Modifié

Une faille informatique découverte sur le cloud de Microsoft

Le logo de Microsoft sur un smartphone. [Keystone - EPA/Rainer Jensen]
Microsoft va investir dans la sécurité par défaut pour lutter contre les cyberattaques / La Matinale / 1 min. / le 27 août 2021
Microsoft a dû avertir jeudi des milliers d'entreprises clientes de son service de cloud qu'une faille a rendu vulnérables leurs données pendant une période prolongée. Ce couac intervient alors que le groupe vient d'annoncer qu'il allait investir 20 milliards sur cinq ans dans la cybersécurité.

"Imaginez notre surprise quand nous avons réussi à avoir complètement accès aux comptes et bases de données de plusieurs milliers de clients de Microsoft Azure, y compris des grandes entreprises", racontent les ingénieurs de Wiz, la société de cybersécurité qui a découvert la faille il y a deux semaines.

"Nous avons immédiatement réparé le système pour garantir la sécurité et la protection de nos clients", a réagi Microsoft, confirmant aussi avoir prévenu les organisations potentiellement affectées. A priori, la faille n'a pas été exploitée par des acteurs malveillants, selon le géant de l'informatique.

D'après Wiz, Microsoft a en effet rapidement désactivé le système faillible, puis "informé plus de 30% des clients de Cosmos DB", le cloud concerné, qu'ils devaient changer leurs clefs d'accès.

Une faille exploitée pendant des mois

Les clients concernés sont cependant potentiellement encore en danger et d'autres que ceux déjà prévenus pourraient être concernés aussi, car "la faille a été exploitable pendant au moins plusieurs mois, voire des années", détaillent les chercheurs.

Microsoft est le deuxième groupe au monde du cloud, derrière Amazon. Ce secteur, en forte croissance depuis des années, a conquis encore plus de clients pendant la pandémie de Covid-19, avec l'explosion du télétravail et des besoins en services numériques, du divertissement à la consommation en ligne.

Des sociétés comme Coca-Cola et Exxon-Mobil "utilisent Cosmos DB pour gérer des volumes de données massifs dans le monde en temps réel", mentionne Wiz. Le cloud sert à stocker des données, mais aussi à les analyser et à les traiter, des commandes aux fournisseurs aux transactions avec les consommateurs.

20 milliards investis dans la cybersécurité

La nouvelle tombe mal pour Microsoft, dont les serveurs de boîtes mails ont été affectés fin 2020 par une gigantesque cyberattaque aux Etats-Unis. Le géant américain a d'ailleurs promis cette semaine à Joe Biden qu'il allait investir 20 milliards de dollars sur cinq ans dans la cybersécurité, durant une réunion des géants du numérique autour du président américain.

Alors que les cyberattaques se multiplient contre les ordinateurs privés, les administrations et les entreprises, Microsoft veut accélérer ses efforts en matière de sécurité par défaut, un concept prôné depuis longtemps par les experts en cybersécurité. Concrètement, l'utilisateur bénéficie de base, sans rien faire, des paramètres qui assurent le mieux sa sécurité, quitte à ce que son expérience soit moins agréable.

boi avec afp et cf

Publié Modifié