Un serveur du service cloud de Microsoft, Azure, a subi une faille qui a tout simplement rendu accessible au tout-venant les informations qu'il détenait. Faille qui a depuis été corrigé. Mais qui pourrait faire mal.
Le service Azure a dû ces dernières années subir des attaques qui ont fait mal à la réputation de ce géant du cloud, appartenant à Microsoft. Pour renforcer sa sécurité, la firme de Redmond avait en fin d'année dernière annoncé son intention d'utiliser l'IA pour blinder les défenses d'Azure. Mais si le géant américain est sûrement devenu de cette manière moins vulnérable aux attaques extérieures, il n'est pas à l'abri de défaillances internes.
Un serveur de stockage Azure sans protection
C'est un joli lièvre qu'a récemment levé la société de cybersécurité SOC Radar. Elle a en effet identifié une faille de sécurité au niveau d'un serveur Azure qui rendait public, sans protection même d'un mot de passe, des informations en lien avec le moteur de recherche maison Bing. Résultat, n'importe quel quidam pouvait ouvrir la porte, et se servir dans les informations disponibles.
Et le serveur en question stockait de nombreuses informations, allant du code à des scripts. Plus embêtant, il disposait aussi de fichiers de configurations dans lesquels on pouvait retrouver des mots de passe et des informations d'identification ouvrant l'accès à d'autres bases de données de Microsoft.
Une faille qui pourrait faire mal ?
Autant dire que le risque que cette faille permette des attaques ultérieures semble élevé. SOC Radar indique avoir informé Microsoft du problème le 6 février dernier, alors que Microsoft aurait achevé de corriger le problème le 5 mars suivant.
Du côté de la firme américaine, on tente évidemment de minimiser l'incident. « Bien que les informations d'identification n'auraient pas dû être exposées, elles étaient temporaires, accessibles uniquement à partir des réseaux internes, et désactivées après les tests. Nous remercions nos partenaires d'avoir signalé ce problème de manière responsable » a ainsi expliqué à Techcrunch l'un des responsables du secteur chez Microsoft, Jeff Jones.
Cependant, le même média a aussi interrogé l'un des chercheurs à l'origine de la découverte, Can Yoleri. Et pour ce dernier, la faille « pourrait entraîner des fuites de données plus importantes et éventuellement compromettre les services utilisés. » Qui aura raison ?
- Refonte graphique de l'interface réussie
- Snap amélioré
- Groupes d'ancrage efficaces
Source : Techcrunch