Le 26 août 2021, l’entreprise américaine Microsoft a dû prévenir les milliers d’entreprises clientes de leur cloud qu’une faille informatique a rendu leurs données vulnérables “pendant plusieurs mois, voire des années”.
C’est Wiz, une société américaine de cybersécurité, qui a découvert la faille au cœur du mois d’août 2021. Les ingénieurs ont déclaré sur le blog de la firme “Imaginez notre surprise quand nous avons réussi à avoir complètement accès aux comptes et bases de données de plusieurs milliers de clients de Microsoft Azure, y compris de grandes entreprises”. Wiz a annoncé avoir reçu 40 000 dollars de la part de Microsoft pour avoir découvert la faille.
Récupération des clefs d’accès
L’équipe de la société de cybersécurité a trouvé le moyen aux clés d’accès des bases de données des clients de Microsoft. D’après Ami Luttwak, représentant de Wiz, il s’agit “de la pire vulnérabilité de cloud que l’on puisse imaginer”. La faille a été découverte dans la base de données centrale d’Azure (nom donné au cloud de Microsoft), “nous pouvions accéder à n’importe quelle base de donnée client que nous souhaitions” a déclaré la firme de cybersécurité.
“Le cauchemar de tout directeur de la sécurité d’une société c’est que quelqu’un récupère ses clés d’accès et s’en serve pour extraire des gigaoctets de données d’un coup.” explique Wiz. Celui qui a accès à la clé d’une base de données peut agir à sa guise sur celle-ci, c’est-à-dire d’en lire le contenu, de la modifier ou encore de la supprimer intégralement.
Une faille non-exploitée
Lorsqu’ils ont pris connaissance de la faille, Microsoft a rapidement désactivé le système faillible et a “informé plus de 30% des clients de CosmosDB” (le cloud concerné) qu’ils devaient changer leurs clés d’accès. Selon Wiz, les clients du cloud microsoft sont potentiellement encore en danger, et d’autres que ceux déjà prévenus pourraient être concernés, car “la faille a été exploitable pendant plusieurs mois, voire des années”. Selon Microsoft, la faille n’a pas été exploitée par des acteurs malveillants.