Recevez chaque jour toute l'actualité du numérique

x

Microsoft a exposé les dossiers de 250 millions d’utilisateurs de son support client

Pendant un mois, Microsoft a exposé des bases de données contenant les dossiers de 250 millions d’utilisateurs de son service client. Une vulnérabilité corrigée depuis, mais qui pose des questions quant à l’utilisation potentielle que pourraient en faire des individus malintentionnés. La firme de Redmond va se rapprocher des clients concernés.
Twitter Facebook Linkedin Flipboard Email
×

Microsoft a exposé les dossiers de 250 millions d’utilisateurs de son support client
Microsoft a exposé les dossiers de 250 millions d’utilisateurs de son support client © Microsoft

Microsoft connaît un début d’année 2020 compliqué en matière de cybersécurité. Alors qu'elle vient d'annoncer la découverte d'une faille dans son système d’exploitation Windows 10, la firme de Redmond a indiqué mercredi 22 janvier avoir exposé des bases de données contenant les dossiers de 250 millions d’utilisateurs de son service client. La faille, repérée le 29 décembre, aurait été corrigée "en deux jours" et résulterait d’une "mauvaise configuration".

 

DES DONNéES PERSONNELLES EN LIBRE ACCèS

La multinationale a attendu près d’un mois, le temps d’une enquête interne, pour s’expliquer. "Les dossiers en question ont été rendus accessibles à tous depuis un simple navigateur Web", détaille Microsoft dans une note de blog. Concrètement, des conversations entre des employés de l’entreprise et des clients du monde entier, qui se sont tenues entre 2005 et 2019, ont été exposées sans qu’aucun mot de passe ne soit requis. L’investigation n’a pas permis de déterminer si des tiers ont profité de la brèche, qui renfermait des informations sensibles – parmi lesquelles les adresses mail et IP, localisations ou déclarations des clients ainsi que des notes confidentielles.

 

Le chercheur en cybersécurité Bob Diachenko, qui a découvert la faille et en a aussitôt informé Microsoft, a estimé que ces dernières sont restées "en accès libre pendant près d’un mois entre le 5 et le 31 décembre 2019". Cet expert, qui travaille pour la société indépendante Comparitech, a souligné que ce type d’événement est assez commun, trouvant sa source dans des serveurs très utilisés pour faire tourner des applications cloud – baptisés ElasticSearch. Visiblement mal protégés, cinq de ceux de Microsoft ont vu leur contenu étalé sur le Web à partir d’une simple adresse. Si la firme de Redmond assure avoir déployé une mise à jour et vouloir maintenir le niveau de sécurité à l'avenir, cette révélation soulève dans l'immédiat des interrogations quant à l’opportunité pour des pirates de tirer parti des problèmes rencontrés par les utilisateurs de ses produits.

 

Les usurpations d’identité se font notamment de plus en plus courantes. Ce type d'informations permet à des pirates d’exploiter des failles déclarées par les clients aux employés de Microsoft et de paraître encore plus crédibles car ils ont accès au contenu des dossiers. De quoi inciter les victimes à baisser leur garde. Dans le doute, la firme de Redmond a rappelé qu’elle "ne contacte jamais les clients en premier" et qu’elle ne leur "demande jamais de communiquer des mots de passe ou d’installer des logiciels à distance". L’entreprise a commencé à se rapprocher des clients concernés – une obligation légale en Europe depuis le RGPD.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media