Alexandre
Microsoft a reconnu avoir corrigé une grave faille dans son service cloud Azure qui affectait plusieurs applications internes, dont Bing et Office 365. La faille a été découverte par les chercheurs en sécurité de Wiz. Une entreprise spécialisée dans la sécurité dans le cloud, qui a réussi à accéder au système de gestion de contenu (CMS) qui alimente le moteur de recherche Bing.com.
Comme les chercheurs l’ont expliqué dans un article de blog, cette faille était due à une erreur de configuration courante dans Azure Active Directory, le service qui gère les identités et l’accès aux applications cloud. Cette déconfiguration a permis à tout utilisateur disposant d’un compte Azure gratuit d’obtenir des privilèges élevés sur diverses applications Microsoft internes, sans nécessiter d’authentification ou d’autorisation.
Adieu à une grave vulnérabilité dans Azure qui aurait affecté Bing et Microsoft 365
L’une des applications vulnérables était le CMS Bing.com. Cela leur a permis de modifier les résultats de recherche et de lancer des attaques XSS (cross-site scripting) sur les utilisateurs des moteurs de recherche. Ces attaques pourraient compromettre les données personnelles des utilisateurs, telles que leurs e-mails ou documents stockés dans Office 365.
Les chercheurs ont alerté Microsoft de la faille le 2 février et la société l’a corrigée dans les cinq jours. Fait intéressant, c’est le même jour que Microsoft a présenté au monde son chatbot basé sur l’IA pour Bing. Il n’est pas clair si le chatbot a été affecté par le bug ou s’il a bénéficié des correctifs.
Cet incident n’est pas le premier à affecter la sécurité d’Azure. En décembre 2020, Microsoft a révélé que son service cloud avait été compromis par les pirates responsables de l’attaque SolarWinds. Une société de logiciels qui a fourni diverses agences gouvernementales et sociétés privées aux États-Unis. Des pirates ont réussi à accéder au code source de certains composants Azure. Bien que Microsoft ait assuré qu’il n’y avait aucune preuve qu’ils avaient modifié ou volé des données.
La sécurité du cloud est un sujet de plus en plus pertinent, car de plus en plus d’entreprises et d’organisations migrent leurs services et leurs données vers des plateformes telles qu’Azure, AWS ou Google Cloud. Ces plates-formes offrent des avantages tels que l’évolutivité, la flexibilité et les économies de coûts, mais elles impliquent également des risques et des défis en termes de protection des données et de confidentialité des utilisateurs. C’est pourquoi il est essentiel que les fournisseurs de services cloud et les clients prennent des mesures pour garantir une configuration appropriée et une surveillance continue de leurs applications.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :