Des clients Azure dans Open (AiO) ont peut être eu une mauvaise surprise aujourd'hui : ils ont découvert que leur facture a pu être envoyée à des dizaines d'autres personnes. Il ne s'agit pas de l'œuvre d'un pirate, mais d'un bug du système de facturation qui a envoyé des emails aux mauvais destinataires.
Alors que la société multiplie cette semaine les annonces, notamment avec Sony pour le Cloud Gaming et Qwant pour renforcer ses capacités mais en gardant « sa technologie d'indexation souveraine », Microsoft fait face à une fuite de données pour le moins embarrassante.
Quand le système de facturation déraille
Des factures ont en effet été envoyées aux mauvais destinataires. Par email, l'éditeur prévient les responsables des comptes concernés qu' « une facture associée à votre abonnement Azure in Open (AiO) a été partagée par inadvertance avec un autre client en raison d'une modification opérationnelle apportée au système de facturation ».
L'incident s'est produit entre mardi 14 mai à 13h35 (heure française) et mercredi 15 mai à 4h49. Le problème a depuis évidemment été réglé. Microsoft demande aux personnes concernées de supprimer les emails reçus par erreur.
De notre côté, nous pouvons confirmer avoir reçu des dizaines de factures d'autres comptes Azure mercredi matin. Microsoft ne s'étend pas davantage sur l'étendue des dégâts : nombre de comptes touchés, nombre d'emails envoyés aux mauvais destinataires, etc.
Subscription Id, email, adresse et montant de la facture
Les éléments contenus dans les factures contiennent le Subscription Id du compte, l'adresse email de l'administrateur, l'adresse postale, la méthode de paiement et le montant de la facture. Le détail des services n'est par contre pas précisé.
Le Subscription ID n'est pas un mot de passe, mais il est nécessaire pour accéder aux factures et à certaines API, il est donc important et doit rester secret. Loupé. Microsoft n'a pour le moment pas lancé de campagne de changement des Subscription Id et n'a pas non plus émis de recommandation sur le sujet.
Ce n'est pas tout, la liste des destinaires dans les emails que nous avons reçus est longue comme le bras... Autant dire que les factures en questions ont probablement été largement diffusées :
Risque de phishing en vue
Maintenant, le risque est que des personnes malintentionnées se lancent dans des tentatives de phishing en se faisant passer pour Microsoft, aidés des informations récoltées.
Pour rappel, en cas de violation de données à caractère personnel, le RGPD impose que « le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente (...) dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ».
L'incident s'est terminé mercredi matin et Microsoft a prévenu les clients concernés vendredi matin, il est donc pour le moment dans les clous. Reste à voir si les autorités compétentes ont également été informées dans les temps.
