La bourde de Microsoft : 38 To de données internes dans la nature pendant trois ans

 
38 To de données privées : c’est ce qui aurait pu se retrouver dans la nature, si Microsoft n’avait pas été prévenu. Il s’agit de données provenant de la division de recherche spécialisée en intelligence artificielle, concernant les données de 359 salariés.
Source : Turag Photography via Unsplash

Données personnelles, mots de passe, messages privés : 359 salariés de Microsoft sont affectés par une fuite de données… de Microsoft. Plus de peur que de mal, mais surtout un rappel pour la firme de Redmond qu’il faut qu’elle améliore ses procédures de sécurité.

Des données dans la nature repérées trois ans après

C’est à partir de juillet 2020 que les équipes de recherche de Microsoft dédiées à l’intelligence artificielle ont, par mégarde, rendu vulnérables 38 To de données, rapporte Bleeping Computer. À cette époque, elles contribuaient à des modèles d’apprentissage open source en utilisant un espace GitHub public.

Le schéma expliquant comment s’est déroulée la fuite // Source : Wiz

Des données découvertes il y a peu par la société de sécurité informatique Wiz, comme elle le raconte dans un billet de blog. En fait, c’est un employé de Microsoft qui a partagé accidentellement l’URL d’un espace de stockage en ligne, mal configuré, sur Azure. Le problème, c’est que cette URL donnait un contrôle total sur les fichiers partagés. D’ailleurs, la fonctionnalité en question d’Azure rend difficile la révocation de cette autorisation.

Les différents risques de sécurité liés à l’utilisation de signatures d’accès partagé // Source : Wiz

Wiz remet en cause l’utilisation par Microsoft des jetons de signature d’accès partagé (SAS). Cette fonctionnalité « fournit un accès délégué sécurisé aux ressources de votre compte de stockage. » Son but est de définir les autorisations sur divers fichiers, ainsi que d’en déterminer la durée d’accès.

Selon Wiz, « les jetons SAS présentent un risque pour la sécurité et leur utilisation devrait être aussi limitée que possible. Ces jetons sont très difficiles à suivre, car Microsoft ne fournit pas de moyen centralisé pour les gérer dans le portail Azure. » C’est d’ailleurs le problème qu’a rencontré Microsoft : dans le jeton de l’URL partagée, aucune date d’expiration n’avait été configurée.

38 To de données sensibles qui concernaient des employés de Microsoft

Si les fichiers concernés étaient principalement des modèles d’apprentissage open source, Wiz dit avoir également retrouvé 38 To de données privées. Elles contiennent des sauvegardes d’informations personnelles de salariés, comme des mots de passe de services Microsoft ou des clés secrètes.

Un extrait d’une discussion interne chez Microsoft // Source : Wiz

En plus de ça, l’archive contenait pas moins de 30 000 messages internes issus de Microsoft Teams, concernant 359 salariés de l’entreprise. Microsoft a évidemment été prévenu par Wiz en amont de l’annonce de cette fuite. L’entreprise a précisé qu’aucune donnée de client n’avait été exposée et que seul le service en question était concerné.


Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !

Les derniers articles