Par le partage d'un lien vers un seul dossier sur leur dépôt GitHub, des chercheurs de Microsoft ont laissé la possibilité à n'importe qui de fouiller dans les 38 To de fichiers que contenait leur compte Azure.
Selon TechCrunch, des chercheurs de Microsoft ont accidentellement partagé des dizaines de téraoctets de données sensibles, dont des clés privées et des mots de passes sur leur dépôt GitHub.
La startup Wiz, qui travaille sur la sécurité des données dans le cloud, a découvert cette publication accidentelle et l'a partagée avec le média américain.
38 To venant de backup de deux ordinateurs de salariés
TechCrunch explique que le dépôt qui servait au partage de code pour la reconnaissance d'images contenait aussi un lien vers un dossier de stockage Azure permettant de télécharger les modèles d'IA. Wiz s'est rendu compte que le réglage de permissions permettait d'accéder aussi à toutes les données stockées par ce compte Azure.
Celui-ci contenait 38 téraoctets de données sensibles dont les backups personnels de deux ordinateurs de salariés de Microsoft. À l'intérieur, notamment, des mots de passe d’accès à des services Microsoft, des clés privées et plus de 30 000 messages échangés par des centaines d'employés de l'entreprise de Redmond via Teams. Selon le média, ces données étaient accessibles depuis 2020.
Un jeton de signature d'accès partagé en cause
Le réglage de permissions permettait aussi de modifier et supprimer n'importe quelle donnée stockée sur ce compte Azure.
Wiz explique que les chercheurs de Microsoft ont partagé non seulement l'url des données, mais qu’ils y ont aussi inclus le jeton (token) de la signature d'accès partagé (en anglais, Shared Access Signature, SAS). Ces tokens utilisés par Azure permettent de partager les droits sur les données du compte.
Wiz a informé Microsoft le 22 juin et l'entreprise a révoqué le jeton le 24 juin et terminé son enquête sur les potentielles conséquences dans son organisation le 16 août.
Aucune donnée de clients exposée
Microsoft a publié un billet de blog expliquant qu' « aucune donnée de client n'a été exposée et aucun autre service interne n'a été mis en danger à cause de ce problème ». En conséquence, les clients n’ont besoin de réaliser aucune action.
L'éditeur de la solution de stockage dans le cloud Azure explique que, « comme les autres secrets, les jetons SAS doivent être créés et gérés correctement », rejetant la faute sur les utilisateurs de son service, en l'occurrence, ici, ses propres salariés. Microsoft ajoute quand même qu' « en outre, nous apportons des améliorations constantes pour renforcer la fonction de jeton SAS et continuons d'évaluer le service afin de renforcer notre dispositif de sécurité par défaut », sans aller plus loin dans le détail de ces améliorations permettant d'éviter ce genre de partages maladroits.
L'entreprise explique, par contre, avoir étendu le service d'analyse d'informations secrètes (comme les clés chiffrées et les disques durs virtuels) de GitHub, qu’elle a pour rappel racheté en 2018, pour détecter le partage de jeton SAS.
Bonnes pratiques mises en avant par Azure
Dans son billet, Microsoft cite les « bonnes pratiques » recommandées par Azure lors de l'utilisation d'URL SAS :
- Appliquer le principe du moindre privilège : limiter les URL SAS au plus petit ensemble de ressources requises par les clients (par exemple, un seul blob), et limiter les autorisations à celles requises par l'application (par exemple, lecture seule, écriture seule).
- Utiliser des SAS à courte durée de vie : toujours utiliser un délai d'expiration à court terme lors de la création d'un SAS, et demander aux clients de demander de nouvelles URL de SAS si nécessaire. Azure recommande un délai d'une heure ou moins pour toutes les URL SAS.
- Manipuler les jetons SAS avec précaution : les URL SAS donnent accès aux données et doivent être traitées comme un secret d'application. N'exposer les URL SAS qu'aux clients qui ont besoin d'accéder à un compte de stockage.
