Combien de violations de données et de vulnérabilités Microsoft y a-t-il eu au cours des deux dernières années ? Plus que vous ne l'imaginez. Voici ce que nous pouvons apprendre.
Ces 24 derniers mois, on décompte plusieurs violations de données Microsoft médiatisées et plus de 1 200 vulnérabilités signalées qui concernent des millions d’utilisateurs et d’organisations. Voici les événements les plus notables ayant eu lieu de l’automne 2021 à l’automne 2023.
En juillet 2023, Microsoft a annoncé qu’un hacker localisé en Chine avait accédé aux messageries e-mail de plusieurs agences gouvernementales et think tanks américains. Cette violation a touché environ 10 000 organisations.
Virtru a publié deux articles de blog sur cet incident : un sur les événements qui ont mené à la découverte du piratage, et un sur les révélations ultérieures au sujet des problèmes de gestion de clés de chiffrement Microsoft qui ont aggravé les retombées de cette attaque. Les hackers auraient exploité une vulnérabilité de la plateforme Cloud Microsoft Azure pour accéder aux systèmes. De plus, selon des recherches effectuées par Wiz, la clé MSA volée aurait permis aux hackers de créer des jetons d’accès à plusieurs applications Azure Active Directory.
De toute évidence, cette histoire est très inquiétante, d’autant plus que les clients touchés étaient pour beaucoup des organisations gouvernementales. Dans cette vidéo, Rob McDonald de Virtru, Michael Wilkes, enseignant vacataire à NYU, et David London du Chertoff Group étudient les détails de cette violation chez Microsoft.
En octobre 2022, une erreur de configuration du service de stockage Blob Azure de Microsoft a rendu disponibles les données personnelles de plus de 548 000 utilisateurs. Parmi celles-ci, on trouvait des noms, des adresses e-mail et des numéros de téléphone. Selon Microsoft, les données n’étaient pas suffisamment sensibles pour justifier la notification des utilisateurs concernés.
En mars 2022, le groupe de hackers Lapsus$, connu pour leur ciblage des grandes entreprises technologiques, s’est introduit dans les systèmes internes de Microsoft. Le groupe affirme avoir volé le code source de plusieurs produits de la marque, notamment Bing, Cortana et Exchange Server. Selon Microsoft, cette attaque n’a pas eu de conséquences sur les données de ses clients.
En août 2021, une erreur de configuration de la plateforme Power Apps de Microsoft a rendu disponibles les données personnelles de plus de 38 millions d’utilisateurs. Parmi celles-ci, on trouvait des noms, des adresses e-mail et des numéros de téléphone. Selon Microsoft, l’erreur de configuration incombait à un partenaire tiers.
En août 2021, des milliers de comptes client et de bases de données Azure ont été exposés à cause d’une erreur de configuration de Microsoft Azure. Parmi ces données, on trouve des noms, des adresses e-mail et des mots de passe. Selon Microsoft, l’erreur de configuration incombait à un partenaire tiers.
En avril 2021, une importante violation de données LinkedIn a mis au jour les données personnelles de plus de 500 millions d’utilisateurs LinkedIn. Parmi ces données, on trouvait des noms, des adresses e-mail, des numéros de téléphone et des mots de passe. La violation était due à une vulnérabilité de la plateforme LinkedIn. (Microsoft a acheté LinkedIn en 2016.)
Selon la base de données Common Vulnerabilities and Exposures (CVE), plus de 1 292 vulnérabilités Microsoft ont été signalées ces 24 derniers mois. Ce nombre inclut des vulnérabilités dans Windows, Office, Edge et d’autres produits Microsoft.
L’une des plus inquiétantes est celle relative au chiffrement de messages Office (OME pour « Office Message Encryption »), en 2022. La vulnérabilité elle-même était due au fait que Microsoft OME utilise un mode de chiffrement par blocs appelé Electronic Code Book (ECB). Microsoft a bien pris en compte ce signalement et payé à WithSecure une prime aux bogues. Mais cette vulnérabilité n’a pas été jugée suffisamment grave pour faire l’objet d’un correctif. À l’époque, dans un e-mail adressé à The Register, un porte-parole de Microsoft a déclaré : « La fonctionnalité de gestion des droits est conçue comme un outil pour prévenir les abus accidentels et ne constitue pas un garde-fou en matière de sécurité. » Depuis, Microsoft a abandonné OME au profit du chiffrement des messages Purview, compris dans certains abonnements Microsoft.
Les logiciels Microsoft présentent de nombreux avantages, mais cela ne vous empêche pas de prendre des précautions pour protéger vos données de manière plus précise et contrôlée.
Ces violations et vulnérabilités soulignent l’importance d’avoir plusieurs couches de protection. Si vous utilisez un logiciel de productivité Microsoft, il convient bien sûr d’effectuer des analyses régulières des systèmes à la recherche de vulnérabilités, d’installer les correctifs et de mettre à jour le logiciel. Mais au-delà de cela, posez-vous les questions suivantes :
Virtru permet d’ajouter des couches de sécurité à votre environnement Microsoft. La sécurité centrée sur les données de Virtru pour Microsoft comprend :
Vous souhaitez limiter les risques liés à votre utilisation de Microsoft en prenant le contrôle du destin de vos données ? Contactez Virtru pour demander une démonstration. Nous serons ravis de vous montrer les fonctionnalités de nos produits pour sécuriser votre activité et protéger vos données.
The editorial team consists of Virtru brand experts, content editors, and vetted field authorities. We ensure quality, accuracy, and integrity through robust editorial oversight, review, and optimization of content from trusted sources, including use of generative AI tools.
View more posts by Editorial TeamContact us to learn more about our partnership opportunities.