Données personnelles, mots de passe, messages privés : 359 salariés de Microsoft sont affectés par une fuite de données… de Microsoft. Plus de peur que de mal, mais surtout un rappel pour la firme de Redmond qu’il faut qu’elle améliore ses procédures de sécurité.
Des données dans la nature repérées trois ans après
C’est à partir de juillet 2020 que les équipes de recherche de Microsoft dédiées à l’intelligence artificielle ont, par mégarde, rendu vulnérables 38 To de données, rapporte Bleeping Computer. À cette époque, elles contribuaient à des modèles d’apprentissage open source en utilisant un espace GitHub public.
Des données découvertes il y a peu par la société de sécurité informatique Wiz, comme elle le raconte dans un billet de blog. En fait, c’est un employé de Microsoft qui a partagé accidentellement l’URL d’un espace de stockage en ligne, mal configuré, sur Azure. Le problème, c’est que cette URL donnait un contrôle total sur les fichiers partagés. D’ailleurs, la fonctionnalité en question d’Azure rend difficile la révocation de cette autorisation.
Wiz remet en cause l’utilisation par Microsoft des jetons de signature d’accès partagé (SAS). Cette fonctionnalité « fournit un accès délégué sécurisé aux ressources de votre compte de stockage. » Son but est de définir les autorisations sur divers fichiers, ainsi que d’en déterminer la durée d’accès.
Selon Wiz, « les jetons SAS présentent un risque pour la sécurité et leur utilisation devrait être aussi limitée que possible. Ces jetons sont très difficiles à suivre, car Microsoft ne fournit pas de moyen centralisé pour les gérer dans le portail Azure. » C’est d’ailleurs le problème qu’a rencontré Microsoft : dans le jeton de l’URL partagée, aucune date d’expiration n’avait été configurée.
38 To de données sensibles qui concernaient des employés de Microsoft
Si les fichiers concernés étaient principalement des modèles d’apprentissage open source, Wiz dit avoir également retrouvé 38 To de données privées. Elles contiennent des sauvegardes d’informations personnelles de salariés, comme des mots de passe de services Microsoft ou des clés secrètes.
En plus de ça, l’archive contenait pas moins de 30 000 messages internes issus de Microsoft Teams, concernant 359 salariés de l’entreprise. Microsoft a évidemment été prévenu par Wiz en amont de l’annonce de cette fuite. L’entreprise a précisé qu’aucune donnée de client n’avait été exposée et que seul le service en question était concerné.
Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix