître les problèmes.
“Nous espérons que ce que vous faites n'est pas malin, mais nous ne pouvons vraiment pas le dire”, a déclaré une escorte actuelle.
Les escortes traitent des données qui, lorsqu'elles sont divulguées, ont des effets “catastrophiques”.
Microsoft utilise le système d'escorte pour faire face aux informations les plus sensibles du gouvernement qui est “classifiée”. Selon le gouvernement, cela comprend “des données qui contient la protection de la vie et de la ruine financière”. La “perte de confidentialité, d'intégrité ou de disponibilité” de ces informations “pourrait être attendue d'un effet négatif grave ou catastrophique sur les opérations, les actifs et les particuliers, a déclaré le gouvernement.
Les données du ministère de la Défense dans cette catégorie contient des documents qui soutiennent directement les opérations militaires.
Le programme pourrait suspendre les cyberattaques des données du Pentagone.
Étant donné que les escortes d'ingénieurs étrangers basées aux États-Unis, y compris celles en Chine, le plus grand cyber-adversaire du pays, sont dans la direction, une escorte peut insérer involontairement dans le ministère de la Défense des systèmes informatiques.
Un ancien ingénieur de Microsoft qui a travaillé sur le système a reconnu cette possibilité. «Si quelqu'un réalisait un script appelé« fix_servers.sh »mais que fait quelque chose de malin, alors il a un peu malin [escorts] N'aurait aucune idée », a déclaré l'ingénieur Matthew Erickson à Publica.
Pradeep Nair, un ancien vice-président de Microsoft, qui a déclaré qu'il avait aidé à développer le concept dès le début, a déclaré une variété de mesures de protection, y compris les protocoles d'audit, la trace numérique de l'activité système, pourrait informer Microsoft ou le gouvernement pour des problèmes potentiels. “Étant donné que ces contrôles sont stricts, le risque résiduel est minime”, a déclaré Nair.
Les escortes numériques offrent une opportunité naturelle pour les espions, selon des experts.
“Si j'étais une opération, je considérerais que c'est un moyen pour un accès extrêmement précieux. Nous devons être très préoccupés par cela”, a déclaré Harry Coker, l'employé principal de la CIA et de l'agence de sécurité nationale. Coker, qui a également été le directeur national du cyber au cours de l'administration Biden, a ajouté que lui et ses anciens collègues des services secrets “aiment avoir accès à cela”.
Les lois chinoises permettent aux responsables gouvernementaux de collecter des données “, tant qu'ils font quelque chose qu'ils ont considéré comme légitime”, a déclaré Jeremy Daum, chercheur principal au Paul Tsai China Center de la Yale Law School. Le support technique de Microsoft pour le gouvernement américain présente une ouverture pour l'espionnage chinois, “qu'il s'agisse d'amener quelqu'un à l'un de ces emplois ou de se rendre aux personnes qui sont dans les emplois et de les pomper pour plus d'informations”, a déclaré Daum. “Il serait difficile pour un citoyen chinois ou une entreprise de résister à une demande directe des forces de sécurité ou des autorités chargées de l'application des lois.”
Selon Microsoft, le programme est approuvé par le gouvernement.
Dans un communiqué, Microsoft a déclaré que son personnel et son entrepreneur travaillaient d'une manière “conformément aux exigences et aux processus du gouvernement américain”.
Les travailleurs mondiaux de l'entreprise “n'ont pas d'accès direct aux données des clients ou aux systèmes clients”, a déclaré l'explication. Escortes “avec les parts et les cours de formation pertinents, soutien direct.
Insight Global – un entrepreneur qui fournit des escortes numériques Microsoft – a évalué les fonctions techniques de chaque ressource tout au long du processus d'entrevue pour s'assurer qu'ils ont les compétences techniques nécessaires à l'emploi et offrent une formation.
Selon Microsoft, le gouvernement a transmis des détails sur le programme d'escorte. Les anciens officiers du Pentagone ont dit qu'ils n'en avaient jamais entendu parler.
Microsoft a annoncé Prublica que le modèle d'escorte a été décrit dans des documents que le gouvernement avait été soumis dans le cadre des processus d'autorisation des fournisseurs de cloud. Dans des entretiens, d'anciens officiers de défense et de renseignement ont déclaré qu'ils n'avaient jamais entendu parler d'escortes numériques. Même l'agence informatique du ministère de la Défense n'en savait rien lorsqu'elle a obtenu un commentaire de Publica.
“J'aurais probablement dû le savoir”, a déclaré John Sherman, qui était directeur de l'information du ministère de la Défense pendant l'administration Biden. Il a dit [the Defense Information Systems Agency]Cyber Command et autres parties prenantes impliquées. “
DISA a déclaré: “Les experts sous surveillance des escortes n'ont aucun accès direct et pratique aux systèmes gouvernementaux, mais offrent des administrateurs autorisés qui effectuent des tâches, des instructions et des recommandations.”
Il y a eu des avertissements sur les risques tôt.
Plusieurs personnes ont exprimé leurs préoccupations concernant la stratégie d'escorte au fil des ans, même pendant le développement. Une ancienne employée de Microsoft qui était impliquée dans la stratégie de cybersécurité de l'entreprise a déclaré qu'un dirigeant qu'elle s'opposait au concept et le considérait trop risqué dans une perspective de sécurité.
Lockheed Martin a embauché vers 2016 pour arrêter les escortes. Le chef de projet a déclaré qu'il avait dit à leur homologue de Microsoft que les escortes n'auraient pas les “yeux droits” pour le travail en raison du paiement relativement bas.
Microsoft n'a pas répondu aux questions sur ces points.
D'autres fournisseurs de cloud ne diraient pas s'ils utilisent également des escortes.
Il n'est pas clair si d'autres grands prestataires de services cloud du gouvernement fédéral utilisent également des escortes numériques dans le support technique. Amazon Web Services et Google Cloud ont refusé de commenter l'enregistrement des données de cet article. Oracle n'a pas répondu aux demandes de renseignements sur les commentaires.
#vous #devez #savoir #Publica
