L’absence d’un simple réglage réduisait la sécurité des données à zéro. © pdusit, Adobe Stock

Mal configurée, une suite logicielle de Microsoft a rendu accessibles des millions de données personnelles

Cybersécurité

Sécurité

actualité

• 2 Min

Des dizaines de millions de données personnelles, de santé, ou sociales exploitées par près de 50 entités américaines du secteur de la santé, de l’industrie et des transports sont restées sans protection. La faute à un réglage par défaut dans la configuration de portails de services créés à partir de la suite Power Apps de Microsoft.

au sommaire

Trente-huit millions de données personnelles, comportant des noms, des adresses, des identifiants fiscaux ou de Sécurité sociale, issus par exemple de services de santé de certains États américains et liés au suivi de la Covid-19, d'American Airlines, du constructeur Ford, ou encore les services de transports publics de New York, se sont retrouvés exposés sans aucune sécurité. C'est ce qu'indique un rapport issu du spécialiste de la sécurité informatique UpGuard. Publié lundi, il pointe du doigt l'utilisation de la suite logicielle Power Apps de MicrosoftMicrosoft. Il s'agit d'outils permettant de créer des tableaux de bord, des applicationsapplications métiers en ligne sur mesure, au travers de sites portails et à partir des données de l'utilisateur. En tout, 47 entités plus ou moins importantes ont été concernées par cette brèche béante. Les données exposées n'auraient cependant pas été compromises selon UpGuard.

Pas besoin de mot de passe pour accéder aux données

Concrètement, il n'y avait pas besoin de mot de passe pour accéder à ces données personnelles hébergées sous la forme de feuilles de calcul sur les serveurs du service Dataverse de Microsoft. L'API d'accès n'était simplement pas configurée par défaut pas Microsoft pour empêcher l'exposition des données. Il fallait faire ce réglage manuellement. Une subtilité que les développeurs de ces entités n'ont sans doute pas envisagée. Microsoft a réagi en poussant une mise à jour au début du mois. Elle vient appliquer les bons réglages de sécurité par défaut.

La firme a également publié un outil pour réaliser un audit de sécurité sur les portails réalisés avec Power Apps. Ceci dit, dans ses explications, Microsoft cherche à se dédouaner en renvoyant la responsabilité à ses clients qui n'ont pas correctement configuré les services, tout en ajoutant qu'il prenait soin de les informer quand de potentiels risques de fuites étaient identifiés. Au final, c'est une chance que ces données personnelles n'aient pas été collectées par des personnes malveillantes.

par Sylvain Biget

Journaliste

le 24 août 2021

Nos articles

à lire aussi

La relève de statistiques par l’application TousAntiCovid ne garantit pas l’anonymat. © Kasto, Adobe Stock

Tech

Technologie

TousAntiCovid est plus indiscret que vous ne le pensez

actualité

• 23/08/2021

Chrome vérifie que vos mots de passe n'ont pas été volés par un pirate. © Google

Tech

Chrome vous alerte sur votre smartphone si votre mot de passe a été piraté

actualité

• 07/10/2020

En prenant la main sur un tracker GPS, un pirate peut suivre les mouvements d'une personne, mais aussi repérer le tracker ou identifier son numéro de téléphone. © Andrey Popov, Fotolia

Tech

Sécurité

Cybersécurité : 600.000 trackers GPS sont menacés par leur mot de passe

actualité

• 06/09/2019

À l'avenir, la protection des données et de son ordinateur se fera sans mot de passe à retenir dans un calepin ou dans un fichier sur son ordinateur © Pixabay, AbsolutVision

Tech

Informatique

Microsoft veut enterrer le mot de passe

actualité

• 08/01/2019

Créez des mots de passe forts pour Internet. © FAMILY STOCK, Adobe Stock

Tech

Informatique

Comment créer un mot de passe fort et sécurisé ?

question réponse

• 04/05/2023

Chargé d’éviter la propagation de virus informatique ou les tentatives d’intrusion, l’ingénieur sécurité informatique met en place de nombreux outils comme des pare-feux ou des antivirus par exemple. © Skórzewiak, Fotolia.

