REDMOND, Washington – Microsoft affirme avoir corrigé une faille dans sa plate-forme de cloud computing qui, selon les chercheurs en cybersécurité, aurait pu permettre aux pirates de prendre le contrôle d’un produit de base de données basé sur le cloud utilisé par de nombreuses grandes entreprises.
La société a déclaré vendredi qu’il n’y avait aucune preuve que l’ouverture potentielle ait été exploitée par des acteurs malveillants ou que des données client aient été exposées.
La société de cybersécurité Wiz, dirigée par d’anciens employés de Microsoft, a déclaré avoir découvert ce qu’elle a appelé une « vulnérabilité critique sans précédent » dans la plate-forme cloud Azure de Microsoft et a informé le géant de la technologie plus tôt en août. Microsoft a payé une prime à l’entreprise pour la découverte et a déclaré qu’elle avait immédiatement résolu le problème.
Si elle était exploitée, la faille aurait pu affecter « des milliers d’organisations, dont de nombreuses entreprises du Fortune 500 », selon un article de blog de Wiz, basé en Israël et en Californie et dirigé par une équipe israélienne. Microsoft a déclaré vendredi que la faille n’affectait qu’un sous-ensemble de clients utilisant le produit.
Microsoft a déjà été sur la sellette suite au piratage de ses serveurs de messagerie Exchange, révélé en mars et imputé à des espions chinois. Son code a également été abusé pour fouiller dans les e-mails des responsables américains lors d’un piratage antérieur, épinglé sur des agents de renseignement russes et plus communément associé à la société de logiciels SolarWinds.
La vulnérabilité de la plate-forme cloud révélée cette semaine, bien qu’elle ne cause apparemment aucun dommage, a soulevé des inquiétudes quant à la sécurité des services cloud fournis par l’industrie technologique, sur laquelle les entreprises et les gouvernements comptent de plus en plus.
Après un sommet sur la cybersécurité à la Maison Blanche jeudi, Microsoft s’est engagé à investir 20 milliards de dollars dans la cybersécurité au cours des cinq prochaines années et à mettre à disposition 150 millions de dollars en services techniques pour aider les gouvernements locaux à améliorer leurs défenses.
Plus tôt dans l’année, les législateurs fédéraux ont insisté pour que Microsoft mette rapidement à niveau la sécurité à ce qu’ils disent qu’elle aurait dû fournir en premier lieu, et sans escroquer les contribuables.
