On dit qu’un stockage sur le cloud mal configuré est la principale cause de fuites de données de nos jours, et le dernier faux pas de Microsoft en est le parfait exemple. Il vient d’être révélé que des chercheurs de Microsoft ont accidentellement divulgué 38 To d’informations confidentielles sur la page GitHub de l’entreprise, où tout le monde pouvait potentiellement les voir.
Parmi ces données se trouvait une sauvegarde des postes de travail de deux anciens employés, qui contenait des clés, des mots de passe, des secrets et plus de 30 000 messages privés de Teams.
Selon l’entreprise de sécurité informatique Wiz, la fuite a été publiée sur le dépôt GitHub de Microsoft consacré à l’intelligence artificielle (IA) et a été accidentellement incluse dans une tranche de données d’entraînement en libre accès. Cela signifie que les visiteurs ont été encouragés à la télécharger, ce qui signifie qu’elle aurait pu tomber entre de mauvaises mains encore et encore.
Oups !
Les violations de données peuvent provenir de toutes sortes de sources, mais il sera particulièrement embarrassant pour Microsoft que celle-ci provienne de ses propres chercheurs en IA. Le rapport de Wiz indique que Microsoft a téléchargé les données en utilisant des jetons SAS (Shared Access Signature), une fonctionnalité d’Azure qui permet aux utilisateurs de partager des données par le biais de comptes Azure Storage.
Les visiteurs du dépôt étaient invités à télécharger les données d’entraînement à partir d’une URL fournie. Cependant, l’adresse Web donnait accès à bien plus que les données de formation prévues, et permettait aux utilisateurs de parcourir des fichiers et des dossiers qui n’étaient pas censés être accessibles au public.
Et ce n’est pas tout. Le jeton d’accès qui a permis tout cela a été mal configuré pour fournir des autorisations de contrôle total, a rapporté Wiz, plutôt que des autorisations de lecture seule plus restrictives. En pratique, cela signifie que toute personne visitant l’URL pouvait supprimer et écraser les fichiers qu’elle trouvait, et pas seulement les visualiser.
Wiz explique que cela aurait pu avoir des conséquences désastreuses. Le dépôt étant rempli de données d’entraînement à l’IA, l’intention était que les utilisateurs le téléchargent et l’introduisent dans un script, améliorant ainsi leurs propres modèles d’IA.
Or, comme le dépôt était ouvert à la manipulation grâce à des autorisations mal configurées, « un pirate aurait pu injecter un code malveillant dans tous les modèles d’IA de ce compte de stockage, et tous les utilisateurs qui font confiance au dépôt GitHub de Microsoft auraient été infectés par ce code », explique Wiz.
Potentiel désastre
Le rapport note également que la création des jetons SAS — qui donnent accès aux dossiers Azure Storage tels que celui-ci — ne crée aucune trace écrite, ce qui signifie « qu’il n’y a aucun moyen pour un administrateur de savoir que ce jeton existe et où il circule ». Lorsqu’un jeton dispose d’autorisations d’accès complet comme c’était le cas pour celui-ci, les résultats peuvent être potentiellement désastreux.
Heureusement, Wiz explique avoir signalé le problème à Microsoft en juin 2023. Le jeton SAS défectueux a été remplacé en juillet, et Microsoft a achevé son enquête interne en août. La faille de sécurité vient seulement d’être signalée au public, ce qui laisse le temps de la corriger complètement.
Cela nous rappelle que même des actions apparemment innocentes peuvent potentiellement conduire à des violations de données. Heureusement, le problème a été corrigé, mais on ne sait pas si les pirates ont pu accéder aux données sensibles des utilisateurs avant qu’elles ne soient supprimées.
