Microsoft : une mauvaise configuration dans Power Apps expose 38 millions de données

Par

le

Une mauvaise configuration dans les portails Power Apps de Microsoft expose 38 millions de données.

Des chercheurs en sécurité ont découvert qu’un grand nombre d’applications Web utilisant les portails Power Apps de Microsoft exposaient 38 millions d’enregistrements sur l’Internet ouvert à la suite d’une simple mauvaise configuration. Bien que le problème ait depuis été résolu, il devrait être une leçon apprise que les paramètres de sécurité pour une plate-forme low-code devraient inclure un commutateur de confidentialité activé par défaut.

La tendance croissante des erreurs de sécurité à grande échelle est loin d’être terminée, comme en témoignent les recherches qui montrent qu’environ 38 millions d’enregistrements de plus d’un millier d’applications Web créées à l’aide de la plate-forme Power Apps de Microsoft ont été exposés à l’Internet ouvert. Cela inclut les données des bases de données des employés, des portails d’applications, des outils d’inscription à la vaccination et des plateformes de recherche de contacts contre les coronavirus, en plus d’éléments tels que les numéros de téléphone, les numéros de sécurité sociale et les adresses personnelles.

Pour avoir une idée de la gravité de cet incident, les données appartiennent à un certain nombre de grandes entreprises telles que Ford, American Airlines, JB Hunt, ainsi qu’à des institutions comme les écoles publiques de New York, le Maryland Department of Health, le New York City Municipal Transportation Authority et le ministère de la Santé de l’Indiana. Même certaines applications conçues par Microsoft sont affectées, avec plus de 332 000 adresses e-mail et identifiants d’employés exposés.

Selon un article de Wired, des chercheurs de la société de sécurité Upguard ont découvert le problème en mai. Leur enquête a conclu que plus d’un millier d’ensembles de données provenant de portails Power Apps qui étaient censés être privés avaient été rendus accessibles par une mauvaise configuration apparemment mineure. En bref, les données obtenues par les développeurs via les portails Power Apps étaient publiques par défaut, et ils devaient donc les définir manuellement sur privé s’ils le souhaitaient.

Upguard a signalé le problème au Centre de ressources de sécurité Microsoft le 24 juin, mais ce dernier a répondu en expliquant que ce comportement était en fait « par conception ». Les chercheurs ont alors commencé à informer les organisations concernées, et un mois plus tard, presque toutes les données exposées avaient été rendues privées.

La bonne nouvelle est que le problème a depuis été résolu par Microsoft, qui a modifié la conception des portails Power Apps pour garder les données privées comme comportement par défaut et a publié un outil permettant aux développeurs de vérifier si leurs paramètres de sécurité de portail autorisent l’accès public aux données. Upguard dit qu’il n’a trouvé aucune indication que les données exposées ont été compromises, de sorte que les organisations concernées peuvent au moins pousser un soupir de soulagement.

Dans un communiqué, Microsoft a expliqué : « nos produits offrent aux clients des fonctionnalités de flexibilité et de confidentialité pour concevoir des solutions évolutives qui répondent à une grande variété de besoins. Nous prenons la sécurité et la confidentialité au sérieux, et nous encourageons nos clients à utiliser les meilleures pratiques lors de la configuration des produits de manière à mieux répondre à leurs besoins en matière de confidentialité. »


Articles recommandés