EXCLUSIF Microsoft avertit des milliers de clients cloud des bases de données exposées

SAN FRANCISCO, 26 août (Reuters) – Microsoft (MSFT.O) a averti jeudi des milliers de ses clients du cloud computing, dont certaines des plus grandes entreprises du monde, que les intrus pourraient avoir la possibilité de lire, modifier ou même supprimer leurs principales bases de données, selon une copie de l’e-mail et un chercheur en cybersécurité.

La vulnérabilité se trouve dans la base de données phare Cosmos DB de Microsoft Azure. Une équipe de recherche de la société de sécurité Wiz a découvert qu’elle était capable d’accéder aux clés qui contrôlent l’accès aux bases de données détenues par des milliers d’entreprises. Le directeur de la technologie de Wiz, Ami Luttwak, est un ancien directeur de la technologie du Cloud Security Group de Microsoft.

Étant donné que Microsoft ne peut pas modifier ces clés par lui-même, il a envoyé un e-mail aux clients jeudi pour leur demander d’en créer de nouvelles. Microsoft a accepté de payer 40 000 $ à Wiz pour avoir trouvé la faille et l’avoir signalée, selon un e-mail qu’il a envoyé à Wiz.

« Nous avons résolu ce problème immédiatement pour assurer la sécurité et la protection de nos clients. Nous remercions les chercheurs en sécurité d’avoir travaillé dans le cadre d’une divulgation coordonnée des vulnérabilités », a déclaré Microsoft à Reuters.

L’e-mail de Microsoft aux clients indiquait qu’il n’y avait aucune preuve que la faille ait été exploitée. « Nous n’avons aucune indication que des entités externes en dehors du chercheur (Wiz) aient eu accès à la clé de lecture-écriture principale », indique l’e-mail.

« C’est la pire vulnérabilité du cloud que vous puissiez imaginer. C’est un secret de longue date », a déclaré Luttwak à Reuters. « Il s’agit de la base de données centrale d’Azure, et nous avons pu accéder à n’importe quelle base de données client que nous voulions. »

L’équipe de Luttwak a découvert le problème, surnommé ChaosDB, le 9 août et a informé Microsoft le 12 août, a déclaré Luttwak.

La faille se trouvait dans un outil de visualisation appelé Jupyter Notebook, disponible depuis des années mais activé par défaut dans Cosmos à partir de février. Après que Reuters ait signalé la faille, Wiz a détaillé le problème dans un article de blog.

Luttwak a déclaré que même les clients qui n’ont pas été informés par Microsoft pourraient avoir leurs clés piratées par des attaquants, leur donnant accès jusqu’à ce que ces clés soient modifiées. Microsoft n’a indiqué aux clients dont les clés étaient visibles ce mois-ci, lorsque Wiz travaillait sur le problème.

Microsoft a déclaré à Reuters que « les clients susceptibles d’avoir été touchés ont reçu une notification de notre part », sans donner plus de détails.

La divulgation intervient après des mois de mauvaises nouvelles en matière de sécurité pour Microsoft. La société a été violée par les mêmes pirates présumés du gouvernement russe qui ont infiltré SolarWinds, qui ont volé le code source de Microsoft. Ensuite, un grand nombre de pirates ont fait irruption dans les serveurs de messagerie Exchange alors qu’un correctif était en cours de développement.

Un correctif récent pour une faille d’imprimante qui permettait des prises de contrôle d’ordinateurs a dû être refait à plusieurs reprises. Une autre faille d’Exchange la semaine dernière a incité le gouvernement américain à avertir d’urgence que les clients doivent installer les correctifs publiés il y a des mois parce que les gangs de ransomware l’exploitent maintenant.

Les problèmes avec Azure sont particulièrement troublants, car Microsoft et des experts en sécurité externes ont poussé les entreprises à abandonner la plupart de leur propre infrastructure et à s’appuyer sur le cloud pour plus de sécurité.

Mais bien que les attaques cloud soient plus rares, elles peuvent être plus dévastatrices lorsqu’elles se produisent. De plus, certains ne sont jamais médiatisés.

Un laboratoire de recherche sous contrat fédéral suit toutes les failles de sécurité connues dans les logiciels et les évalue par gravité. Mais il n’existe pas de système équivalent pour les failles dans l’architecture cloud, de sorte que de nombreuses vulnérabilités critiques ne sont pas divulguées aux utilisateurs, a déclaré Luttwak.

Reportage de Joseph Menn ; Montage par William Mallard

Nos normes : les principes de confiance de Thomson Reuters.