La semaine dernière, Microsoft a annoncé qu’elle n’utiliserait plus d’équipes d’ingénierie basées en Chine pour soutenir les systèmes de cloud computing du Département de la défense après l’étude de la pratique de ProPublica, comme l’a déclaré les experts en cybersécurité, pourrait exposer le gouvernement au piratage et à l’espionnage.
Mais il s’avère que le Pentagone n’était pas la seule partie du gouvernement confrontée à une telle menace. Pendant des années, Microsoft a également utilisé ses effectifs mondiaux, y compris le personnel chinois, pour maintenir les systèmes Sky à partir d’autres départements fédéraux, y compris des parties de la justice, Trésorerie et CommerceFaire trouver ProPublica.
Ce travail a eu lieu dans ce qui est connu sous le nom de Cloud Community Government, qui est destiné aux informations qui ne sont pas classées mais néanmoins sensibles. Le programme fédéral de gestion des risques et de l’autorisation, l’organisation d’accréditation Sky du gouvernement américain, a approuvé le CCG pour faire face à des informations d’impact “modérées” “lorsque la perte de confidentialité, d’intégrité et d’accessibilité entraînerait un impact négatif grave sur les opérations, les actifs ou les particuliers d’une agence.”
Le département anti-détrui le ministère de la Justice avoir utilisé GCC à l’appui de son enquête et litige criminels et civils, selon un rapport de 2022. Parties de Agence de protection de l’environnement et Département de l’éducation Ont également utilisé GCC.
Microsoft affirme que ses ingénieurs étrangers travaillant dans le CCG ont été surveillés par le personnel américain connu sous le nom de “escortes numériques”, similaire au système qu’il avait en place au ministère de la Défense.
Néanmoins, les experts en cybersécurité ont déclaré à ProPublica que le soutien étranger au CCG offrait une opportunité d’espionnage et de sabotage. “Il y a une idée fausse que si les données du gouvernement ne sont pas classées, aucun dommage ne peut être fait de sa distribution”, a déclaré Rex Booth, un ancien responsable fédéral de la cybersécurité, désormais directeur de la sécurité de l’information pour la société technologique Sailpoint.
“Avec tant de données stockées dans les services cloud – et le pouvoir de l’IA de les analyser rapidement – même les données non classifiées peuvent révéler des informations qui pourraient nuire aux intérêts américains”, a-t-il déclaré.
Harry Coker, directeur principal de la CIA et de la National Security Agency, a déclaré que les agences de renseignement étrangères pourraient utiliser les informations collectées auprès de Systèmes GCC pour “nager en amont” à plus sensibles ou même classés. “C’est une opportunité que je ne peux pas imaginer un service d’intelligence qui ne persécute pas”, a-t-il déclaré.
Le bureau du directeur des renseignements nationaux a considéré la Chine comme «la cyber-menace la plus active et la plus soutenue pour le gouvernement américain, le secteur privé et les réseaux d’infrastructures critiques». Promesse qui donne aux responsables du pays largement autorité pour collecter des données, et les experts disent qu’il est difficile pour tout citoyen ou entreprise chinois de résister de manière significative à une demande directe des forces de sécurité ou des forces de l’ordre.
Microsoft a rejeté les demandes d’interview sur cette histoire. En réponse aux questions, le géant de la technologie a publié une déclaration suggérant qu’elle interrompait son utilisation du soutien basé sur la Chine à GCC, comme il l’a récemment fait pour les systèmes Sky du ministère de la Défense.
“Microsoft a pris des mesures la semaine dernière pour améliorer la sécurité de notre offre de cloud du gouvernement du DoD. À l’avenir, nous prenons des mesures similaires à tous nos clients gouvernementaux qui utilisent le cloud de la communauté gouvernementale pour assurer davantage la sécurité de leurs données”, indique le communiqué. Un porte-parole a refusé d’élaborer sur ces étapes.