Tech

Métiers de l'informatique

Ingénieur sécurité informatique

métier

• 25/02/2020

Qu'il soit en entreprise ou en cabinet de conseil, le consultant en cybersécurité vient en aide aux décideurs afin d'assurer la protection de leurs données sensibles dans un monde où tout est connecté. © VideoFlow, Adobe Stock

Sciences

EPITA

Consultant en cybersécurité

métier

• 15/09/2020

Le développeur informatique doit avant tout maîtriser les langages de programmation comme html ou xml pour créer ou modifier un site ou une application. © Sergey, Fotolia.

Tech

Métiers de l'informatique

Développeur informatique

métier

• 11/02/2020

Tech

Informatique

Consultant informatique

métier

Le télétravail accroît le risque de cyberattaques pouvant porter atteinte à la sécurité des données d'une entreprise. © peshkova, Adobe Stock

Tech

Cybersécurité

Sécurité des données : les précautions à suivre en télétravail

question réponse

• 31/03/2020

Réservée au navigateur Chrome, l'extension Password Checkup interroge une immense base de données pour vérifier que vos données de connexion n'ont pas été piratées dans le passé. © Pixabay

Tech

Navigateurs

Google Chrome : comment savoir si des données personnelles ont été piratées ?

question réponse

• 28/01/2024

Un jour peut-être, l’informatique quantique sera notre meilleure alliée pour échapper aux embouteillages. © Ri Buto, Pixabay

Tech

Voiture

Ford et Microsoft font appel à l'informatique quantique pour réduire le trafic routier

brève

• 12/12/2019

Tech

Bureautique

Sauvegarder ses données personnelles

question réponse

• 02/11/2010

Profitez de 40% de réduction sur la suite de sécurité AVG Internet Security ©AVG

Tech

Antivirus

Bon Plan : Profitez de 40% de réduction sur la suite de sécurité AVG Internet Security

brève

• 29/04/2020

Tech

Smartphone

La sécurité des smartphones

dossier

• 05/03/2018

La sélection de la

Rédaction

Avec son réseau de voisins-relais, Pickme permet de réduire les 20 % d’échecs à la première livraison. © Pickme

Tech

Jeunes Pousses

Les voisins-relais, la bonne idée pour réduire les échecs de livraison

Article

Dernier jour : une réduction de -250 € sur les suites Microsoft Office et Windows sur Godeal24 !

Tech

Bureautique

Dernier jour : une réduction de -250 € sur les suites Microsoft Office et Windows sur Godeal24 !

Article

40 % des aides ne sont pas réclamées en France ! Klaro a créé une application destinée à faciliter l’accès aux aides. © peopleimages.com, Adobe Stock

Tech

Jeunes Pousses

Ne passez plus à côté des aides auxquelles vous avez droit grâce à cette appli

Article

L’intelligence organoïde, promesse ou utopie ?

Tech

Intelligence artificielle

L’intelligence organoïde, promesse ou utopie ?

Article

Tech

Voiture

Renault Group accélère sur les pièces reconditionnées pour les voitures électriques

Article

100 millions de lunettes dorment au fond des tiroirs des Français. © Vecstock, Freepik

Tech

Jeunes Pousses

Cette startup française change la vision du monde avec des lunettes recyclées à petits prix !

Article

À l'horizon 2050, 100 % du gaz circulant dans le réseau de distribution pourrait être du gaz vert. © Wirestock, Freepik

Tech

Jeunes Pousses

Décarbonation : 20 % des gaz qui circuleront dans les réseaux en 2030 seront verts

Article

Quelque 600 000 décès par an en Europe sont liés à la pollution de l'air. © Nikitabuida, Freepik

Tech

Jeunes Pousses

Des purificateurs d’air pour tous les logements des athlètes aux Jeux olympiques

Article

Liens externes

By Design: How Default Permissions on Microsoft Power Apps Exposed Millions

À voir aussi

suite bureautique microsoft

microsoft money suite financiere

etats accessibles

logicielle bluetooth

55 millions annees

millions annees

terre 65 millions annees

terre 250 millions annees

perles de veut gagner des millions

comment gagner euro millions

Mots Clés

Faille informatique

Faille de sécurité

Microsoft

Données personnelles

Microsoft Power Apps

Mot de passe

UpGuard