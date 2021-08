in

Une série de failles dans Cosmos DB de Microsoft Azure a exposé les comptes et les bases de données de milliers d’entreprises clientes de l’entreprise à « compléter [and] accès illimité », ont rapporté jeudi des chercheurs de la société de sécurité Wiz, deux semaines après avoir informé la société du problème.

Microsoft a averti les clients du problème dans un e-mail jeudi, leur conseillant de créer de nouvelles clés d’accès à la base de données, et affirmant qu’il n’avait trouvé aucune preuve que la faille avait été exploitée, selon un rapport de .. Dans un communiqué, la société a crédité les chercheurs d’avoir suivi des pratiques de divulgation responsables.

Il s’agit du dernier d’une série de problèmes de sécurité récents dans les technologies Microsoft, notamment un piratage très médiatisé d’Exchange Server plus tôt cette année et un autre qui a déclenché un avertissement du gouvernement américain la semaine dernière. Les problèmes montrent que le renforcement des vulnérabilités logicielles reste l’une des clés de l’amélioration de la cybersécurité.

Le PDG de Microsoft, Satya Nadella, faisait partie des dirigeants technologiques qui ont participé à un sommet sur la cybersécurité à la Maison Blanche avec le président Joe Biden cette semaine, promettant de quadrupler ses dépenses en matière de cybersécurité au cours des cinq prochaines années.

Les chercheurs en sécurité de Wiz Nir Ohfeld et Sagi Tzadik, qui ont surnommé la faille « ChaosDB », ont crédité Microsoft d’avoir pris des mesures rapides pour désactiver la fonctionnalité vulnérable dans les 48 heures suivant la notification, mais ont averti que « les clients peuvent toujours être touchés car leurs clés d’accès primaires étaient potentiellement exposé.”

« Les expositions aux bases de données sont devenues extrêmement courantes ces dernières années, alors que de plus en plus d’entreprises migrent vers le cloud, et le coupable est généralement une mauvaise configuration de l’environnement du client. Dans ce cas, les clients n’étaient pas en faute », ont-ils écrit. “Au contraire, une série de failles dans une fonctionnalité de Cosmos DB a créé une échappatoire permettant à tout utilisateur de télécharger, supprimer ou manipuler une collection massive de bases de données commerciales, ainsi qu’un accès en lecture/écriture à l’architecture sous-jacente de Cosmos DB.”

Microsoft a déclaré dans une déclaration à . qu’il “a résolu ce problème immédiatement pour assurer la sécurité et la protection de nos clients”.