Microsoft a prévenu des milliers d’entreprises jeudi 26 août 2021 que ses services de bases de données managées DBaaS CosmosDB comportaient une faille qui a rendu vulnérable toutes les bases de données clientes et leurs données.
Accès à toutes les bases et données
Le problème de sécurité a été découvert par la société Wiz il y a deux semaines. Ils ont réussi à avoir complètement accès aux comptes et bases de données de plusieurs milliers de clients de Microsoft Azure, petites comme grandes entreprises.
Microsoft a réagi et comblé la faille et communique dessus deux semaines après. D’après leur dire la faille n’a pas été exploitée par des acteurs malveillants. Les clients concernés ont été invité à changer leurs clefs d’accès aux bases.
«la faille a été exploitable pendant au moins plusieurs mois, voire des années»
Quelle sécurité pour les bases de données as a Service?
Comme tout service managé, il faut pouvoir faire confiance aveuglément dans la sécurité et la fiabilité des services. Avec une telle faille, la sécurité n’est plus assurée et on constate qu’un simple contournement d’un blocage permet un accès instantané à l’ensemble des données et ce sans avoir besoin d’autres authentifications.
Une sécurité saute et c’est un accès immédiat à l’ensemble des bases et de leurs de données de plusieurs milliers d’entreprises de la TPE aux groupes internationaux.
Des sociétés du CAC40, de groupes américains comme Coca-Cola ou l’Etat français pour les données médicales des Français et de la sécurité sociale utilisent les services de Microsoft, de telles failles et un tel manque de sécurité font courir le risque d’extraction d’énormément de données sensibles et stratégiques des entreprises.
Le fait qu’une société comme Microsoft avec un seul rempart de sécurité facilement contournable puisse permettre l’accès sans restrictions à l’ensemble des données est très alarmante. A ce niveau de service il devrait y avoir plusieurs sécurités empêchant un même vecteur d’attaque, ainsi si une faille est trouvée dans une sécurité, les autres mesures de blocage suivantes bloqueront les tentatives.
Faut-il utiliser les produits as a Service des Clouds?
En centralisant les informations de dizaines de milliers de clients au même endroit on attire forcément plus l’intérêt de personnes malveillantes.
Ce cas nous rappelle aussi que les données des clients sont librement accessibles par le personnel de Microsoft et par l’état américain.
Le tout As A Service n’est pas la panacée, d’une cela vous enferme sur un Cloud en particulier il faudra beaucoup d’efforts pour le répliquer ailleurs ou en sortir, de deux vous ne pourrez jamais garantir une sécurité quelconque sur ces données. Se reposer sur la prestation assurée par les Clouds c’est tôt ou tard devoir rendre des comptes à vos clients et sans doute voir disparaître votre entreprise.
Que choisir pour sécuriser ses bases de données dans le Cloud?
Si vous n’avez rien de sensible à mettre dans ces services vous pouvez continuer à les utiliser.
Si par contre votre base de données contient des informations sensibles RGPD, base client, CRM / ERP, santé, paiement, e-commerce, … nous vous recommandons vivement de gérer en interne ou faire infogérer vos serveurs de bases de données en appliquant un chiffrement des disques.
Si toutefois l’appel des DBaaS est trop fort, nous vous encourageons vivement à chiffrer les données présentes en base. Mais cela apporte beaucoup de contraintes puisque vous ne pourrez plus facilement faire vos requêtes SQL. Beaucoup de modifications dans le code de vos applications devront être apportées.
En conclusion nous rappelons que déposer ses données dans le Cloud sans les chiffrer c’est donner toute la valeur qu’elles contiennent à des tiers étrangers même s’ils peuvent être présent en France ou en Europe et à tout Internet en cas de piratage.
Beaucoup de failles de sécurité chez Microsoft
L’année 2021 pour Microsoft n’aura pas été de tout repos, plusieurs failles ultra critiques permettant d’extraire des données sensibles de clients ont été divulguées cette année.
Après la faille sur les serveurs de messagerie Exchange permettant l’extraction de correspondances privées par email, la faille sur le logiciel Microsoft Power Apps permettant de créer rapidement des sites Internet a permis d’exposer des données de traçage des cas contacts du COVID, des données (coordonnées, données fiscales, …) de 38 millions de personnes.
Deux produits As A Service de Microsoft avec CosmosDB et Power Apps cela met bien en évidence qu’on ne peut pas se reposer sur juste un service en pensant que la sécurité est assurée.
