Microsoft rappelle que Power Apps « est une suite d’applications, de services, de connecteurs et une plateforme de données qui fournissent un environnement de développement applicatif rapide ». On peut y stocker des données ayant vocation à être librement partagées, tandis que d’autres doivent rester confidentielles.
Une mauvaise configuration et le drame peut arriver… certains se souviendront du cas de MongoDB. C’est exactement ce qu’il s’est passé cet été. UpGuard a en effet notifié 47 entités (organismes gouvernementaux, American Airlines, Microsoft…) que pas moins de 38 millions d’enregistrements étaient librement accessibles.
« Bien que nous comprenions (et approuvions) la position de Microsoft selon laquelle le problème ici n'est pas strictement une vulnérabilité logicielle, il s'agit d'un problème de la plateforme nécessitant des modifications de code », affirme UpGuard.
Microsoft a depuis publié un outil pour vérifier la configuration et a procédé à quelques ajustements sur les permissions par défaut. Cette histoire rappelle une fois encore qu’il est important de bien comprendre (et vérifier) ce que l’on fait…
Commentaires (2)
#1
Il est un peu dommage qu’apparemment auparavant tout était complètement ouvert par défaut, cela dit on ne peut pas blâmer Microsoft de la turpitude de gens qui prennent un outil exposable sur internet et l’exploitent sans chercher un minimum à comprendre ce qui est accessible par défaut…
On est presque au niveau d’un admin/admin pour le login/mdp d’administration là. XD
Par rapport à MongoDB et le compromis à trouver entre simplicité et “sécurité par défaut”, je trouve qu’une solution pas mal consiste à ne pas avoir un mdp par défaut mais d’en générer un simple visible pour l’installeur. Ou alors laisser un mdp pourri par défaut mais afficher en gros (pour les outils avec interface) un bandeau inamovible “bouge toi gros va mettre un vrai mot de passe je te laisse rien faire avant” XD
#2
Malheureusement, Microsoft donne accès à ce genre d’applis à tout le monde, et les mettent en avant pour les utilisateur lambda.
L’administrateur système n’a pas beaucoup de choix: laisser les utilisateur utiliser ou non (et donc passer pour le rétrograde de service).
Utiliser O365, c’est une course permanente avec Ms qui ajoute des boutons sympas aux utilisateurs mais qui vont à l’encontre des bonnes pratiques en matière de confidentialité, gestion des données, sécurité…