Alors que Microsoft a récemment été exposé à des pressions croissantes en matière de sécurité logicielle, il a pris la décision de déverrouiller un serveur le mois dernier. Ce serveur a exposé publiquement sur Internet les mots de passe, les clés et les informations d'identification utilisés par les employés de Microsoft pour accéder aux systèmes internes. Selon les informations fournies par TechCrunch, trois chercheurs en sécurité d'une société appelée SOCRadar ont découvert un serveur hébergé sur Azure qui stockait les données sensibles du moteur de recherche Bing de Microsoft et était accessible sans aucune protection par mot de passe. Le serveur contenait un ensemble d'informations d'identification de sécurité, contenues dans divers scripts, codes et fichiers de configuration, utilisés par les employés de Microsoft pour accéder aux systèmes internes.
Les failles de sécurité de Microsoft
Il a été déclaré qu'une telle vulnérabilité pourrait entraîner des fuites de données plus importantes et compromettre les services utilisés. Can Yoleri, l'un des chercheurs, a déclaré à TechCrunch qu'en accédant à cette vulnérabilité, les pirates peuvent trouver et accéder à d'autres zones où Microsoft stocke ses données internes, ce qui peut provoquer des fuites de données plus importantes et compromettre les services utilisés.
Microsoft a été informé de cette vulnérabilité le 6 février et l'a corrigée le 5 mars. Il n’était pas clair si quelqu’un d’autre avait accédé au serveur pendant cette période. Une tentative a été faite pour obtenir un commentaire de Microsoft sur le problème et les nouvelles seront mises à jour lorsque les commentaires seront reçus.
Microsoft, qui a fait face à plusieurs revers en matière de cybersécurité ces dernières années, est actuellement en train de réorganiser ses pratiques de sécurité. Plus tôt ce mois-ci, une évaluation du Cybersecurity Review Board des États-Unis a révélé que Microsoft pourrait empêcher une faille dans le logiciel Exchange Online qui pourrait permettre aux pirates chinois d'accéder aux systèmes de messagerie du gouvernement américain en 2023. Cela a conduit à des critiques selon lesquelles le géant de la technologie aurait développé une « culture d’entreprise » qui donne la priorité aux investissements en matière de sécurité et à une gestion rigoureuse des risques. Lors d'un autre incident, en 2022, les propres employés de Microsoft ont téléchargé sur GitHub les informations de connexion sensibles utilisées pour se connecter aux systèmes de l'entreprise. Ces événements et d’autres similaires révèlent une fois de plus que Microsoft doit prendre des mesures sérieuses dans le domaine de la cybersécurité. La manière dont Microsoft va procéder contre de telles vulnérabilités et comment il va renforcer les mesures de sécurité font partie des questions suivies de près dans le monde de la technologie.
