Des chercheurs en sécurité pointent du doigt une faille de sécurité au sein du service Microsoft Azure.
Après avoir été alertée par les chercheurs en sécurité de Wiz, la firme de Redmond a prévenu plus de 3 300 clients de Microsoft Azure (dont Coca-Cola, Citrix, Skype, Symantec, Rolls-Royce, ou encore ExxonMobil) utilisant le système Jupyter Notebook via Cosmos DB qu'une faille de sécurité avait permis d'accéder à leurs bases de données au cours des deux dernières années.
Selon Ami Luttwak, directeur de la technologie de Wiz, il s'agirait de la pire vulnérabilité cloud que vous puissiez imaginer. Il s'agit de la base de données centrale d'Azure, et nous avons pu accéder à n'importe quelle base de données client que nous voulions.La faille permettait d'accéder aux clés qui sécurisent les bases de données et donnait un accès complet (lecture, écriture, suppression) aux données des clients. De son côté, Microsoft (qui a récompensé Wiz à hauteur de 40 000 dollars) indique avoir corrigé la faille 48 heures après le signalement et demandé aux firmes clientes de modifier les clés d'accès principales. Microsoft affirme également qu'il n'y a actuellement aucune preuve que cette faille soit exploitée par des acteurs malveillants.
