Alors que Google reporte une fois encore son projet d’abandonner la technologie dans son navigateur Chrome, le Worldwide Web Consortium (W3C) estime que cette décision « n’est pas bonne pour le Web » et que cette technologie devrait être restreinte.
Décidément les cookies tiers continuent d’alimenter le débat avec la prise de position du W3C (Worldwide Web Consortium) sur la récente décision de Google de continuer le support de ces outils de tracking dans Chrome. L’organisme de normalisation estime que ce choix « n’est pas bon pour le web » et qu’il est néfaste pour les utilisateurs. Cette décision surprise, « sape une grande partie du travail que nous avons accompli ensemble pour que le web fonctionne sans cookies tiers », a écrit Hadley Berman, du Worldwide Web Consortium (W3C), dans un billet de blog. Le W3C est d’accord avec la définition actualisée des cookies du RFC (Request for comments), qui reconnaît qu’ils posent des « problèmes inhérents de protection de la vie privée ». En outre, le RFC recommande vivement que « les agents utilisateurs adoptent une politique pour les cookies tiers qui soit aussi restrictive que les contraintes de compatibilité le permettent ».
« Si les cookies tiers, installés par un site web autre que celui que l’utilisateur visite par le biais d’un contenu intégré comme des publicités, des widgets de médias sociaux ou des pixels de suivi, peuvent être utiles pour l’authentification sur plusieurs sites, ils permettent également de collecter des données cachées sur l’activité des utilisateurs sur Internet », a déclaré Hadley Berman. « Le suivi, la collecte de données et le courtage » par les cookies tiers exposent aussi à d’autres risques cachés, notamment le « micro-ciblage de messages politiques » qui nuisent à la société dans son ensemble », a-t-elle encore écrit.
Le « choix de l’utilisateur » prôné par Google
Au lieu de mettre fin au support des cookies tiers, Google a décidé de mettre à jour les règles de protection contre le suivi intersite de Chrome, dévoilées en décembre dernier, en ajoutant une option dans les paramètres du « Privacy Sandbox » de Chrome, un ensemble d’API préservant la vie privée. Avec cette option, les utilisateurs peuvent choisir soit de naviguer dans l’environnement « Privacy Sandbox » soit de maintenir les cookies intersites traditionnels. Les utilisateurs de Chrome peuvent aussi utiliser la fonction « Enhanced Ad Privacy » introduite l’année dernière dans la version 115 de Chrome qui permet, selon Google, de diffuser des publicités basées sur les centres d’intérêt sans suivre les utilisateurs individuels sur les sites web.
Depuis plusieurs années, le W3C travaille avec l’équipe Privacy Sandbox de Google sur les politiques relatives aux cookies tiers et a réalisé des « progrès substantiels », a estimé Mme Berman. « Le récent changement d’orientation de Google représente un grand pas en arrière dans cet effort », a-t-elle ajouté. « Ce regrettable recul aura également des effets secondaires, car il pourrait retarder les travaux inter-navigateurs sur des alternatives efficaces aux cookies tiers », a poursuivi la responsable. « Nous craignons que ce choix ait un impact négatif sur les efforts entrepris pour améliorer la protection de la vie privée sur le web », mais le W3C espère que Google « reviendra sur sa décision et s’engagera à nouveau sur la voie de la suppression des cookies tiers », a-t-elle ajouté. Google n’a pas répondu immédiatement aux demandes de commentaires adressées par nos confrères d’IDG.
Manque de leadership de Google
Les experts de la protection de la vie privée ont reconnu que si les cookies tiers posent des problèmes en matière de protection de la vie privée, de nombreuses parties prenantes doivent aussi être prises en compte. « Google a tenté à plusieurs reprises de remplacer les cookies […] afin de trouver un équilibre entre la protection de la vie privée des utilisateurs et les besoins des annonceurs », a déclaré Jason Soroko, vice-président senior des produits chez Sectigo, un fournisseur de gestion du cycle de vie des certificats. « Cependant, ces efforts se sont heurtés à la résistance des défenseurs de la vie privée, à des obstacles réglementaires et à des défis techniques », a-t-il expliqué, ajoutant que « l’interaction complexe entre l’innovation, les préoccupations en matière de protection de la vie privée et les cadres réglementaires a probablement contribué à la décision de Google de ne pas abandonner le support des cookies. »
Mais, le plus décevant encore, c’est que l’entreprise « ne semble toujours pas avoir de plan clair pour mettre en œuvre des contrôles de confidentialité et de sécurité plus importants contre le pistage », a estimé un expert en protection de la vie privée, qui pense que le géant de la recherche n’en fait pas assez. Google « se vante depuis longtemps de l’innovation suscitée par son initiative Privacy Sandbox, mais celle-ci n’a pas encore porté ses fruits publiquement », a déclaré Gal Ringel, cofondateur et directeur général de Mine, une société internationale de gestion de la confidentialité des données. En outre, compte tenu de la position de Google en tant qu’« entreprise la plus influente sur l’Internet aujourd’hui », le fait qu’elle n’ait pas pris de véritable position en matière de protection de la vie privée crée un mauvais précédent à un moment crucial où les États-Unis tentent d’adopter une nouvelle législation pour résoudre le problème », a-t-il regretté.
A la suite d’une mauvaise configuration de la part de Google Cloud, le fonds de pension australien Unisuper a vu son cloud privé purement et simplement supprimé. Heureusement, la société disposait de sauvegardes chez un autre fournisseur et a pu restaurer les accès à ses systèmes.
Il est rare que Thomas Kurian, CEO de Google Cloud fasse un mea culpa suite à une panne de ses services. C’est pourtant ce qui s’est passé pour le fonds de pension australien, Unisuper, victime d’une interruption de son service de cloud privé pendant une semaine. Dans un communiqué commun, les deux sociétés ont attribué cette panne à « un évènement sans précédent ». Le message ajoute que ce bug résulte, « d’une combinaison de problèmes rares chez Google Cloud qui a entrainé une mauvaise configuration par inadvertance lors du provisionnement du cloud privé d’UniSuper ».
Pire encore, le fonds disposait « d’une duplication des données dans deux zones géographiques pour se protéger contre les pannes et les pertes. Cependant, lorsque l’arrêt de l’abonnement au cloud privé d’UniSuper s’est produit, elle a entraîné une suppression de ces deux zones géographiques ». La panne a démarré le 1er mai et la résolution a débuté le 8 mai dernier.
Sauver par des sauvegardes externes
Malgré la suppression des deux régions de duplication, Google Cloud et Unisuper ont réussi à limiter la casse. « « La restauration de l’instance de cloud privé d’UniSuper a nécessité énormément de concentration, d’efforts et de partenariat entre nos équipes pour parvenir à restaurer tous les systèmes de base », a précisé Google dans son message.
Le fonds de pension avait également mis en place des sauvegardes auprès d’un autre fournisseur de services, ce qui a permis de minimiser les pertes et d’aider les entreprises au cours du processus de restauration. « Google Cloud s’excuse sincèrement pour la gêne occasionnée, et nous continuons à travailler 24 heures sur 24 avec UniSuper pour remédier à la situation, afin de rétablir progressivement les services dès que possible », indique encore le message.
L’accès aux comptes rétabli
Si, jeudi 9 mai, en milieu d’après-midi, heure d’Australie, les retraités pouvaient se connecter à leurs comptes, mais le solde n’était pas encore mis à jour. Cependant, les investissements et les transactions se sont poursuivis normalement tout au long de la panne et les fonds des clients n’ont pas été affectés. Le mercredi précédent, Peter Chun, CEO d’UniSuper, avait également envoyé un courriel à ses clients, mis en ligne, pour les assurer de la sécurité de leurs comptes et de la continuité de l’activité d’investissement pendant la panne.
