Microsoft a involontairement exposé 38 téraoctets de données privées et confidentielles. Lundi 18 septembre 2023, l'entreprise a annoncé avoir pris les mesures nécessaires pour régler ce problème de sécurité majeur.
L’erreur a été découverte lorsqu'une fuite de données a été repérée dans le référentiel GitHub de l'IA géré Microsoft. Cette bourde s'est produite lors de la publication d'un ensemble de données de test en open source. L’entreprise Wiz a signalé que les données exposées n'étaient pas simplement des informations ordinaires. Elles comprenaient une sauvegarde des disques dures des postes de travail de deux anciens employés qui contenaient des secrets, des clés, des mots de passe et plus de 30 000 messages internes de Teams.
Le fichier partagé intitulé "robust-models-transfer", contenait principalement des codes sources et des modèles d'apprentissage liés à un article de recherche de 2020 intitulé "Do Adversarially Robust ImageNet Models Transfer Better ?".
Suite à cette découverte, le repo a été supprimé, le rendant inaccessible au public.
Comment une telle erreur aussi flagrante a-t-elle pu se produire ?
Wiz, dans son rapport, a mentionné que la cause principale était un jeton SAS - une fonctionnalité Azure qui permet aux utilisateurs de partager des données. Cette fonctionnalité, bien qu'utile, reste difficile à surveiller et encore plus difficile à révoquer en cas de mauvais usage. Ce problème a été porté à l'attention de Microsoft dès le 22 juin 2023. De plus, les chercheurs de Wiz, Hillai Ben-Sasson et Ronny Greenberg, ont souligné un autre point important. Le référentiel contenait un fichier “README.md” qui donnait des instructions aux développeurs pour télécharger les modèles à partir d'une URL de stockage Azure. Malheureusement, cette URL donnait involontairement accès à l'ensemble du compte de stockage, exposant ainsi encore plus de données privées.
Suite à cet incident, Microsoft a précisé que son analyse interne n'a révélée aucun signe d'exposition non autorisée des données des clients. Ils affirment qu’aucun autre service n'a été compromis dans le cadre de ce problème et les clients n'ont pas besoin de prendre de mesures spécifiques. Nous verrons si l’avenir leur donne raison !
Microsoft a agi rapidement, le jeton SAS a été révoqué et tout accès externe au compte de stockage a été bloqué. Ils ont réussi à circonscrire le problème dans les deux jours. Afin d’éviter que de tels incidents ne se reproduisent, Microsoft met désormais à jour son système de recherche de secrets. Cette nouvelle mise à jour permettra de rechercher des jetons SAS qui pourraient avoir des droits élèves.
Les chercheurs de Wiz ont souligné l'importance de traiter ces jetons avec la plus grande prudence et d'éviter de les utiliser pour le partage externe. Ces jetons, ont-ils mentionné, peuvent facilement être négligés et peuvent entraîner l'exposition involontaire d'informations sensibles.
Il y a à peine quinze jours, Microsoft était à nouveau dans les actualités pour une autre faille de sécurité. Des pirates chinois auraient apparemment réussi à pénétrer dans l'infrastructure de Microsoft et à s'emparer d'une clé de chiffrement hautement sensible. Cette attaque ayant été facilitée par la compromission du compte d'un ingénieur !
Cet événement, souligne l'importance de contrôler rigoureusement la sécurité des données, particulièrement au niveau du développement des applications. Une approche DevSecOps et une collaboration efficace entre les équipes de développements et les équipes cybersécurité applicative reste donc indispensable pour minimiser ces risques.
.png)
Prendre rendez-vous 
.png)
.png)
.png)
.png)
.png)