Des applications Microsoft Power mal configurées ont exposé par inadvertance 38 millions d’enregistrements sensibles

  • Français


  • Un problème de configuration dans Microsoft Power Apps a entraîné une violation massive des données, exposant les informations sensibles de millions d’utilisateurs. Une analyse de la société de sécurité de l’information UpGuard a révélé que plus de 38 millions d’enregistrements de 47 entités gouvernementales et privées différentes qui utilisent les portails Microsoft Power Apps ont été accidentellement laissés exposés en ligne. L’incident représente les risques graves posés par les violations de données par des tiers.

    Qu’est-ce que Microsoft Power Apps ?

    Microsoft Power Apps est une suite d’applications et de services hébergés dans le cloud qui permet aux entreprises de développer des applications personnalisées selon leurs besoins commerciaux. Les applications créées à l’aide de Power Apps aident les entreprises à transformer leurs opérations commerciales manuelles en processus numériques et automatisés. Power Apps permet aux API OData (Open Data Protocol) de récupérer des données à partir de Power Apps.

    Un nouveau vecteur de fuite de données

    Selon UpGuard, la documentation produit de Power Apps mentionne les conditions dans lesquelles les API OData peuvent être rendues accessibles au public et sa page marketing répertorie “la possibilité d’accéder aux données de manière anonyme ou via une authentification commerciale”.

    Les informations exposées comprennent les noms, les adresses e-mail, d’autres données personnelles pour la recherche des contacts COVID-19, les numéros de sécurité sociale, les rendez-vous de vaccination et les identifiants des employés. Les entités et les organismes gouvernementaux qui ont souffert de l’incident de sécurité comprennent l’Indiana, le Maryland, la ville de New York, Ford, JB Hunt, Microsoft et American Airlines.

    « Tout d’abord, nous avons identifié les adresses des portails Power Apps. Les portails Power Apps se voient attribuer un sous-domaine du site « powerappsportals.com ». Nous avons également découvert deux autres domaines principaux utilisés pour des produits Microsoft similaires avec les mêmes options de configuration OData : powerappsportals.us, qui semble être destiné au gouvernement américain, et microsoftcrmportals.com, qui est destiné à une version obsolète de la gamme de produits », UpGuard mentionné.

    La réponse de Microsoft

    Microsoft informe les entités concernées et les clients cloud de l’incident de sécurité. Le géant de la technologie a également publié un outil – Portal Checker – pour vérifier les portails Power Apps et a initié des modifications au produit pour une meilleure sécurité des données.

    « Plus important encore, les portails Power Apps nouvellement créés auront des autorisations de table activées par défaut. Les configurations des tables peuvent toujours être modifiées pour permettre un accès anonyme, mais l’activation par défaut des autorisations réduira considérablement le risque de mauvaise configuration future », a déclaré Microsoft.

    Ce que disent les experts…

    Parler exclusivement avec CISO MAG, Ilia Sotnikov, vice-président de l’expérience utilisateur et de la stratégie de sécurité chez Netwrix, a déclaré : « C’est un excellent exemple de la façon dont les décisions de conception d’interface utilisateur peuvent avoir un impact sur les décisions que prennent les utilisateurs. L’accès anonyme activé dans Power Apps résulte de deux paramètres dans des onglets différents dans une boîte de dialogue de configuration. Si vous activez l’un et ignorez l’autre, vous autorisez tout le monde sur Internet à accéder au contenu de votre table. Les fournisseurs doivent investir dans la recherche sur l’expérience utilisateur (UX) et les tests d’utilisabilité afin de minimiser le risque de tels problèmes pour leurs clients. Cette nouvelle devrait, espérons-le, amener les fournisseurs et les entreprises à réfléchir davantage à l’équilibre entre le délai de mise sur le marché et la sécurité de leurs solutions.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *