L’entreprise en cybersécurité UpGuard a révélé le 23 août que plus de 38 millions de données ont été rendues vulnérables à cause d’un défaut de configuration d’un logiciel de Microsoft. La start-up a comptabilisé 47 organisations affectées par la faille au cours de son enquête, lancée fin mai.
Des informations très privées exposées
Des entreprises comme American Airlines, J.B. Hunt, Ford et même certains départements de Microsoft ont été touchées, comme des organismes publics comme l’autorité de la santé du Maryland, l’Indiana, les transports de la ville de New York. Les structures affectées ouvertement citées par UpGuard sont toutes américaines.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Quant aux informations disponibles, elles varient selon la structure affectée, des noms, des adresses, des adresses électroniques, des numéros de téléphone, de sécurité sociale, des informations sur l’état vaccinal des personnes, sur leur prochain rendez-vous de vaccination…
Cette faille vient du logiciel Power Apps de Microsoft. Il permet de créer facilement et à peu de frais des sites internet et applications mobiles. Il est utilisé pour « donner à des utilisateurs internes et externes un accès sécurisé à ses données », explique UpGuard.
Ce qu’a repéré la start-up de cybersécurité est une vulnérabilité d’un genre particulier. Il ne s’agit pas de la récolte de données sur un réseau social comme ce qu’a subi LinkedIn en avril ni d’une faille telle PrintNightmare corrigée par Microsoft en juin. Il s’agit simplement d’une mauvaise configuration d’un paramètre de confidentialité de Power Apps.
Microsoft reconnaît un défaut de conception de Power Apps
Pour UpGuard cela rentre tout de même dans le domaine de la vulnérabilité. Vu la récurrence de l’erreur, l’entreprise estime qu’il « est préférable de modifier le produit en réponse aux comportements observés des utilisateurs plutôt que d’attribuer la perte de confidentialité systémique de données à une mauvaise configuration de l’utilisateur final ».
Microsoft a bien reconnu un défaut de conception de son logiciel. Une mise à jour importante a été réalisée en août pour corriger cette erreur. Un porte-parole de l’entreprise a déclaré aux Échos, « Nous prenons la sécurité et la confidentialité au sérieux, et encourageons nos clients à configurer les produits de façon à satisfaire au mieux leurs besoins en matière de confidentialité ». Microsoft a assuré que les clients exposés à un risque de fuites de données étaient systématiquement prévenus.