« L’activité d’investissement habituelle sera reflétée dans votre solde une fois que nos systèmes seront complètement rétablis », avait écrit le fournisseur. « Pour les investissements n’ayant pas été affectés par la panne, nous avons mis à la disposition des membres des informations actualisées sur les performances des options d’investissement sur notre site web ». Qualifiant le problème d’ « incident isolé », Google a aussi assuré aux membres d’UniSuper que l’interruption de service n’était pas due à une cyberattaque et que leurs données sensibles n’avaient donc pas été exposées à des entités non autorisées. Le dirigeant dans une mise à jour du 13 mai indique que l’ensemble des accès (site et mobile) ont été rétablis.
Impact sur la réputation
Les principaux fournisseurs de services – notamment Amazon Web Services, Microsoft Azure et d’autres – en ont tous fait l’expérience à un moment ou à un autre. Par exemple, en juin 2023, AWS a connu un incident de plus de deux heures qui a affecté un certain nombre de services sur la côte est des États-Unis. Microsoft Azure a aussi connu une panne de centre de données en Australie en septembre de l’année dernière, qui a empêché les utilisateurs d’accéder aux services Azure, Microsoft 365 et Power Platform pendant plus de 24 heures.
De l’avis de Pareekh Jain, CEO d’EEIRTrend et de Pareekh Consulting, « la panne d’UniSuper fait figure d’exception par sa durée, mais en général, ces problèmes sont résolus assez rapidement ». L’évènement pourrait nuire à la réputation de Google Cloud et inciter les clients à ne pas lui faire confiance en tant que fournisseur de services cloud. « La panne affectant UniSuper sur Google Cloud en Australie prend un temps anormalement long pour être résolue, ce qui a un impact négatif sur la réputation de Google Cloud dans la région », a-t-il fait remarquer. « Ce genre de pannes peuvent aussi entraîner des interruptions d’activité et des pertes de données pour les clients, ce qui explique pourquoi de nombreuses entreprises privilégient une stratégie multi-cloud pour la gestion des risques », a ajouté Mr Jain. UniSuper avait l’habitude de répartir ses charges de travail entre Azure et deux centres de données propres, mais le fournisseur australien en a déplacé une grande partie vers Google Cloud Platform l’année dernière.
Suite aux derniers incidents de sécurité, l’entreprise a nommé d’autres responsables de la sécurité des produits ainsi qu’une RSSI chargée de la relation clients, alors que des attaques très médiatisées continuent à cibler ses produits et son propre réseau.
Microsoft revoit son approche de la cybersécurité après une attaque très médiatisée contre les courriels de l’entreprise et une réprimande sévère du gouvernement fédéral sur ses pratiques de sécurité. L’entreprise a nommé d’autres responsables de la sécurité des informations (RSSI) au sein des équipes de produits, ainsi qu’une nouvelle RSSI adjointe, chargée d’assurer la liaison avec les clients. Selon un rapport publié par Bloomberg, les CISO dédiés aux produits rendront compte à Igor Tsyganskiy, le RSSI mondial de Microsoft, arrivé à ce poste il y a six mois environ.
Par ailleurs, Ann Johnson, responsable de longue date de la sécurité, a été nommée RSSI adjointe chargée de l’assistance aux clients et des industries réglementées. Elle rendra également compte à Igor Tsyganskiy. Elle se concentrera sur « l’engagement des clients et la communication sur la sécurité de Microsoft », a précisé l’éditeur dans un courriel lu par Bloomberg. Vendredi, un porte-parole de Microsoft a déclaré dans un courriel que, pour le moment, l’entreprise n’avait rien à partager sur les changements de direction mentionnés.
Renforcer la stratégie de sécurité
Ces mesures semblent s’inscrire dans le prolongement de la Secure Future Initiative (SFI) dévoilée par l’entreprise en novembre afin d’améliorer la sécurité intégrée de ses produits et plateformes et de mieux protéger ses clients contre les menaces croissantes. L’initiative vise à mobiliser « toutes les parties de Microsoft » en vue de renforcer la protection de la cybersécurité selon trois axes : « les cyberdéfenses basées sur l’IA, les avancées dans l’ingénierie logicielle fondamentale et la défense d’une application plus stricte des normes internationales », comme l’avait déclaré à l’époque Brad Smith, vice-président et président de Microsoft.
En effet, les solutions de Microsoft sont historiquement et notoirement la cible de pirates informatiques qui ont longtemps exploité leurs failles pour mener des activités malveillantes ayant affecté de nombreuses entreprises et causé des dommages étendus dans de multiples secteurs d’activité et zones géographiques. En décembre, dans la foulée de l’annonce de cette initiative, Microsoft a nommé Igor Tsyganskiy, relativement nouveau dans l’entreprise, pour remplacer Bret Arsenault, CISO de longue date, nommé à un poste de conseiller.
Des problèmes de sécurité persistants
À peu près au même moment, mais à l’insu de Microsoft jusqu’en janvier, Midnight Blizzard un groupe de la menace basé en Russie, également connu sous le nom de Nobelium, piratait les courriels d’employés de Microsoft, y compris de cadres supérieurs. L’an dernier, Microsoft avait accusé ce groupe d’avoir eu recours à l’ingénierie sociale pour mener une cyberattaque contre Teams. Mi-avril, l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) avait averti que Midnight Blizzard avait exploité la faille pour voler les courriels d’agences gouvernementales, conseillant aux agences de vérifier d’urgence leurs systèmes de messagerie pour détecter tout signe de compromission.
Comme si cela ne suffisait pas, début avril, Microsoft a aussi fait l’objet d’une évaluation cinglante de la part d’une commission fédérale à propos d’une autre cyberattaque parrainée par un État et ayant affecté le gouvernement fédéral. Celle-ci s’est produite en juillet 2023, suite à l’intrusion d’acteurs chinois dans des comptes Microsoft 365 pour cibler des fonctionnaires clés du gouvernement américain. Le rapport publié le 2 avril par le comité indépendant d’examen de la cybersécurité du ministère de la Sécurité intérieure (Department of Homeland Security, DHS) dresse un bilan incendiaire de la culture de sécurité de Microsoft et accuse l’entreprise d’être responsable de l’attaque du groupe Storm-0558 qui, selon le comité, aurait pu être facilement évitée.
Sur la bonne voie
La dernière stratégie de sécurité de Microsoft montre que l’entreprise intègre les commentaires et prend des mesures correctives pour améliorer sa posture de sécurité globale et ses produits, en particulier à mesure que la pression extérieure s’intensifie. « Microsoft prend la bonne décision en mettant davantage l’accent sur la sécurité avec de nouvelles nominations à des postes de direction », a déclaré Pareekh Jain, CEO d’EIIRTrend & Pareekh Consulting, dans un courriel. « Aujourd’hui, non seulement des individus ou des groupes de pirates informatiques attaquent, mais des incidents de cybersécurité parrainés par l’État se produisent également. Les fournisseurs de solutuions comme Microsoft, qui ont une large emprise sur les consommateurs, les entreprises et les gouvernements, doivent avoir quelques longueurs d’avance dans ce domaine », a-t-il ajouté.
« Microsoft sera aussi considérée comme un exemple pour les autres fournisseurs de produits quant à la manière de relever les défis de sécurité, de sorte que les mesures qu’elle prend aujourd’hui sont cruciales pour la feuille de route globale de l’industrie en la matière », a-t-il fait remarquer. « Dans le secteur des produits, l’indicateur clé est le délai de mise sur le marché de nouvelles fonctionnalités. Il est temps que l’attention se porte sur le délai de sécurité », a ajouté le consultant. « L’industrie va scruter ce que fait Microsoft et, à l’avenir, un plus grand nombre d’entreprises de produits se concentreront sur le délai de mise sur le marché et sur l’intégration d’experts en sécurité au sein de leurs groupes de produits ».
Microsoft reconnaît que le problème de connectivité réseau sans fil, qui a largement affecté les utilisateurs du secteur public, de l’éducation et des entreprises, est lié à deux correctifs système du dernier patch tuesday de décembre. Une mesure d’atténuation est proposée.
