Le cloud de Microsoft compromis, beaucoup de clients touchés

Microsoft a annoncé avoir corrigé une faille de sécurité touchant son service de bases de données Cosmos DB, l’un des grands outils de son système d’informatique dématérialisée pour entreprise, Windows Azure. La faille, qui permettait potentiellement d’accéder aux données de « plusieurs milliers » de clients, dont de très grandes entreprises, semble ne pas avoir été exploitée par d’éventuels pirates, affirme Microsoft.

Le défaut a été découvert par l’entreprise de cybersécurité Wiz, dont l’équipe technique est dirigée par un ancien responsable de la sécurité de Microsoft. « Nous avons immédiatement corrigé le problème pour préserver la sécurité de nos clients. Nous remercions les chercheurs en sécurité informatique de nous avoir signalé cette faille », a dit Microsoft à Reuters. L’entreprise a, par ailleurs, versé 40 000 dollars (34 000 euros) à Wiz, au titre de son programme de récompenses pour la découverte de failles.

La faille a permis aux chercheurs de Wiz d’accéder à une clé maître, qui permettait de consulter ou de modifier les données des clients du service. Les clients potentiellement affectés sont invités à générer de nouvelles clés de sécurité ; Microsoft dit avoir contacté tous les clients pour lesquels cette procédure est nécessaire.

Microsoft a égaré ses clés

La faille de sécurité en question, nommée ChaosDB, a été découverte par l’entreprise de sécurité Wiz. Dans les grandes lignes, Microsoft Azure a donné accès aux clients de Cosmos DB à une fonctionnalité de représentation graphique de leurs données, appelée Jupyter Notebook. Disponible depuis 2019, Jupyter Notebook n’a cependant été activé par défaut que depuis février 2021.

Or, via une méthode qui n’a pas encore été publiée par Wiz, l’expert en sécurité a réussi à accéder aux Jupyter Notebook d’autres clients de Microsoft Azure. Pire encore, la faille de sécurité détectée permettait alors de récupérer les clés primaires donnant l’accès aux services Cosmos DB de milliers de clients. De là, il était possible d’accéder aux bases de données, de les modifier ou de les supprimer, de la même manière qu’un administrateur.

La faille a été détectée par Wiz au début du mois d’août, et Microsoft a été prévenu dans la foulée. Depuis, le géant américain a corrigé la faille de sécurité. Mais, n’ayant pas accès aux clés primaires potentiellement compromises, Microsoft demande désormais à plusieurs milliers de clients de modifier eux-mêmes leurs clés. Et certains très gros comptes, comme Coca-Cola ou Exxon-Mobile, font partie des potentielles victimes.

Les clés laissées sur la porte

C’est une équipe de recherche en sécurité de l’entreprise Wiz qui a découvert cette faille et en a informé Microsoft au plus vite. Elle concerne Cosmos DB, un fleuron de Microsoft Azure quand il s’agit de la gestion de bases de données. Sans plus de détails, l’équipe a réussi à trouver le moyen d’accéder aux clés d’accès des bases de données des clients de Microsoft. D’après Ami Luttwak, représentant de Wiz, c’est tout simplement « la pire vulnérabilité du cloud que l’on puisse imaginer ». Il ajoute « il s’agit de la base de données centrale d’Azure et nous pouvions accéder à n’importe quelle base de donnée client que nous souhaitions ».

Une telle clé donne un accès complet à la base de données, au même titre que son propriétaire légitime, et permet de la modifier ou la supprimer entièrement, ou encore d’en lire le contenu. Le problème est donc du plus haut niveau, puisque l’on pourrait lire les données confidentielles d’entreprises particulièrement puissantes.

Pour la découverte de cette faille, la société Wiz annonce avoir reçu 40 000 dollars de la part de Microsoft.

La faille corrigée, la solution dans les mains des clients

Les équipes de Microsoft affirment avoir corrigé la faille de sécurité nommée ChaosDB, qui permettait l’accès à ces clés. Problème : la firme elle-même ne peut pas modifier les clés compromises et a donc contacté ce jeudi les clients qu’elle pense potentiellement victimes du problème pour leur demander de modifier la clé. D’après Wiz toutefois, Microsoft aurait seulement contacté les entreprises concernées par le mois où l’équipe de Wiz a découvert la faille, qui existait pourtant déjà auparavant.

Microsoft connait beaucoup de déboires en ce moment concernant la sécurité de ses produits. On a ainsi découvert que brancher une simple souris Razer suffisait à prendre le contrôle d’un PC, et Windows a subi de plein fouet la faille PrintNightmare au cours des derniers mois.

« Cauchemar »

Des sociétés comme Coca-Cola et Exxon-Mobil «utilisent Cosmos DB pour gérer des volumes de données massifs dans le monde en temps réel», mentionne Wiz. Le cloud sert à stocker des données, mais aussi à les analyser et à les traiter, des commandes aux fournisseurs aux transactions avec les consommateurs. «Le cauchemar de tout directeur de la sécurité d’une société c’est que quelqu’un récupère ses clefs d’accès et s’en serve pour extraire des gigaoctets de données d’un coup», souligne la firme de cybersécurité.

Ces incidents «sont devenus communs ces dernières années, et c’est alarmant», ajoute-t-elle. La nouvelle tombe mal pour Microsoft, dont les serveurs de boîtes mails ont été affectés fin 2020 par une gigantesque cyberattaque aux États-Unis.

Faille pas exploitée

«Nous avons immédiatement réparé le système pour garantir la sécurité et la protection de nos clients», a réagi Microsoft en réponse à une sollicitation de l’AFP, confirmant aussi avoir prévenu les organisations potentiellement affectées. A priori, la faille n’a pas été exploitée par des acteurs malveillants, selon le géant de l’informatique. D’après Wiz, Microsoft a en effet rapidement désactivé le système faillible, puis «informé plus de 30% des clients de Cosmos DB», le cloud concerné, qu’ils devaient changer leurs clefs d’accès.

Mais ils sont potentiellement encore en danger, et d’autres que ceux déjà prévenus pourraient être concernés aussi, car «la faille a été exploitable pendant au moins plusieurs mois, voire des années», détaillent les chercheurs. Le groupe est le deuxième leader au monde du cloud, derrière Amazon. Ce secteur en forte croissance depuis des années a conquis encore plus de clients pendant la pandémie, avec l’explosion du télétravail et des besoins en services numériques, du divertissement à la consommation en ligne.

“Rien ne prouve que la faille a été exploitée”

Les porte-paroles de Microsoft n’ont pas immédiatement fait de commentaire.

Dans l’e-mail adressé à ses clients, Microsoft indique avoir corrigé la vulnérabilité et que rien ne prouve que la faille a été exploitée. “Nous n’avons aucune indication que des entités externes au chercheur (Wiz) aient eu accès à la clé de lecture-écriture”, est-il dit dans la copie de l’e-mail consultée par Reuters.