Microsoft prévient qu'une importante faille toucherait les bases de données de ses clients cloud

27 août 2021 à 11h14
8
Cloud hacker © shutterstock.com
© Shutterstock

Hier, Microsoft a annoncé à des milliers de clients, principalement des entreprises, qu’une importante faille de sécurité sur leur service cloud Azure avait été corrigée. Le défaut détecté aurait pu permettre à des intrus de pénétrer dans les bases de données des clients afin de les consulter, de les modifier ou même de les supprimer.

D’après Microsoft, cette faille de sécurité a été corrigée avant de pouvoir être exploitée par des individus ou logiciels malveillants.

Microsoft a égaré ses clés

La faille de sécurité en question, nommée ChaosDB, a été découverte par l’entreprise de sécurité Wiz. Dans les grandes lignes, Microsoft Azure a donné accès aux clients de Cosmos DB à une fonctionnalité de représentation graphique de leurs données, appelée Jupyter Notebook. Disponible depuis 2019, Jupyter Notebook n’a cependant été activé par défaut que depuis février 2021.

Or, via une méthode qui n’a pas encore été publiée par Wiz, l’expert en sécurité a réussi à accéder aux Jupyter Notebook d’autres clients de Microsoft Azure. Pire encore, la faille de sécurité détectée permettait alors de récupérer les clés primaires donnant l’accès aux services Cosmos DB de milliers de clients. De là, il était possible d’accéder aux bases de données, de les modifier ou de les supprimer, de la même manière qu’un administrateur.

La faille a été détectée par Wiz au début du mois d’août, et Microsoft a été prévenu dans la foulée. Depuis, le géant américain a corrigé la faille de sécurité. Mais, n’ayant pas accès aux clés primaires potentiellement compromises, Microsoft demande désormais à plusieurs milliers de clients de modifier eux-mêmes leurs clés. Et certains très gros comptes, comme Coca-Cola ou Exxon-Mobile, font partie des potentielles victimes.

Une mauvaise passe pour Microsoft

Microsoft n’avait certainement pas besoin d’une telle nouvelle. Même si des mesures ont été prises très rapidement, et qu’aucune véritable attaque ne semble avoir exploité cette faille, il s’agit une nouvelle fois d’une mauvaise presse pour l’entreprise de Redmond. En effet, Microsoft doit continuer de gérer les effets de l’affaire « PrintNightmare », mais aussi les retombées politiques, médiatiques et commerciales des failles de Microsoft Exchange.

Et, encore une fois, la gestion du problème par Microsoft semble discutable. Sur son site internet, Wiz précise ainsi que, si Microsoft a prévenu les clients qui ont été affectés par ChaosDB au moment de sa découverte début août, la faille de sécurité était en réalité exploitable depuis des mois. Wiz conseille donc à tous les comptes Cosmos DB utilisant Jupyter Notebook de modifier leurs clés primaires.

Source : Reuters

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
8
6
Koin-Koin
Exxon-Mobil
Popoulo
Ca reste honnête de le dire après coup, faut le reconnaitre.
clockover
De toute façon, la faille n°1 s’est déjà d’héberger ses données chez un autre…
Popoulo
C’est sur mais après faut l’infrastructure pour. Peut-être pas donné à tout le monde.<br /> @Cluclu : Pour le titre «&nbsp;toucherait&nbsp;» → «&nbsp;avait touché&nbsp;» ne serait pas plus juste ? étant donné que dans l’article on peut lire «&nbsp;Depuis, le géant américain a corrigé la faille de sécurité.&nbsp;»
clockover
Effectivement, il y a une dimension minimale à atteindre pour que cela revienne moins cher de s’auto-héberger plutôt que de faire appel à un prestataire.<br /> Cependant le ticket d’entrée est très raisonnable.<br /> A moins d’avoir un applicatif TRES lourd générateur d’aucun revenu.<br /> Mais c’est certainement hyper rare comme situation.
Popoulo
Tout à fait d’accord. Autant le matériel n’est pas des plus onéreux mais la mise en place risque de refroidir un peu l’utilisateur s’il n’est pas motivé. Pour une simple gestion de ses documents persos, etc… c’est assez facilement réalisable. Juste le point de la sécurité à ne pas négliger.
YSmaldore
J’ai hésité. La faille a été corrigée, mais Wiz n’a pas l’air aussi convaincu que Microsoft qu’elle n’a pas été exploitée, et «&nbsp;incite tous les utilisateurs&nbsp;» à changer les clés primaires, et pas uniquement ceux prévenus par Microsoft. Pour eux, il y aurait donc encore un risque. C’est peut-être juste une manière de faire leur beurre aussi, vous me direz.
bmustang
une de moins qui mènera à d’autres de toute façon et les enjeux de la sécurité ne font que commencer pour ces grands groupes.
Voir tous les messages sur le forum

Derniers actualités

Xiaomi nous en dit plus sur sa voiture électrique et les technologies maison qu'elle embarquera
Samsung Galaxy Z Fold 3 versus Galaxy Z Fold 4 : des évolutions suffisantes pour changer de smartphone ?
Cette solution VPN vous accompagne jusqu'à l'automne 2025 à -83% !
Non, vous ne rêvez pas ! Tesla a installé une piscine sur un Superchargeur
Pour vous, le meilleur antivirus du marché est disponible à -60% pendant un an !
Après Samsung et Xiaomi, c'est au tour de Motorola d'officialiser son Razr 2022
Microsoft introduit l'effet Mica dans Word 2021
Microsoft corrige plus de 120 failles, dont 17 critiques
Offrez-vous un haut niveau de cybersécurité à bon prix avec cette suite antivirus Norton
Top 5 des applications à tester ce week-end sur votre smartphone
Haut de page