- Prévoir un plan de révocation : associer les jetons SAS à une politique d'accès stocké pour une révocation fine d'un SAS au sein d'un conteneur. Être prêt à supprimer la politique d'accès stocké ou à effectuer une rotation des clés de compte de stockage en cas de fuite d'un SAS ou d'une clé partagée.
- Surveiller et auditer votre application : suivre la façon dont les demandes d'accès au compte de stockage sont autorisées en activant Azure Monitor et Azure Storage Logs. Utiliser une politique d'expiration des SAS pour détecter les clients qui utilisent des URL SAS de longue durée.
Commentaires (24)
#1
38 To de données sensibles. Bon courage aux espions chinois qui vont devoir se taper 37,9 To de films de vacances pour arriver à trouver les données vraiment intéressantes.
#2
Ils utiliseront peut-être une IA Microsoft pour faire le tri
#3
#4
Y’a un mec ou deux qui vont se faire virer dans l’équipe secops …
#5
“rejetant la faute sur les utilisateurs de son service, en l’occurrence, ici, ses propres salariés”…
Bin voyons! Ca aurait été le client qui n’a pas compris le merveilleux écosystème dans la nébuleuse qu’on lui vend, lui mettre un vent en mode RTFM serait déjà douteux. Mais là il y a sans doute d’autres questions à se poser. Ce type de gag ne devrait pouvoir résulter que d’un comportement clairement fautif.
J’adore la recommandation de courte durée de vie: A la vitesse ou tout internet est indexé de nos jours et ou 38To peuvent actuellement se faire la malle entre infras avec une connectivité au top, il faudra être à quelques petites heures pour espérer simplement limiter les dégâts!
#6
Cela confirme que personne pige le Cloud et comment le sécuriser, même ceux qui te le vendent.
#6.1
Je ne savais pas que les gars côté R&D IA vendaient des solutions cloud aux clients. Ou alors, tu estimes que n’importe quel secrétaire d’EDF doit savoir faire de la maintenance des centrales nucléaires.
En effet, des personnes qui utilisent des solutions d’entreprises pour des besoins perso et qui font ça n’importe comment, c’est vraiment une situation unique au monde qui n’existe que chez Microsoft, et ça remet complètement en cause la stratégie globale de l’entreprise. M’enfin, contrôlez déjà vos salariés avant de vendre des solutions, m’voyons.
#6.2
Ce ne sont pas des secrétaires EDF là…
Cela devrait être le cas pour les entreprises qui souhaitent migrer à 100% dans le Cloud Azure (ou un autre). ;-)
#7
Décidément Microsoft a du mal avec ses clés et son cloud…
#7.1
Microsoft veut faire trop de choses, et ils font tout mal…Ou pas très bien, pas finis…
Mais ils ont de très bon commerciaux qui te vendent ça comme la fin de tes soucis d’IT, et ça marche…
#8
Les employés sont formés à l’utilisation de ces technologies. Tu peux prendre toutes les précautions imaginables, au bout du compte, l’humain peut toujours faire une bêtise. Et ici, il est clairement fautif.
Je trouve fatiguant ce bashing anti-MS.
#9
C’est moi ou ce dossier contenait vraiment tout et n’importe quoi ? Des backups de PC, du code pour l’IA, etc.
Le premier truc à faire n’aurait-il pas été de ne pas mettre tous les oeufs dans le même panier (question naïve, vraiment) ?
#9.1
J’imagine que l’espace devait contenir tout ce qu’ils avaient besoin pour travailler, justement pour “sécuriser” leurs données en cas de crash de leur poste de travail.
Surement pas dans l’optique de le partager avec quelqu’un (ou là effectivement ils auraient surement fais attention à pas y mettre n’importe quoi).
Surement une “simple” copie du bordel de leur propre poste informatique
#10
Ca me rappelle un meme vu il y a quelques mois sur la sécurité IT.
Un mec en armure : Ma sécurité IT qui coûte une fortune.
Une flèche qui passe à travers la visière : Un utilisateur avec des droits d’admin.
Le PEBKAC n’est pas qu’une source d’anecdotes rigolotes, c’est aussi la faille de sécurité la plus commune à laquelle peu de solutions techniques peuvent répondre.
