Le service de cloud Microsoft Azure alerte des milliers de clients de la découverte d’une énorme faille de sécurité passée inaperçue depuis des années. Selon Ami Luttwak, le PDG de Wiz, la firme de cybersécurité à l’origine de la découverte “il s’agit de l’une des pires vulnérabilités de cloud que vous pouvez imaginer”.
La faille, en effet, permettait à un acteur malveillant d’accéder à “la base de données centrale de Microsoft Azure”. Les chercheurs de Wiz seraient ainsi parvenus à “accéder à toutes les bases de données clients” stockées sur la plateforme, sans restriction. Bien sûr, Microsoft Azure n’est jamais utilisé directement par l’immense majorité des internautes.
De nombreux gros sites utilisent Microsoft Azure pour leurs bases de données clients
Mais vos données les plus sensibles sont sans doute sans que vous ne le sachiez sur les serveurs Azure. Microsoft Azure vend en effet des solutions de cloud pour les plus grandes entreprises du web et de l’économie réelle. Parmi les plus gros clients de Microsoft Azure, on trouve les entreprises suivantes :
- eBay
- Boeing
- Samsung
- BMW
- Accenture
- Adobe
- Airbus Defence and Space
- Asics
- Asos
- Aston Martin
- Axa
- Bing Ads
- Coca-Cola
- Docusign
- HP
- Monday
- Reuters
- NortonLifeLock
- Tencent
- Transport for London
- Uber
- Ubisoft
- Vodafone
- Xbox
- et bien plus encore…
Si vous détenez un compte client chez l’une de ces entreprises, il est fortement recommandé de modifier votre mot de passe le plus rapidement possible. Dans certains cas la firme chez qui vous détenez le compte vous préviendra directement par email – mais ce ne sera pas forcément toujours le cas.
Concrètement la faille résidait dans les bases de données Cosmos DB utilisées par plus de 3300 clients Azure. La faille existe depuis au moins 2019 – année où Microsoft a ajouté une fonctionnalité de visualisation des données baptisée Jupyter Notebook. La fonctionnalité est active par défaut sur toutes les bases Cosmos DB depuis février 2021.
Microsoft veut rester rassurant
Dans un blog de post détaillé, Wiz explique qu’une faille découverte dans le composant Jupyter Notebook a permis à ses chercheurs d’accéder aux clés de chiffrement primaires à la base de la sécurité des bases de données Cosmos DB. Grâce à ces clés, Wiz a obtenu un accès en lecture en écriture à aux données de plus de 3000 clients Microsoft Azure.
Microsoft se veut rassurant malgré la gravité de la faille : “nous n’avons pas trouvé de preuves laissant penser que cette technique a été activement exploitée par des acteurs malicieux”, contrairement à ce que suggère Wiz. La firme de cybersécurité a reçu une récompense de 40 000 dollars pour sa découverte.
Wiz révèle que les détails de la vulnérabilité ont été communiqués à Microsoft il y a deux semaines – conduisant à la désactivation de la vulnérabilité dans les 48 heures, ce qui est assez remarquable pour être relevé.
Lire aussi – Microsoft dévoile une nouvelle faille de Windows actuellement exploitée par des pirates
Les clients institutionnels de Microsoft Azure doivent néanmoins changer manuellement leurs clés d’accès pour ne pas s’exposer à des piratages. Piratages qui ont peut-être eu lieu pendant la période où la faille de sécurité est restée active…
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Qu’il y ait une faille, ça ne m’étonne pas.
Qu’elle n’ait pas été découverte avant, ça ne m’étonne pas non plus, Azure est une telle usine à gaz que, en tant qu’adminsys, je passe des heures à cliquer à la recherche des fonctions que je veux utiliser, Powershell est plus efficace pour faire ce que j’ai à faire dessus. Leur interface est imbitable (après googlecloud et AWS ont aussi une ergonomie à améliorer).