Des chercheurs et une agence de cybersécurité exhortent les utilisateurs de la base de données cloud de Microsoft à agir

28 août (Reuters) – Les chercheurs qui ont découvert samedi une faille massive dans les principales bases de données stockées sur la plate-forme cloud Azure de Microsoft Corp (MSFT.O) ont exhorté tous les utilisateurs à modifier leurs clés d’accès numériques, et pas seulement les 3 300 qu’ils ont notifiées cette semaine.

Comme indiqué pour la première fois par Reuters, des chercheurs d’une société de sécurité cloud appelée Wiz ont découvert ce mois-ci qu’ils auraient pu accéder aux clés numériques principales pour la plupart des utilisateurs du système de base de données Cosmos DB, leur permettant de voler, modifier ou supprimer des millions d’enregistrements. Lire la suite

Alerté par Wiz, Microsoft a rapidement corrigé l’erreur de configuration qui aurait permis à n’importe quel utilisateur de Cosmos d’accéder facilement aux bases de données d’autres clients, puis a notifié jeudi à certains utilisateurs de changer leurs clés.

Vendredi, dans un article de blog, Microsoft a déclaré avoir averti les clients qui avaient configuré l’accès à Cosmos pendant la période de recherche d’une semaine. Il n’a trouvé aucune preuve que des attaquants aient utilisé la même faille pour accéder aux données des clients, a-t-il noté.

« Notre enquête ne montre aucun accès non autorisé autre que l’activité du chercheur », a écrit Microsoft. « Des notifications ont été envoyées à tous les clients qui pourraient être potentiellement affectés en raison de l’activité des chercheurs », a-t-il déclaré, faisant peut-être référence à la possibilité que la technique ait fui de Wiz.

« Bien qu’aucune donnée client n’ait été consultée, il est recommandé de régénérer vos clés de lecture-écriture primaires », a-t-il déclaré.

La Cybersecurity and Infrastructure Security Agency du département américain de la Sécurité intérieure a utilisé un langage plus fort dans un bulletin vendredi, indiquant clairement qu’elle ne s’adressait pas seulement aux personnes notifiées.

« CISA encourage fortement les clients Azure Cosmos DB à déployer et à régénérer leur clé de certificat », a déclaré l’agence.

Les experts de Wiz, fondé par quatre vétérans de l’équipe de sécurité interne d’Azure, ont accepté.

« À mon avis, il est vraiment difficile pour eux, voire impossible, d’exclure complètement que quelqu’un l’ait déjà utilisé », a déclaré l’un des quatre, le directeur de la technologie de Wiz, Ami Luttwak. Chez Microsoft, il a développé des outils pour enregistrer les incidents de sécurité dans le cloud.

Microsoft n’a pas répondu directement lorsqu’on lui a demandé s’il disposait de journaux complets pour les deux années où la fonctionnalité Jupyter Notebook était mal configurée ou avait utilisé un autre moyen pour exclure les abus d’accès.

« Nous avons élargi notre recherche au-delà des activités du chercheur pour rechercher toutes les activités possibles pour des événements actuels et similaires dans le passé », a déclaré le porte-parole Ross Richendrfer, refusant de répondre à d’autres questions.

Wiz a déclaré que Microsoft avait travaillé en étroite collaboration avec lui sur la recherche, mais avait refusé de dire comment il pouvait être sûr que les clients précédents étaient en sécurité.

« C’est terrifiant. J’espère vraiment que personne d’autre que nous n’a trouvé ce bug », a déclaré l’un des chercheurs principaux du projet chez Wiz, Sagi Tzadik.

Reportage de Joseph Menn à San Francisco ; Montage par Richard Chang

Nos normes : les principes de confiance de Thomson Reuters.