Le site Web gratuit Office 365 d’Afrique du Sud est mort depuis un an – et Microsoft est comme un disque rayé
Le site Web qui permet aux apprenants et aux jeunes étudiants de s’abonner gratuitement à plusieurs applications de productivité de Microsoft est mort depuis un an.
Les tentatives de MyBroadband pour établir pourquoi le Portail Mahala.ms est resté en maintenance depuis que nous avons révélé une faille de sécurité sur le site ont reçu la même réponse générique.
Lancé en 2017, Mahala par Microsoft a permis aux Sud-Africains âgés de 8 à 24 ans d’obtenir une licence Microsoft 365 gratuite et 5 Go de stockage cloud OneDrive.
La licence comprenait l’accès à des applications de productivité populaires telles qu’Excel, Word, OneNote, Outlook et PowerPoint, qui faisaient partie de l’ancienne suite Office 365.
Le programme visait à permettre aux apprenants de la R à la 12e année d’être plus productifs et de perfectionner leurs compétences en informatique pour leur carrière universitaire ou leur futur lieu de travail.
Les utilisateurs devaient simplement s’inscrire au programme via Mahala.ms.
Mais le site Web a été supprimé début septembre 2021 lorsque MyBroadband a informé Microsoft d’une vulnérabilité qui a exposé les détails de ses quelque 22 000 utilisateurs à toute personne ayant un compte sur le programme.
La faille a été découverte par le lecteur MyBroadband Israel Ndou et partagée avec cette publication pour signaler à Microsoft.
Le lecteur a déclaré qu’il avait tendu la main parce qu’il craignait que des parties malveillantes puissent utiliser les informations à des fins d’usurpation d’identité ou d’hameçonnage.
Les utilisateurs enregistrés de Mahala pouvaient voir les autres personnes inscrites au programme sur le site Web Mahala.ms.
En effet, un abonnement donnait accès au service de gestion des identités et des accès basé sur le cloud de Microsoft, Azure Active Directory (AD).
En exécutant une simple commande via Microsoft Powershell à l’aide d’un module pouvant être connecté à Azure AD (illustré ci-dessous), un utilisateur peut télécharger les noms, adresses e-mail, numéros de téléphone portable et adresses e-mail Mahala.ms de tous les autres utilisateurs.
Le site Web Mahala.ms affiche un message « Site en maintenance » depuis que la vulnérabilité a été signalée.
MyBroadband a demandé à Microsoft des commentaires sur les raisons pour lesquelles la résolution du problème prenait autant de temps à quatre reprises depuis octobre 2021, la dernière étant en août 2022.
A chaque fois, nous avons eu la même réponse :
« Nous prenons la confidentialité au sérieux et avons résolu un problème, qui n’était en aucun cas lié à une vulnérabilité de sécurité, dans laquelle des noms et, dans certains cas, des adresses e-mail et des numéros de téléphone, pouvaient être découverts. La Mahala Le service est opérationnel pour les utilisateurs existants et nous travaillons à reprendre le service pour les nouveaux abonnés.
Hormis le fait que Microsoft soit censé « travailler pour reprendre le service » depuis un an, son insistance sur le fait que le statut « en maintenance » du site n’était « en aucun cas lié à une faille de sécurité » n’a aucun sens.
Cela semble impliquer que la possibilité de télécharger les informations d’autres utilisateurs était une fonctionnalité, pas un bogue.
Cela n’expliquerait pas non plus pourquoi il était nécessaire de supprimer le site en premier lieu.
Bien que Microsoft indique que les utilisateurs enregistrés peuvent toujours utiliser les applications, ces utilisateurs ne peuvent pas se connecter sur un nouvel appareil.
Plusieurs éducateurs et un employé du gouvernement ont demandé à MyBroadband quand le programme serait à nouveau disponible.
Une enseignante a expliqué que l’indisponibilité du site avait rendu difficile pour ses matricules la préparation de leurs examens de fin d’année.
«Je vous suis très reconnaissant, à vous et à votre lecteur, de jouer le rôle de chien de garde, en tenant des organisations comme celles-ci responsables. Cependant, nous sommes maintenant vraiment désespérés de rétablir le service », a-t-elle déclaré.
Malheureusement, à partir des réponses de Microsoft, nous ne pouvons pas présumer du temps estimé pour que le site soit de nouveau en ligne, le cas échéant.