La société a également déclaré qu’au cours du mois prochain, elle “produira un examen pour évaluer si d’autres mesures sont nécessaires”.
Les départements et agences fédéraux que Propublica se sont avérés utiliser GCC n’ont pas répondu aux demandes de commentaires.
Les dernières révélations concernant l’utilisation par Microsoft de ses effectifs chinois pour servir le gouvernement américain – et la réponse rapide de l’entreprise – sont susceptibles de brûler une tempête de feu en évolution rapide à Washington, où les législateurs fédéraux et l’administration Trump remettent en question la pratique de la cybersécurité du géant de la technologie et tentent de contenir une baisse potentielle de sécurité nationale. “Les ingénieurs étrangers – de n’importe quel pays, y compris bien sûr la Chine – ne devraient jamais être autorisés à maintenir ou à accéder aux systèmes DoD”, a déclaré le secrétaire à la Défense Pete Hegeth écrit dans un article sur x Vendredi dernier.
La semaine dernière, ProPublica a révélé que depuis une décennie, Microsoft dépendait des travailleurs étrangers – les personnes inclusives basées en Chine pour maintenir les systèmes informatiques du ministère de la Défense, avec la supervision des escortes numériques basées aux États-Unis. Mais ces compagnons, nous n’avons souvent pas trouvé l’expertise technique avancée des collègues étrangers de la police avec des compétences beaucoup plus avancées, laissant des informations très sensibles vulnérables. En réponse aux rapports, Hegeth a lancé une revue de pratique.
ProPublica a constaté que Microsoft a développé le dispositif d’escorte pour satisfaire le ministère de la Défense, qui était préoccupé par les employés étrangers de l’entreprise, en tenant compte des exigences de citoyenneté du ministère pour les personnes qui gèrent les données sensibles. Microsoft a continué à gagner une entreprise fédérale de cloud computing et a dit en Rapports sur les gains qu’il reçoit “des revenus importants des contrats gouvernementaux”.
Bien que Microsoft ait déclaré qu’il cesserait d’utiliser le support technique basé en Chine pour le ministère de la Défense, il a refusé de répondre aux questions sur ce qui le remplacerait, y compris si le support cloud proviendrait d’ingénieurs basés en dehors des États-Unis, ce que la société a également refusé de dire si elle continuerait à utiliser les escortes numériques.
Microsoft a confirmé à ProPublica cette semaine qu’un événement d’escorte similaire avait été utilisé dans le CCG – une dynamique qui a surpris certains anciens représentants du gouvernement et des experts en cybersécurité. “Dans un monde numérique de plus en plus complexe, les consommateurs de produits Sky méritent de savoir comment leurs données sont gérées et par qui”, a déclaré Booth. “L’industrie de la cybersécurité dépend de la clarté.”
Microsoft a déclaré avoir révélé des détails sur la disposition des cartes GCC dans la documentation soumise au gouvernement fédéral dans le cadre du processus d’accréditation du cloud Fedramp. La société a refusé de donner les documents à ProPublica, faisant référence au risque de sécurité potentiel pour les révéler publiquement, et a également refusé de dire si l’emplacement en Chine de son personnel de soutien était spécifiquement mentionné en eux.
ProPublica a contacté d’autres grands prestataires de services cloud au gouvernement fédéral pour demander s’ils utilisent un soutien basé en Chine. Un porte-parole d’Amazon Web Services a déclaré dans un communiqué que “AWS n’utilise pas de personnel en Chine pour soutenir les contrats fédéraux”. Un porte-parole de Google a déclaré dans un communiqué que “le secteur public de Google n’a pas de programme d’escorte numérique. Au lieu de cela, ses systèmes sensibles sont soutenus par un personnel entièrement formé qui répond aux exigences de l’emplacement, de la citoyenneté et de la sécurité du gouvernement américain”. Oracle a déclaré qu’il “n’utilise aucun support chinois pour les clients fédéraux américains”.
