Microsoft alerte des milliers de clients de son service de base de données Cosmos DB sur le cloud Azure. Des failles permettent de télécharger, supprimer ou manipuler massivement des bases de données d’entreprises.
Pour nombre de sociétés, la sécurité offerte par les géants du Cloud, les hyperscalers, constitue une raison majeure d’externaliser son IT dans le cloud. D’autres organisations freinent cependant encore, notamment en raison des risques liées à la sécurité des données.
A lire aussi : Données personnelles : la Cnil exige de l’équité sur les cookies et menace
L’affaire ChaosDB, telle que baptisée par des chercheurs en sécurité, pourrait les conforter dans leur choix. Microsoft vient en effet d’alerter plusieurs milliers de clients de son cloud Azure suite à la découverte d’une vulnérabilité.
Faille confirmée auprès de milliers de clients Cosmos DB
C’est un service de base de données, Cosmos DB, qui est ici en cause. Et comme le soulignent les experts à l’origine de cette découverte, une fois n’est pas coutume, la faille ne réside pas dans un défaut de configuration.
Si la faille de sécurité vaut qu’on s’y intéresse, c’est pour plusieurs raisons. D’abord du fait du nombre important d’entreprises exposées, dont de très grands groupes comme Coca-Cola, Citrix ou Skype.
Mais surtout, précisent les chercheurs de Wiz, la vulnérabilité se révèle « triviale » à exploiter. Or, elle permet potentiellement « à tout utilisateur de télécharger, supprimer ou manipuler une collection massive de bases de données ».
Elle fournit de plus « un accès en lecture/écriture à l’architecture sous-jacente de Cosmos DB. » Pour les cybercriminels, la vulnérabilité ChaosDB constitue donc une opportunité de voler ou altérer les données d’entreprises.
La cause de cet incident remonte à l’intégration en 2019 d’une fonction de data visualisation via Jupyter Notebook – et activée par défaut depuis février 2021. Les détails relatifs à l’exploitation de la faille restent encore confidentiels.
La fonction Jupyter Notebook désactivée par Microsoft
Mais les chercheurs de Wiz ont pris contact avec les équipes de Microsoft afin de prévenir son utilisation malveillante. Résultat, l’éditeur du service Cosmos DB sur Azure a réagi sous 48h en désactivant la fonction problématique Jupyter Notebook.
Pour Wiz, cette solution pourrait cependant n’apporter qu’une protection partielle. En effet, ils estiment que les clients restent vulnérables en cas de compromission de leurs clés d’accès primaires. La firme de Redmond se montre plus circonspecte sur ce point toutefois.
Microsoft informe ses utilisateurs par email n’avoir « aucune indication que des entités autres que les chercheurs aient eu accès aux clés primaires ». Ceux-ci écrivent en revanche avoir pu vérifier l’efficacité de leur méthode d’attaque auprès de milliers de clients dans 30 zones cloud distinctes.
L’éditeur de Redmond n’est pas inactif cependant. Wiz rapporte que Microsoft a informé plus de 30% des clients de Cosmos DB de la nécessité de renouveler manuellement leurs clés d’accès pour limiter leur exposition.
« Nous pensons que beaucoup plus de clients Cosmos DB peuvent être exposés à ce risque. La vulnérabilité est exploitable depuis au moins plusieurs mois, voire plusieurs années », préviennent néanmoins les experts.
Les utilisateurs Microsoft connaissent une actualité cybersécurité intense en août. Quelques jours avant ChaosDB, c’est un incident relatif à la solution low code Power Apps qui faisait la une. En cause cette fois non une faille native de l’application, mais une erreur de configuration. Un mauvais réglage d’un paramètre de confidentialité exposait ainsi des données personnelles.