Microsoft a proposé un correctif temporaire aux utilisateurs de Windows pour résoudre les problèmes liés au WiFi après une mise à jour de Windows 11 qui a compromis les connexions sans fil sur les réseaux publics, éducatifs et d’entreprise. Cette mesure fait suite à des rapports d’utilisateurs de Windows faisant état de problèmes de connexion de leurs ordinateurs à des réseaux Wi-Fi après le déploiement des mises à jour Patch Tuesday de décembre pour les produits Microsoft. Dans un message publié sur son site web, l’entreprise a attribué la responsabilité des problèmes de connectivité à deux mises à jour du système d’exploitation relatives au Patch Tuesday de décembre référencées KB5032288 et KB5033375 et a reconnu qu’elles affectaient davantage les utilisateurs de certains réseaux WiFi que d’autres. « Comme indiqué, le problème de connectivité concerne surtout les utilisateurs qui essayent de se connecter à un réseau WiFi d’entreprise, de l’éducation ou public utilisant l’authentification 802.1x », a écrit Microsoft. « Mais il ne devrait pas se produire sur les réseaux domestiques ».
En effet, les problèmes ont largement affecté les personnes se connectant au WiFi sur des réseaux sans fil ayant activé la transition rapide ou l’itinérance rapide, des options généralement utilisées sur les campus des universités pour faciliter une connectivité transparente entre différents points d’accès. En fait, certaines universités, comme l’Université de Colombie-Britannique, ont alerté leurs étudiants et leur personnel du problème avant que Microsoft ne réagisse et ont même conseillé de désinstaller la mise à jour comme mesure temporaire pour rétablir le service jusqu’à ce qu’un correctif délivré par le fournisseur soit disponible.
Des utilisateurs mécontents qui le font savoir
La solution de Microsoft n’est pas très différente de celle préconisée par l’Université de Colombie-Britannique et de celle que de nombreux autres utilisateurs ont déjà appliqué. L’entreprise a publié un « Known Issue Rollback » (KIR), qui permet au système d’exploitation de revenir à une version antérieure du code non affectée par le problème. Introduits pour la première fois en mars 2021 par Microsoft, ces KIR servent à corriger des bogues non liés à la sécurité de manière temporaire. L’entreprise prévoit de corriger le problème de manière plus complète et publiera un correctif prochainement. Microsoft a également indiqué que la propagation automatique de la résolution aux appareils grand public et aux appareils professionnels non gérés pouvait prendre jusqu’à 24 heures. Cependant, les utilisateurs peuvent redémarrer leur machine pour accélérer le processus. Quant aux terminaux d’entreprise affectés, il est possible de résoudre le problème en installant et en configurant une stratégie de groupe particulière, qui se trouve dans « Configuration de l’ordinateur – > Modèles d’administration – > », a précisé Microsoft.
Certains utilisateurs estiment que la réponse de Microsoft n’a pas été assez rapide, et ils se sont empressés de manifester leur mécontentement sur des forums de discussion Internet comme Reddit. Ils se sont aussi plaints d’avoir eu à résoudre eux-mêmes le problème en annulant la mise à jour. « Sans surprise, Microsoft a tout cassé avec sa mise à jour », a posté un utilisateur mécontent sur Reddit. « La mise en production est le meilleur moyen de tester son code. Continuez à baisser le niveau ». Dans la Communauté Microsoft, beaucoup d’utilisateurs ont aussi critiqué le correctif du Patch Tuesday, des utilisateurs signalant que même sur des ordinateurs portables Windows achetés récemment, la connectivité sans fil était lente ou inexistante. « Sur mon Lenovo Slim Pro 9i acheté il y a un peu plus de deux semaines chez Costco, la connexion Internet est devenue très lente et inutilisable après l’application du correctif de sécurité Windows 11 KB5033375 hier, et Google Chrome n’arrêtait pas d’envoyer des erreurs DNS et d’autres erreurs », a déclaré l’utilisateur Sunny6887. Les utilisateurs de Windows qui souffrent depuis longtemps n’ont pas tort, car ce n’est certainement pas la première fois qu’une mise à jour de Microsoft censée corriger son logiciel perturbe des services existants. L’histoire de Microsoft est pleine de rétropédalages après une mise à jour ou la publication de nouveaux correctifs à cause de problèmes créés par son propre système de correctifs.