Voilà un problème dont Microsoft aurait aimé se passer. La firme a été contrainte de prévenir des milliers de clients de ses services cloud d’un gros problème de sécurité : des intrus auraient eu la possibilité, en exploitant une faille, d’accéder, modifier ou supprimer leurs bases de données. Parmi ces clients, on compte certaines des plus grosses entreprises du monde. Les enjeux sont donc du plus haut niveau.
Les clés laissées sur la porte
C’est une équipe de recherche en sécurité de l’entreprise Wiz qui a découvert cette faille et en a informé Microsoft au plus vite. Elle concerne Cosmos DB, un fleuron de Microsoft Azure quand il s’agit de la gestion de bases de données. Sans plus de détails, l’équipe a réussi à trouver le moyen d’accéder aux clés d’accès des bases de données des clients de Microsoft. D’après Ami Luttwak, représentant de Wiz, c’est tout simplement « la pire vulnérabilité du cloud que l’on puisse imaginer ». Il ajoute « il s’agit de la base de données centrale d’Azure et nous pouvions accéder à n’importe quelle base de donnée client que nous souhaitions ».
La pire vulnérabilité du cloud que l’on puisse imaginer.
4 mois d’abonnements offerts, un bloqueur de pub intégré et des serveurs parmi les plus rapides du marché : c’est Noël chez Surfshark ! L’abonnement à ce VPN est à seulement 1,99 € /mois !
Une telle clé donne un accès complet à la base de données, au même titre que son propriétaire légitime, et permet de la modifier ou la supprimer entièrement, ou encore d’en lire le contenu. Le problème est donc du plus haut niveau, puisque l’on pourrait lire les données confidentielles d’entreprises particulièrement puissantes.
Pour la découverte de cette faille, la société Wiz annonce avoir reçu 40 000 dollars de la part de Microsoft.
La faille corrigée, la solution dans les mains des clients
Les équipes de Microsoft affirment avoir corrigé la faille de sécurité nommée ChaosDB, qui permettait l’accès à ces clés. Problème : la firme elle-même ne peut pas modifier les clés compromises et a donc contacté ce jeudi les clients qu’elle pense potentiellement victimes du problème pour leur demander de modifier la clé. D’après Wiz toutefois, Microsoft aurait seulement contacté les entreprises concernées par le mois où l’équipe de Wiz a découvert la faille, qui existait pourtant déjà auparavant.
Microsoft connait beaucoup de déboires en ce moment concernant la sécurité de ses produits. On a ainsi découvert que brancher une simple souris Razer suffisait à prendre le contrôle d’un PC, et Windows a subi de plein fouet la faille PrintNightmare au cours des derniers mois.
Les commentaires de profanes.... *tousse*
La sécurité chez Microsoft... *tousse*
Apple aussi en a autant c'est juste qu'on en parle moins . Ils ont trouvé dernièrement une faille dans le nouveau systeme de filtrage pour enfant.
Et dire qu'il y en a qui prétendent que les solutions cloud sont invulnérables ...
Pourquoi l'application n'est plus disponible sur tablette ?
Pas mal la fin de l'article pour rattacher des infos qui n'ont quasiment rien à voir entre elles, sinon la tentaculaire société mère qu'est Microsoft !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix