Les données d'au moins trois mille entreprises utilisant le système cloud de Microsoft, Azure Cosmos DB, sont menacées. Mais la faille, découverte par Wiz, existait depuis quelques années. Voici les détails
La semaine dernière, Microsoft a averti des milliers de clients de son service de cloud computing d'une faille dans le système qui aurait permis à des personnes malveillantes de lire, modifier ou supprimer les données contenues dans la base de données Azure Cosmos DB.
La vulnérabilité a été découverte par une équipe de la firme américaine de cybersécurité Wiz : son directeur technique, Ami Luttwak, occupait auparavant le même poste au sein du Cloud Security Group de Microsoft.
LE PROBLÈME DE COSMOS DB
Wiz a découvert qu'il était capable d'accéder aux clés d'accès des bases de données Cosmos DB de plus de trois mille entreprises. Microsoft n'est pas en mesure de modifier ces clés par lui-même. Ils ont donc envoyé un e-mail à tous leurs clients pour leur demander d'en créer de nouvelles.
CLIENTS MICROSOFT CLOUD
Les entreprises utilisant le service Cosmos DB comprennent la société Coca-Cola, la compagnie pétrolière ExxonMobil et la société de logiciels Citrix Systems. Il y a aussi la chaîne de pharmacies Walgreens, l'une des plus importantes aux États-Unis, qui utilise Cosmos DB pour gérer les transactions de prescription de médicaments (elle en fait plus de 6 millions par jour).
RÉCOMPENSE DE 40 MILLE DOLLARS
Pour avoir découvert la faille et l'avoir signalé, Wiz a été récompensé par Microsoft avec 40 000 $. La vulnérabilité – Microsoft a déclaré à Reuters – a été corrigée "immédiatement".
Dans l'e-mail adressé aux clients, Microsoft affirme qu'il n'y a aucune preuve que quiconque ait exploité la faille Cosmos DB pour accéder aux clés et pirater des données.
"LA PIRE VULNÉRABILITÉ CLOUD QUE VOUS POUVEZ IMAGINER"
Dans une interview avec Reuters , Luttwak a déclaré que la faille est « la pire vulnérabilité cloud imaginable […]. C'est la base de données centrale d'Azure, et nous pouvions accéder à la base de données de n'importe quel client que nous voulions ».
O ÉTAIT LA FAUTE
L'équipe Wiz a découvert le problème Cosmos DB (appelé ChaosDB) le 9 août et a informé Microsoft le 12. La faille existait en réalité depuis la mi-2019 car elle se trouvait dans un outil de visualisation appelé Jupyter Notebook. activé par défaut dans Cosmos à partir de février.
CLIENTS À RISQUE ?
Microsoft n'a informé que les clients de Cosmos DB dont les clés d'accès étaient visibles ce mois-ci, date à laquelle Wiz a découvert la faille. Mais Luttwak a déclaré que même les entreprises qui n'ont pas été notifiées par Microsoft peuvent avoir subi des violations dans leurs bases de données dans le passé.
Microsoft avait déclaré à Reuters que "les clients susceptibles d'avoir été affectés ont reçu une notification de notre part", sans donner plus de détails. Wiz a invité tous les utilisateurs d'Azure – pas seulement les 3300 renseignés par Microsoft, donc – à changer leurs clés d'accès.
UNE MAUVAISE PÉRIODE POUR MICROSOFT
C'est un mauvais moment pour la réputation de Microsoft en matière de cybersécurité. Il y a quelques mois, il y a eu la grande cyberattaque de SolarWinds (qui a également touché neuf agences gouvernementales américaines), prétendument menée par des cybercriminels liés à la Russie qui ont volé son code source à Microsoft. A la suite, entre autres, des infiltrations dans les serveurs Microsoft Exchange.
Les problèmes de vulnérabilité de la plate-forme cloud Azure sont cependant peut-être encore plus graves, car les experts du secteur – et Microsoft lui-même – ont longtemps poussé les entreprises à abandonner leurs infrastructures de données et à s'appuyer sur des systèmes cloud précisément pour garantir une plus grande sécurité. Les cyberattaques sur le cloud sont plus rares, explique Reuters , mais peuvent être dévastatrices en raison du volume considérable de données impliquées. Certains, cependant, ne sont pas rendus publics.
INVESTISSEMENTS DANS LA SÉCURITÉ
Récemment, après une réunion avec des responsables de l'administration américaine de Joe Biden, Microsoft a annoncé qu'il investirait 20 milliards de dollars dans la cybersécurité sur cinq ans, soit une multiplication par quatre par rapport aux niveaux actuels. 150 millions supplémentaires seront affectés à l'assistance technique aux institutions fédérales, étatiques et locales américaines pour mettre à niveau les systèmes de sécurité numérique.
Cet article est une traduction automatique de la langue italienne d’un article publié sur le magazine Début Magazine à l’URL https://www.startmag.it/innovazione/microsoft-cloud-azure-falla-sicurezza-wiz/ le Mon, 30 Aug 2021 07:51:17 +0000.