« C’est la pire vulnérabilité de Cloud que vous pouvez imaginer » déclare tout de go Ami Luttwak, CTO de Wiz, une firme spécialisée en sécurité à l’origine de la découverte d’une énorme faille dans le Cloud Azure de Microsoft. Le Chief Technology Officer enfonce le clou: « Il s’agit de la base de données centrale d’Azure, et nous avons pu accéder à n’importe quelle base de données client que nous voulions. »
De nombreuses grosses sociétés américaines et mondiales utilisent les services de cloud Azure, dont des poids lourds du classement Fortune 500. Découvrir une faille majeure dans un service réputé pour son intégrité et sa sécurité est forcément un choc pour Microsoft. La firme de Redmond s’est d’ailleurs empressée de préciser que la faille avait été corrigée rapidement juste après sa découverte au mois d’août, et qu’à priori, aucun individu mal intentionné n’avait été en mesure de l’exploiter. Par souci de prudence, Microsoft a tout de même demandé aux clients concernés de modifier leurs clefs d’accès primaires, au cas où…
La faille de Microsoft Azure porte un petit nom bien inquiétant, ChaosDB, et se sert de l’outil Jupyter Notebook (activé par défaut depuis le début de l’année) comme porte d’accès aux bases de données de plusieurs clients Azure. Cet accès est de type administrateur, c’est à dire qu’il est possible de modifier voire de supprimer la base de donnée ciblée. Autant dire que Microsoft est sans doute passé tout près d’une véritable catastrophe.
