Un chercheur en cybersécurité a découvert que le sélecteur de fichiers OneDrive permet à certaines applications d’obtenir un accès étendu à tous les documents d’un utilisateur, même si celui-ci n’en sélectionne qu’un seul. Microsoft a été alerté, mais n’a pas encore corrigé le problème.
- Un bug permet aux applications d'accéder à tous vos fichiers OneDrive, même si vous en choisissez un seul.
- Le système OAuth accorde des permissions globales, exposant votre compte à des risques potentiels d'abus.
- Malgré l'alerte, Microsoft n'a pas corrigé ce souci. Soyez vigilants et gérez vos autorisations manuellement.
Microsoft a intégré dans OneDrive le bien pratique File Picker. Il permet à l’utilisateur de choisir un fichier et de l’envoyer depuis son espace cloud vers une application tierce. Ce bouton, présent dans de nombreux services en ligne, se sert du protocole OAuth, déjà à l'origine de vulnérabilités, censé encadrer les autorisations. En réalité, les droits accordés vont souvent bien au-delà de ce que l’utilisateur imagine.
La faille vient du fait que le sélecteur ne limite pas l’accès à un fichier en particulier. Il demande au contraire une autorisation globale, couvrant tout le contenu du compte. Même si l’interface n’en laisse rien paraître, l’application connectée peut explorer l’ensemble des documents. Le chercheur qui a découvert cette faille affirme que cette situation concerne plusieurs services grand public, dont Slack, Trello, ClickUp ou ChatGPT.
- mood5 Go de stockage gratuit
- upload250 Go en limite d'envoi
- home_pinServeurs en Europe
Le sélecteur de fichiers autorise un accès global, même après un simple clic
L’analyse publiée par Oasis Security détaille une faille de conception qui ne saute pas aux yeux. Quand un utilisateur ouvre la fenêtre de sélection et choisit un fichier, il pense ne transmettre qu’un document précis. Pourtant, l’autorisation accordée couvre l’intégralité du compte. L’interface ne prévient pas que le service tiers pourra ensuite consulter d’autres fichiers, même sans interaction supplémentaire.
Dans le détail, la fenêtre d’autorisation ne propose pas de limiter l’accès à un fichier unique. Elle donne à l’application une lecture complète de tous les documents stockés dans OneDrive. Le chercheur précise que « l’invite est vague et ne transmet pas de manière adéquate le niveau d’accès ». Cette ambiguïté ouvre la voie à des abus, notamment si l’application conserve un jeton d’accès sans que l’utilisateur le sache.
Le risque s’étend aux services qui s’intègrent à OneDrive via OAuth. Dans ces cas, l’autorisation peut rester active plusieurs jours, voire davantage. Certaines applications récupèrent également un « refresh token », qui leur permet de renouveler l’accès à tout moment sans repasser par l’utilisateur. Aucune alerte ne prévient de cette persistance. La fenêtre de sélection, de son côté, reste la même.
Microsoft est informé mais n’a pas corrigé la situation à ce jour
Le chercheur a transmis ses découvertes à Microsoft par les canaux habituels. La firme a accusé réception mais n’a pas publié de correctif ni modifié la documentation en ligne. À ce jour, le File Picker continue d’appliquer les mêmes règles d’autorisation, sans distinguer les usages ponctuels des accès prolongés.
Oasis recommande d’éviter, pour l’instant, d’utiliser le sélecteur OneDrive dans les applications qui passent par OAuth. Il vaut mieux désactiver l’intégration temporairement si elle n’est pas essentielle. Il est également conseillé de ne pas stocker les jetons d’accès dans le navigateur et d’éviter l’usage de jetons d’actualisation tant qu’un encadrement plus strict n’est pas proposé. Les utilisateurs peuvent de leur côté consulter la page de gestion des accès Microsoft, pour révoquer manuellement les autorisations non utilisées.
31 mai 2025 à 10h05
Source : The Hacker News, Oasis
