Microsoft n'a pas réussi à protéger 250 millions de journaux de support client

Cela ne peut pas lui ressembler, mais les grands géants de la technologie ne restent jamais immobiles. Parfois, les changements sont invisibles pour des millions d'utilisateurs, mais en coulisses, les sociétés informatiques mettent constamment à jour et peaufinent leurs procédures internes pour garantir un fonctionnement rationalisé et fluide. Cependant, nous ne devons pas oublier que la mise en œuvre de modifications, même mineures, est un processus compliqué et que des erreurs peuvent survenir. Malheureusement, Microsoft nous a montré hier que lorsque les choses tournent mal, les conséquences sont souvent assez terrifiantes.

Tout a commencé le 28 décembre 2019, lorsque le moteur de recherche de renseignements sur les menaces BinaryEdge a indexé un cluster de cinq serveurs Elasticsearch, qui contenaient tous une collection identique de 250 millions d'enregistrements. En une journée, le chercheur en sécurité Bob Diachenko a découvert les serveurs et s'est rendu compte qu'ils n'étaient protégés par aucune forme d'authentification. Diachenko s'est associé à des chercheurs de Comparitech qui l'ont aidé à conclure que la base de données appartenait à Microsoft. Le fabricant du système d'exploitation le plus populaire au monde a été informé immédiatement et un jour plus tard, les serveurs étaient déjà hors ligne. Après avoir sécurisé les données, l'équipe de réponse de sécurité de Microsoft a lancé une enquête et hier, ils ont dit à tout le monde ce qui s'était passé.

Microsoft a divulgué des millions de journaux de support

Les 250 millions d'enregistrements étaient en fait des journaux de support datés entre 2005 et décembre 2019. Il s'agit d'une vaste collection de données couvrant une période de temps énorme. Heureusement, les personnes qui ont dû recourir à l'équipe du service client de Microsoft pendant cette période seront heureuses d'apprendre que la plupart des entrées ne contenaient aucune information personnellement identifiable. Demander de l'aide à Microsoft implique généralement de présenter votre adresse e-mail et, à l'occasion, d'autres coordonnées, mais le géant de Redmond a réellement pensé à la confidentialité de ses clients et a mis en place des mécanismes qui suppriment automatiquement les informations personnelles avant de les stocker sur un serveur. Ces mécanismes ne sont cependant pas infaillibles.

Les informations saisies dans un format non reconnu contourneraient la procédure d'anonymisation, ce qui signifie que les adresses e-mail contenant des espaces, par exemple, ne seraient pas caviardées. Les experts en sécurité de Microsoft ont déclaré que bien qu'ils n'aient vu aucune preuve d'une «utilisation malveillante» des données, ils sont en train d'informer les utilisateurs qui pourraient être affectés.

Le fait que la base de données expose peu de données personnelles est une bonne nouvelle, mais la fuite ne doit pas être sous-estimée. En plus des informations personnelles principalement obscurcies, les serveurs Elasticsearch contenaient les adresses IP et les informations de localisation des utilisateurs, ainsi que des données relatives à l'état et à la nature des dossiers de support qu'ils ont ouverts avec Microsoft. Les adresses e-mail des agents de support Microsoft ont également été stockées en texte brut. Dans l'ensemble, il y avait suffisamment d'informations pour qu'un pirate motivé puisse lancer une attaque ciblée qui aurait pu avoir des conséquences assez désastreuses.

Comment les données ont-elles été exposées et comment Microsoft a-t-il géré le problème?

Bob Diachenko a été impressionné par l'équipe de réponse de sécurité de Microsoft et la réaction rapide à la lumière du fait que la notification a été envoyée quelques heures avant le Nouvel An. Le fournisseur du système d'exploitation mérite également une tape dans le dos pour la transparence avec laquelle il a décrit les événements qui ont conduit à l'incident.

Le 5 décembre, l'équipe backend de Microsoft a apporté quelques modifications au groupe de sécurité réseau qui hébergeait la base de données et n'a pas remarqué qu'il y avait une erreur de configuration dans la mise à jour. Dans le rapport d'hier, Ann Johnson, vice-présidente d'entreprise du groupe de solutions de cybersécurité de Microsoft et Eric Doerr, directeur général du centre de réponse de sécurité de Microsoft, ont souligné qu'ils avaient des mécanismes en place qui empêcheraient généralement les fuites de données causées par ce type d'erreur de mauvaise configuration. Pour cette base de données particulière, cependant, ils n'étaient pas activés.

Dans l'ensemble, la fuite a été causée par une chaîne d'événements malheureuse et n'a finalement pas causé de dommages majeurs, ce qui signifie que nous pouvons tous pousser un soupir de soulagement. Nous ne devons cependant pas sous-estimer le danger.

Microsoft a déclaré qu'il avait pris un certain nombre de précautions pour éviter que cela ne se reproduise, et nous estimons que les autres sociétés qui traitent les données personnelles des utilisateurs devraient emboîter le pas. Le fait est que les fuites d'informations causées par des bases de données Elasticsearch mal configurées deviennent un phénomène quotidien et les gens ne semblent pas en prendre note. Cela est inquiétant car, bien que Microsoft anonymise les informations personnelles des utilisateurs (au moins lorsqu'elles sont entrées dans le système de support), d'autres ne le font pas.