#10.1
J’ai une version sur un des mur de mon bureau.
En voilà une autre, je n’ai pas retrouvé la mienne :
https://media.licdn.com/dms/image/C5622AQE97tiWOez45w/feedshare-shrink_2048_1536/0/1676997994025?e=1698278400&v=beta&t=VQOlMt38_6ieqzeRXxsZRn6AwY0MuP2RVMRM8_XOjyw
C’est tellement ça…
#10.2
C’est exactement celle-ci
Je l’avais envoyée à un collègue responsable sécu. Ca l’a fait rire jaune
#11
En forçant le trait, c’est tout comme.
Ces gens ont été recrutés pour leurs compétences dans un domaine bien précis (recherche en IA), et pas pour leurs talents de sysadmin et/ou secops.
Nop, toujours pas.
#11.1
Tu me donnes raison ou bien tu piges toujours pas le souci ?
Si la SI veut avant tout de la sécu’ ils éviteront ce suicide. Sinon…
Mais bon, dis nous tout, t’es certifié Azure et t’as pas envie de t’asseoir sur ton contrat mirobolant ?
#12
C’est clairement deux bon gros amateurs surtout… Comment on peut sauvegarder un PC dans un GitHub dans une boîte qui a une solution pour le faire => OneDrive. A se demander quand même si ils ne l’ont pas fait exprès. Des fois c’est à se demander quand même.
On parle d’un basique de chez basique de l’IT là quand même… Soit ce sont des usurpateurs soit ils ont rien à faire dand l’IT car incompétent. C’est bien beau de faire du bashing Microsoft mais bon là quand même on a faire à deux bon gros génies et un management complètement aux fraises de ne rien avoir vu…
#12.1
Les données sont dans un Azure Storage Account, pas GitHub. C’est un token d’accès à celui-ci qui a fuité sur la plateforme d’hébergement de code.
Le token avait quand même des droits trop élevés à mon goût, sauf si manipuler le contenu était une finalité.
Perso l’erreur que je verrais, mais je manque de contexte pour en avoir la certitude, c’est d’avoir utilisé le SAS Token pour ça alors que l’authentification par Azure AD aurait évité ce genre de fuite. Le use-case du SAS Token est plutôt relatif à un accès ponctuel, externe au tenant, et fin. Si ces chercheurs travaillent bien chez Microsoft, cela n’a pas trop de sens pour moi et l’authent Azure AD aurait dû être privilégiée. Et aussi filtrer niveau réseau en mettant le Storage Account en privé aurait été une bonne chose.
Si ces chercheurs en IA sont probablement très compétents dans leur domaine, les subtilités de la sécurité et des paramètres d’un objet Cloud ne sont peut-être pas de leur compétence. C’est l’un des risques du Cloud en self-service hélas.
#13
Bah les gars sont formés, et font la boulette, que penser d’un employé lambda d’une boite non informatique dont l’info est cloudé pour éviter de payer de l’IT en interne ?
Le point est qu’il y’a quand même a minima un problème d’ergonomie, peut-être un simple message bandeau manquant aux endroits stratégiques :
L’autre solution serait de ne faire que des github privés par défaut et qu’il y’ai une action manuelle pour rendre publique un repository (voir un thème de couleur selon la visibilité privé / partagé / public)
Bref ce n’est pas du M$ bashing gratuit, y’a quand un même un véritable problème de fond avec ces outils.
#14
Bah pas besoin de taper sur les petits https://www.lemonde.fr/pixels/article/2023/09/20/xbox-publie-par-erreur-en-ligne-des-informations-confidentielles-internes_6190159_4408996.html
#15
C’est aussi mon avis, mais bon, parait que c’est du bashing anti-MS et non un problème de donner, une fois de plus, le bâton pour se faire battre.
#16
Alors non seulement les discussions des employés ne sont pas chiffrées mais en plus on fout tout ça en libre accès dans un coin pour entraîner des IAs ?
L’amende de la FTC/RGPD devrait être salée.