Le cloud de Microsoft a été compromis, des milliers de clients potentiellement touchés

Voilà un problème dont Microsoft aurait aimé se passer. La firme a été contrainte de prévenir des milliers de clients de ses services cloud d’un gros problème de sécurité : des intrus auraient eu la possibilité, en exploitant une faille, d’accéder, modifier ou supprimer leurs bases de données. Parmi ces clients, on compte certaines des plus grosses entreprises du monde. Les enjeux sont donc du plus haut niveau.

Les clés laissées sur la porte

C’est une équipe de recherche en sécurité de l’entreprise Wiz qui a découvert cette faille et en a informé Microsoft au plus vite. Elle concerne Cosmos DB, un fleuron de Microsoft Azure quand il s’agit de la gestion de bases de données. Sans plus de détails, l’équipe a réussi à trouver le moyen d’accéder aux clés d’accès des bases de données des clients de Microsoft. D’après Ami Luttwak, représentant de Wiz, c’est tout simplement « la pire vulnérabilité du cloud que l’on puisse imaginer ». Il ajoute « il s’agit de la base de données centrale d’Azure et nous pouvions accéder à n’importe quelle base de donnée client que nous souhaitions ».

La pire vulnérabilité du cloud que l’on puisse imaginer.

Une telle clé donne un accès complet à la base de données, au même titre que son propriétaire légitime, et permet de la modifier ou la supprimer entièrement, ou encore d’en lire le contenu. Le problème est donc du plus haut niveau, puisque l’on pourrait lire les données confidentielles d’entreprises particulièrement puissantes.

Pour la découverte de cette faille, la société Wiz annonce avoir reçu 40 000 dollars de la part de Microsoft.

La faille corrigée, la solution dans les mains des clients

Les équipes de Microsoft affirment avoir corrigé la faille de sécurité nommée ChaosDB, qui permettait l’accès à ces clés. Problème : la firme elle-même ne peut pas modifier les clés compromises et a donc contacté ce jeudi les clients qu’elle pense potentiellement victimes du problème pour leur demander de modifier la clé. D’après Wiz toutefois, Microsoft aurait seulement contacté les entreprises concernées par le mois où l’équipe de Wiz a découvert la faille, qui existait pourtant déjà auparavant.

Microsoft connait beaucoup de déboires en ce moment concernant la sécurité de ses produits. On a ainsi découvert que brancher une simple souris Razer suffisait à prendre le contrôle d’un PC, et Windows a subi de plein fouet la faille PrintNightmare au cours des derniers mois.