IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Cloud Computing Discussion :

Microsoft avertit des milliers de clients du cloud que leurs bases de données sont exposées


Sujet :

Cloud Computing

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    juin 2016
    Messages
    2 028
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 2 028
    Points : 45 711
    Points
    45 711
    Par défaut Microsoft avertit des milliers de clients du cloud que leurs bases de données sont exposées
    Microsoft avertit des milliers de clients du cloud que leurs bases de données sont exposées
    à des violations ou attaques de toute sorte

    Les cyberattaques sont devenues une menace très sérieuse pour les entreprises de tous les secteurs au cours de ces dernières. Elles recherchent désormais activement toute vulnérabilité liée à leurs offres et tentent d'y apporter des solutions immédiates. Jeudi, Microsoft a averti des milliers de ses clients de son service de cloud computing, dont certaines des plus grandes entreprises du monde, que des intrus pourraient avoir la possibilité de lire, modifier ou même supprimer leurs principales bases de données. La vulnérabilité concerne la base de données Cosmos DB de Microsoft Azure.

    Microsoft est le troisième plus grand fournisseur de service de cloud computing dans le monde, en matière de chiffre d'affaires après AWS (Amazon Web Service) et Google (avec Google Cloud Platform - GCP). Son infrastructure cloud Azure est utilisée par des milliers de clients à travers le monde. Et tout comme AWS et GCP, Azure est constamment exposé à des cyberattaques qui pourraient causer des milliards de dollars de dommages aux entreprises clientes. Toutefois, la société reste vigilante depuis les attaques contre son serveur de messagerie électronique Exchange qui ont exposé les données de milliers d'entreprises à travers le monde.

    Nom : 61281edb4af1d4222d99362d_Blog image - chaos step 1.jpg
Affichages : 47060
Taille : 312,5 Ko

    Alors que Exchange est toujours exposé à certains égards, l'entreprise vient de découvrir une nouvelle vulnérabilité critique dans Azure. À travers un mail, dont Reuters a obtenu une copie, Microsoft a informé jeudi ses clients que son service de base de données multimodèle exclusif Cosmos DB était sujet à une vulnérabilité. En effet, une équipe de recherche de la société de sécurité Wiz a découvert qu'elle était en mesure d'accéder aux clés qui contrôlent l'accès aux bases de données détenues par des milliers d'entreprises. Le directeur de la technologie de Wiz, Ami Luttwak, est un ancien directeur de la technologie du Cloud Security Group de Microsoft.

    Comme Microsoft ne peut pas modifier ces clés par lui-même, il a envoyé un mail jeudi aux clients pour leur demander d'en créer de nouvelles. Selon un mail envoyé à Wiz, Microsoft a accepté de verser 40 000 dollars à Wiz pour avoir découvert la faille et l'avoir signalée. « Nous avons immédiatement corrigé ce problème pour assurer la sécurité et la protection de nos clients. Nous remercions les chercheurs en sécurité d'avoir travaillé dans le cadre de la divulgation coordonnée de la vulnérabilité », a déclaré Microsoft.

    En outre, Microsoft a rassuré ses clients en déclarant que rien ne prouvait que la faille avait été exploitée. « Nous n'avons aucune indication que des entités externes au chercheur (Wiz) aient eu accès à la clé primaire de lecture-écriture », indique le courriel. De son côté, Luttwak a déclaré qu'il s'agit de la pire vulnérabilité à laquelle un fournisseur de service cloud pouvait être confronté. « C'est la pire vulnérabilité du cloud que vous pouvez imaginer. C'est un secret de longue durée. C'est la base de données centrale d'Azure, et nous avons pu avoir accès à toutes les bases de données clients que nous voulions », a déclaré Luttwak à Reuters.

    L'équipe de Luttwak aurait découvert le problème, surnommé ChaosDB, le 9 août et en a informé Microsoft le 12 août. Selon les informations fournies par Wiz, la faille se trouvait dans l'outil de visualisation appelé Jupyter Notebook, qui est disponible depuis des années, mais qui a été activé par défaut dans Cosmos à partir de février. Après que Reuters a révélé la vulnérabilité, Wiz a détaillé le problème dans un billet de blogue. Luttwak a déclaré que même les clients qui n'ont pas été informés par Microsoft pourraient avoir vu leurs clés piratées par des attaquants, ce qui leur donne un accès jusqu'à ce que ces clés soient changées.

    Microsoft n'a informé les clients dont les clés étaient visibles que ce mois-ci, alors que Wiz travaillait sur le problème. L'entreprise a déclaré à Reuters que « les clients qui ont pu être touchés ont reçu une notification de notre part », sans donner plus de détails. Cette divulgation intervient après des mois de mauvaises nouvelles en matière de sécurité pour Microsoft. La société a été attaquée par les mêmes pirates présumés du gouvernement russe qui ont infiltré SolarWinds, et qui ont volé le code source de Microsoft. Ensuite, un grand nombre de pirates ont pénétré dans les serveurs de messagerie Exchange alors qu'un correctif était en cours d'élaboration.

    Nom : 61281ee6f4b9d5f8833c0be7_Blog image - chaos step 2.jpg
Affichages : 2825
Taille : 333,1 Ko

    Un récent correctif pour une faille dans une imprimante qui permettait de prendre le contrôle d'un ordinateur a dû être refait à plusieurs reprises. La semaine dernière, une autre faille d'Exchange a suscité un avertissement urgent du gouvernement américain : « les clients doivent installer les correctifs publiés il y a plusieurs mois, car des gangs de rançongiciels l'exploitent désormais ». La divulgation intervient également après que la Maison Blanche a appelé les grandes entreprises américaines à faire plus d'efforts en matière de cybersécurité. Mercredi, Joe Biden a discuté avec des dizaines de PDG autour d'un sommet sur la cybersécurité des États-Unis.

    Le pays a été le théâtre de cyberattaques répétées et extrêmement dévastatrices contre des agences gouvernementales américaines et des infrastructures énergétiques. Ces cyberattaques, hautement sophistiquées, ont rendu plus urgente la lutte contre ces menaces pour les secteurs public et privé. Ces incidents comprennent l'attaque de la société de logiciels SolarWinds, qui a touché plusieurs agences gouvernementales, et le piratage de Colonial Pipeline. Ce dernier a entraîné une pénurie de gaz dans certaines régions du pays. D'autres attaques ont frappé Kaseya et le géant agroalimentaire JBS.

    Mercredi, Biden a appelé les dirigeants du secteur privé à "placer la barre plus haut en matière de cybersécurité". « Le gouvernement fédéral ne peut pas relever ce défi seul. Vous avez le pouvoir, la capacité et la responsabilité, je crois, de relever la barre en matière de cybersécurité », a-t-il déclaré. « Nous avons beaucoup de travail à faire », a ajouté Biden, citant à la fois les attaques par ransomware et ses efforts pour amener le président russe Vladimir Poutine à tenir pour responsables les cybergangs basés en Russie, ainsi que la nécessité de pourvoir près d'un demi-million d'emplois publics et privés dans le domaine de la cybersécurité.

    Par ailleurs, la Maison Blanche a déclaré que l'Institut national des normes et de la technologie (NIST) travaillerait avec l'industrie et d'autres partenaires sur de nouvelles lignes directrices pour construire des technologies sécurisées et évaluer la sécurité des technologies, y compris les logiciels libres. Les dirigeants d'entreprises privées ont répondu à l'appel du président et ont déclaré qu'ils feraient davantage face à la menace croissante des cyberattaques pour l'économie américaine. Microsoft, Google, Travelers et Coalition, un fournisseur de cyberassurance, entre autres, se sont engagés à participer à la nouvelle initiative dirigée par le NIST.

    À la fin du sommet, Microsoft a annoncé qu'il investirait 20 milliards de dollars au cours des cinq prochaines années pour faire progresser la "cybersécurité dès la conception" et fournir des solutions de sécurité avancées. L'entreprise a également annoncé qu'elle mettrait immédiatement à disposition 150 millions de dollars en services techniques pour aider les gouvernements fédéraux, étatiques et locaux à améliorer leur sécurité.

    Source : Billet de blogue de Wiz

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi

    Google et Microsoft promettent des milliards pour aider à renforcer la cybersécurité américaine ; Apple, Amazon et IBM ont également annoncé d'autres plans d'action

    Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange. Des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés

    Microsoft publie des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge, à la suite du piratage de son serveur de messagerie

    Le PDG de SolarWinds blâme un stagiaire pour une fuite de mot de passe. Il n'est, cependant, pas encore certain que cela ait joué un rôle dans le piratage de SolarWinds

    Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre émérite
    Profil pro
    undef
    Inscrit en
    février 2013
    Messages
    763
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : février 2013
    Messages : 763
    Points : 2 622
    Points
    2 622
    Par défaut
    Standardisation et centralisation, les black-hackers n'en demandaient pas plus.

  3. #3
    Candidat au Club
    Homme Profil pro
    Ingénieur du computacion
    Inscrit en
    janvier 2021
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : Brésil

    Informations professionnelles :
    Activité : Ingénieur du computacion

    Informations forums :
    Inscription : janvier 2021
    Messages : 1
    Points : 4
    Points
    4
    Par défaut
    Contre ce genre de menace, il n'y a pas grand-chose à faire. Voyons, un ancien CTO de la sécurité quitte l'entreprise et « découvre » une faille de sécurité dans l'un des produits dont il était responsable, et gagne 40 000 pour cela. Ce n'est pas un défaut technique, mais un défaut de vengeance, il n'y a pas de remède à cela....

  4. #4
    Expert confirmé Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    mars 2014
    Messages
    1 260
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : mars 2014
    Messages : 1 260
    Points : 4 891
    Points
    4 891
    Par défaut
    Quelques chiffres pour commencer :

    * l'industrie cyber produit 10 000 failles tous les 6 mois
    * 4 millions de postes sont ouverts dans le monde concernant la cybersécurité
    * 100% des entreprises ont été victimes d'au moins une cyberattaque dans les 3 ans écoulés
    * les dégâts se comptent en milliers de milliards de dollars, pour ce qui est de l'argent, mais combien en compétitivité
    * depuis le covid, la sécurité est repassée en dernière position des ingrédients décisionnels de la transformation numérique


    Pourtant, le monde de la finance craint plus une cyberattaque majeur qu'une crise économique. La prise de conscience est là depuis quelques années déjà, mais les moyens en formation pour palier à la pénurie de ressources se font toujours attendre. Les intentions de Biden sont louables mais, sans remettre en cause Microsoft, Google, Apple, Amazon, IBM, Fire eye, etc cela sera-t-il suffisant à résoudre le cas ?

    En conclusion, vu là où je suis placé, il n'y a pas des kilomètres à ce que je sois convoqué aussi par la direction pour mettre la main à la pâte de ce grand plan de sauvegarde. Je crois que je leur répondrai d'accord mais je me limite à la formation. Et ce sera déjà pas mal.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

Discussions similaires

  1. Réponses: 5
    Dernier message: 26/02/2011, 02h27
  2. Réponses: 1
    Dernier message: 15/04/2009, 18h28
  3. Réponses: 1
    Dernier message: 13/08/2008, 13h59
  4. Réponses: 4
    Dernier message: 25/01/2007, 13h38

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo