Des chercheurs de Microsoft AI ont accidentellement exposé 38 To de données sensibles, comprenant des milliers de messages internes. Une erreur qui était pourtant totalement évitable.
Un incident majeur de sécurité a secoué la communauté de la recherche en intelligence artificielle. Des spécialistes en cybersécurité de Wiz Research révèlent que des chercheurs de Microsoft AI ont accidentellement exposé pas moins de 38 To de donnée critiques, dans lesquels on retrouve 30 000 messages internes de Microsoft Teams. L'erreur provient du partage, pas très subtil, d'un ensemble de données d'entraînement en open source sur la plateforme GitHub.
Un futur IA gate signé Microsoft ?
L'équipe de recherche en intelligence artificielle de Microsoft a, via ce partage, exposé la gigantesque masse de données internes, en ayant mal configuré un jeton SAS (une fonctionnalité de Microsoft Azure), qui a exposé bien plus d'informations que prévu. Les données sensibles comprenaient des mots de passe, des clés privées et même des sauvegardes d'ordinateurs personnels des employés de l'entreprise.
Les chercheurs avaient utilisé des jetons SAS pour partager les données, mais au lieu de limiter l'accès à des fichiers bien spécifiques comme on peut le faire sur Teams ou Office, le lien a été configuré pour partager l'intégralité du compte de stockage, exposant ces dizaines de téraoctets de fichiers privés.
Et il y a pire : le jeton avait été configuré de façon à offrir une autorisation totale, ce qui donne la possibilité aux attaquants de supprimer ou d'écraser des fichiers. Ce n'est en tout cas pas la première fois que des données issues de Microsoft ont fuité après avoir été publiées sur GitHub.
Limiter l'autorisation, un impératif qui ne s'applique pas toujours
L'incident souligne les défis croissants en matière de sécurité auxquels sont confrontées les organisations travaillant avec de vastes quantités de données de formation en intelligence artificielle. Les data scientists et les ingénieurs doivent mettre en place des contrôles et des protections de sécurité robustes pour faire face à ces risques.
Partager ses recherches avec la communauté peut être une bonne chose, quand les mesures adéquates sont prises. Pour éviter de tels incidents, il est ainsi recommandé de strictement limiter l'utilisation de jetons SAS, d'opter pour des stratégies d'accès stockées pour le partage externe, et de créer des comptes de stockage dédiés. La surveillance de l'utilisation des jetons SAS demeure, qui plus est, essentielle pour détecter tout accès non autorisé.
Source : Wiz Research
Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)
Lire d'autres articles
