Le Géant américain a dû faire face à un nouveau dysfonctionnement interne lié à la protection des données. Au cours des trois dernières années, il s’avère que 38 To (Téraoctets) de données internes ont été exposés accidentellement, via un simple lien GitHub. Mais ce n’est pas tout…
Afin de mieux comprendre la situation, rappelons quelques éléments clés :
- GitHub est une plateforme d’hébergement open source (appartenant à Microsoft), qui permet aux développeurs de partager le code de leurs projets ;
- Un dépôt est un dossier qui contient les fichiers (souvent du code de développement) ;
- Wiz est une start-up spécialisée dans la cybersécurité.
En 2020, un dépôt GitHub spécifique était dédié à un service de recherche sur l’intelligence artificielle de Microsoft. Ce dépôt donnait accès à 38 To de données internes confidentielles. Il est important de noter que ce dépôt était privé, conçu à l’origine pour fournir du code source et des modèles d’IA destinés à la reconnaissance d’images. Les utilisateurs pouvaient télécharger ces modèles via un lien. Cependant, la configuration offrait un accès à l’intégralité du stockage, exposant ainsi de nombreuses données sensibles. Selon toute vraisemblance, il s’agirait d’une erreur humaine dans la configuration.
Pendant ces 3 années, un grand nombre de mots de passe, de clés de sécurité et de messages internes Teams étaient accessibles directement. La configuration permettait également de supprimer, écraser et ajouter des fichiers. En somme, n’importe qui aurait pu effacer toutes les données ou introduire un malware au cœur du système. Cette faille était une aubaine pour des hackers.
La startup Wiz a signalé ce grave problème de sécurité à Microsoft le 22 juin dernier. L’accès a été bloqué dès le 24 juin. Suite à une enquête interne approfondie, Microsoft assure que les données des clients sont restées confidentielles et qu’aucun autre service n’a été compromis, du moins selon leurs dires.
Cet incident met une fois de plus en évidence les défis dans la sécurisation des systèmes face à la masse de données à protéger. La firme s’efforce de tirer les leçons de cet incident.
Microsoft enchaîne les boulettes
Début septembre, Microsoft a également fait face à d’autres problèmes de sécurité d’envergure. La sécurité des services de OWA (Outlook sur le web) et Outlook.com a été mise à mal par des pirates chinois. Ces derniers ont réussi à accéder aux comptes de messagerie de 25 organisations, sans avoir besoin de voler les mots de passe… Tout cela fut possible simplement en utilisant des jetons d’authentification, généré via des clés maîtres récupérées par les pirates.
Une autre fuite de données a eu lieu dans le cadre du conflit qui oppose Microsoft à la Federal Trade Commission (FTC), l’autorité de la concurrence américaine. Pour rappel, Microsoft souhaite acquérir Activision Blizzard, mais l’entreprise de Redmond a commis une erreur en envoyant à la justice des documents sensibles (e-mails, présentations internes). Ces documents ont été rendus publics sur le site de la justice américaine avant d’être retirés 5 jours plus tard. Il s’agit de la plus importante fuite d’informations de l’histoire de l’entreprise. Elle dévoilait de nombreux projets du géant américain pour les prochaines années…