La faille de trop chez Microsoft ? C'est trop tôt pour le dire, mais ça commence à faire beaucoup. Après une faille dans Microsoft Exchange et la vulnérabilité liée à la cyberattaque SolarWinds, c'est au tour du service cloud de la société, Microsoft Azure, de montrer une défaillance. L'entreprise a averti les clients concernés, environ 3 300, que leurs données sont exposées depuis des années.

Les données des clients de Microsoft Azure sont exposées depuis deux ans

C'est une faille au sein d'Azure Cosmos DB qui aurait permis l'exposition des données de 3 300 clients. La vulnérabilité existe depuis 2019, au moment où Microsoft a ajouté une fonctionnalité de visualisation de données appelée Jupyter Notebook à Cosmos DB. La fonctionnalité a été activée par défaut pour toutes les bases de données Cosmos en février 2021... Parmi les clients concernés, on retrouve des entreprises de haut vol comme Coca-Cola, Liberty Mutual Insurance, ExxonMobil ou encore Walgreens.

Selon Ami Luttwak, CTO chez Wiz, la société de cybersécurité qui a découvert le problème : « c'est la pire vulnérabilité du cloud que vous pouvez imaginer. Il s'agit de la base de données centrale d'Azure, et nous avons pu avoir accès à toutes les bases de données clients que nous voulions ». Effectivement, cela pose de vraies questions. Pourtant, malgré la gravité et le risque présenté, Microsoft n'a pas vu de preuve que cette faille ait conduit à un accès aux données concernées. L'entreprise a déclaré que : « il n'y a pas de preuve que cette faille ait été exploitée par des acteurs malveillants ».

La faille la plus préoccupante pour Microsoft selon les chercheurs

Dans un billet de blog détaillé, Wiz donne plus de détails sur la vulnérabilité de Microsoft Azure. L'entreprise affirme avoir eu accès aux clés primaires qui sécurisent les bases de données Cosmos DB. Concrètement ces clés permettent d'avoir un accès complet aux données : lecture, écriture et suppression des données de plusieurs milliers de clients Azure. La faille de sécurité a été découverte il y a deux semaines et Microsoft a résolu le problème en 48 heures. Cependant, Microsoft ne peut pas changer les clés de ses clients. La société leur a envoyé un e-mail pour qu'ils changent leurs clés afin d'atténuer l'exposition.

Avec la montée en puissance du cloud depuis la pandémie de Covid-19, cette découverte est inquiétante. Si la société a effectivement fait l'objet de nombreuses failles de sécurité au cours des derniers mois, dont une récente faille dans le gestionnaire d'imprimante, qui a permis à des hackers de prendre le contrôle de plusieurs ordinateurs, la vulnérabilité de Microsoft Azure est bien la plus préoccupante. En effet, les données du monde entier se déplacent aujourd'hui à travers le cloud et c'est ce qui inquiète les chercheurs en cybersécurité.