Microsoft a envoyé le 26 août 2021 un e-mail avertissant ses milliers de clients utilisant ses services d'informatique dématérialisée ("cloud") que des intrus pourraient avoir la possibilité de lire, modifier ou même supprimer certaines de leurs bases de données, selon une copie du document et un chercheur en cybersécurité.
Des clés permettant l'accès aux bases de données, accessibles
La vulnérabilité concerne la base de données phare de Microsoft Azure, Cosmos DB. Une équipe de recherche de la société de sécurité Wiz a découvert qu'elle était en mesure d'accéder aux clés qui contrôlent l'accès aux bases de données détenues par des milliers d'entreprises. Le directeur de la technologie de Wiz, Ami Luttwak, est un ancien directeur de la technologie du Cloud Security Group de Microsoft. Microsoft ne pouvant pas modifier ces clés par elle-même, la société a envoyé un e-mail à ses clients leur demandant d'en créer de nouvelles.
Une faille qui n'aurait pas été exploitée
Microsoft a accepté de verser 40.000 dollars à Wiz pour avoir découvert la faille et l'avoir signalée, selon un e-mail envoyé à Wiz. "Nous avons immédiatement corrigé ce problème pour assurer la sécurité et la protection de nos clients", a déclaré Microsoft à Reuters. Dans l'e-mail adressé à ses clients, Microsoft indique avoir corrigé la vulnérabilité et que rien ne prouve que la faille a été exploitée. "Nous n'avons aucune indication que des entités externes aux chercheurs (Wiz) aient eu accès à la clé de lecture-écriture", est-il dit dans la copie de l'e-mail consultée par Reuters.
