L’absence d’un simple réglage réduisait la sécurité des données à zéro. © pdusit, Adobe Stock
Tech

Mal configurée, une suite logicielle de Microsoft a rendu accessibles des millions de données personnelles

ActualitéClassé sous :cybersécurité , Sécurité , faille informatique

Des dizaines de millions de données personnelles, de santé, ou sociales exploitées par près de 50 entités américaines du secteur de la santé, de l'industrie et des transports sont restées sans protection. La faute à un réglage par défaut dans la configuration de portails de services créés à partir de la suite Power Apps de Microsoft.

Cela vous intéressera aussi

[EN VIDÉO] Cyberespionnage : quelles sont les menaces ?  Ingérence dans les élections, vol de données industrielles, piratage de systèmes militaires… Le cyberespionnage a connu une envolée ces deux dernières décennies. 

Trente-huit millions de données personnelles, comportant des noms, des adresses, des identifiants fiscaux ou de Sécurité sociale, issus par exemple de services de santé de certains États américains et liés au suivi de la Covid-19, d'American Airlines, du constructeur Ford, ou encore les services de transports publics de New York, se sont retrouvés exposés sans aucune sécurité. C'est ce qu'indique un rapport issu du spécialiste de la sécurité informatique UpGuard. Publié lundi, il pointe du doigt l'utilisation de la suite logicielle Power Apps de Microsoft. Il s'agit d'outils permettant de créer des tableaux de bord, des applications métiers en ligne sur mesure, au travers de sites portails et à partir des données de l'utilisateur. En tout, 47 entités plus ou moins importantes ont été concernées par cette brèche béante. Les données exposées n'auraient cependant pas été compromises selon UpGuard.

Pas besoin de mot de passe pour accéder aux données

Concrètement, il n'y avait pas besoin de mot de passe pour accéder à ces données personnelles hébergées sous la forme de feuilles de calcul sur les serveurs du service Dataverse de Microsoft. L'API d'accès n'était simplement pas configurée par défaut pas Microsoft pour empêcher l'exposition des données. Il fallait faire ce réglage manuellement. Une subtilité que les développeurs de ces entités n'ont sans doute pas envisagée. Microsoft a réagi en poussant une mise à jour au début du mois. Elle vient appliquer les bons réglages de sécurité par défaut.

La firme a également publié un outil pour réaliser un audit de sécurité sur les portails réalisés avec Power Apps. Ceci dit, dans ses explications, Microsoft cherche à se dédouaner en renvoyant la responsabilité à ses clients qui n'ont pas correctement configuré les services, tout en ajoutant qu'il prenait soin de les informer quand de potentiels risques de fuites étaient identifiés. Au final, c'est une chance que ces données personnelles n'aient pas été collectées par des personnes malveillantes.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !