{"id":2835,"date":"2021-08-27T15:39:34","date_gmt":"2021-08-27T13:39:34","guid":{"rendered":"https:\/\/www.digdeo.fr\/articles\/?p=2835"},"modified":"2022-03-15T18:28:26","modified_gmt":"2022-03-15T17:28:26","slug":"faille-sur-les-bases-de-donnees-du-cloud-microsoft","status":"publish","type":"post","link":"https:\/\/www.digdeo.fr\/articles\/securite\/faille-sur-les-bases-de-donnees-du-cloud-microsoft","title":{"rendered":"Faille sur les bases de donn\u00e9es du Cloud Microsoft"},"content":{"rendered":"\n

Microsoft a pr\u00e9venu des milliers d’entreprises jeudi 26 ao\u00fbt 2021 que ses services de bases de donn\u00e9es manag\u00e9es DBaaS CosmosDB comportaient une faille qui a rendu vuln\u00e9rable toutes les bases de donn\u00e9es clientes et leurs donn\u00e9es.<\/p>\n\n\n\n\n\n\n\n

\"bureaux
Microsoft dans la tourmente des failles de s\u00e9curit\u00e9s \u00e0 l’\u00e9t\u00e9 2021<\/figcaption><\/figure>\n\n\n\n

Acc\u00e8s \u00e0 toutes les bases et donn\u00e9es<\/h2>\n\n\n\n

Le probl\u00e8me de s\u00e9curit\u00e9 a \u00e9t\u00e9 d\u00e9couvert par la soci\u00e9t\u00e9 Wiz il y a deux semaines. Ils ont r\u00e9ussi \u00e0 avoir compl\u00e8tement acc\u00e8s aux comptes et bases de donn\u00e9es de plusieurs milliers de clients de Microsoft Azure, petites comme grandes entreprises.<\/p>\n\n\n\n

Microsoft a r\u00e9agi et combl\u00e9 la faille et communique dessus deux semaines apr\u00e8s. D’apr\u00e8s leur dire la faille n’a pas \u00e9t\u00e9 exploit\u00e9e par des acteurs malveillants. Les clients concern\u00e9s ont \u00e9t\u00e9 invit\u00e9 \u00e0 changer leurs clefs d’acc\u00e8s aux bases.<\/p>\n\n\n\n

\u00abla faille a \u00e9t\u00e9 exploitable pendant au moins plusieurs mois, voire des ann\u00e9es<\/em>\u00bb<\/p><\/blockquote>\n\n\n\n

Quelle s\u00e9curit\u00e9 pour les bases de donn\u00e9es as a Service?<\/h2>\n\n\n\n

Comme tout service manag\u00e9, il faut pouvoir faire confiance aveugl\u00e9ment dans la s\u00e9curit\u00e9 et la fiabilit\u00e9 des services. Avec une telle faille, la s\u00e9curit\u00e9 n’est plus assur\u00e9e et on constate qu’un simple contournement d’un blocage permet un acc\u00e8s instantan\u00e9 \u00e0 l’ensemble des donn\u00e9es et ce sans avoir besoin d’autres authentifications.<\/p>\n\n\n\n

Une s\u00e9curit\u00e9 saute et c’est un acc\u00e8s imm\u00e9diat \u00e0 l’ensemble des bases et de leurs de donn\u00e9es de plusieurs milliers d’entreprises de la TPE aux groupes internationaux.<\/p><\/blockquote>\n\n\n\n

Des soci\u00e9t\u00e9s du CAC40, de groupes am\u00e9ricains comme Coca-Cola ou l’Etat fran\u00e7ais pour les donn\u00e9es m\u00e9dicales des Fran\u00e7ais et de la s\u00e9curit\u00e9 sociale utilisent les services de Microsoft, de telles failles et un tel manque de s\u00e9curit\u00e9 font courir le risque d’extraction d’\u00e9norm\u00e9ment de donn\u00e9es sensibles et strat\u00e9giques des entreprises. <\/p>\n\n\n\n

Le fait qu’une soci\u00e9t\u00e9 comme Microsoft avec un seul rempart de s\u00e9curit\u00e9 facilement contournable puisse permettre l’acc\u00e8s sans restrictions \u00e0 l’ensemble des donn\u00e9es est tr\u00e8s alarmante. A ce niveau de service il devrait y avoir plusieurs s\u00e9curit\u00e9s emp\u00eachant un m\u00eame vecteur d’attaque, ainsi si une faille est trouv\u00e9e dans une s\u00e9curit\u00e9, les autres mesures de blocage suivantes bloqueront les tentatives.<\/p>\n\n\n\n

Faut-il utiliser les produits as a Service des Clouds?<\/h2>\n\n\n\n

En centralisant les informations de dizaines de milliers de clients au m\u00eame endroit on attire forc\u00e9ment plus l’int\u00e9r\u00eat de personnes malveillantes.<\/p>\n\n\n\n

Ce cas nous rappelle aussi que les donn\u00e9es des clients sont librement accessibles par le personnel de Microsoft et par l’\u00e9tat am\u00e9ricain.<\/p>\n\n\n\n

Le tout As A Service n’est pas la panac\u00e9e, d’une cela vous enferme sur un Cloud en particulier il faudra beaucoup d’efforts pour le r\u00e9pliquer ailleurs ou en sortir, de deux vous ne pourrez jamais garantir une s\u00e9curit\u00e9 quelconque sur ces donn\u00e9es. Se reposer sur la prestation assur\u00e9e par les Clouds c’est t\u00f4t ou tard devoir rendre des comptes \u00e0 vos clients et sans doute voir dispara\u00eetre votre entreprise.<\/p>\n\n\n\n

Que choisir pour s\u00e9curiser ses bases de donn\u00e9es dans le Cloud?<\/h2>\n\n\n\n

Si vous n’avez rien de sensible \u00e0 mettre dans ces services vous pouvez continuer \u00e0 les utiliser. <\/p>\n\n\n\n

Si par contre votre base de donn\u00e9es contient des informations sensibles RGPD, base client, CRM \/ ERP, sant\u00e9, paiement, e-commerce, … nous vous recommandons vivement de g\u00e9rer en interne ou faire infog\u00e9rer vos serveurs de bases de donn\u00e9es<\/a> en appliquant un chiffrement des disques.<\/p>\n\n\n\n

Si toutefois l’appel des DBaaS est trop fort, nous vous encourageons vivement \u00e0 chiffrer les donn\u00e9es pr\u00e9sentes en base. Mais cela apporte beaucoup de contraintes puisque vous ne pourrez plus facilement faire vos requ\u00eates SQL. Beaucoup de modifications dans le code de vos applications devront \u00eatre apport\u00e9es.<\/p>\n\n\n\n

En conclusion nous rappelons que d\u00e9poser ses donn\u00e9es dans le Cloud sans les chiffrer c’est donner toute la valeur qu’elles contiennent \u00e0 des tiers \u00e9trangers m\u00eame s’ils peuvent \u00eatre pr\u00e9sent en France ou en Europe et \u00e0 tout Internet en cas de piratage.<\/p>\n\n\n\n

Beaucoup de failles de s\u00e9curit\u00e9 chez Microsoft<\/h2>\n\n\n\n

L’ann\u00e9e 2021 pour Microsoft n’aura pas \u00e9t\u00e9 de tout repos, plusieurs failles ultra critiques permettant d’extraire des donn\u00e9es sensibles de clients ont \u00e9t\u00e9 divulgu\u00e9es cette ann\u00e9e.<\/p>\n\n\n\n

Apr\u00e8s la faille sur les serveurs de messagerie Exchange permettant l’extraction de correspondances priv\u00e9es par email, la faille sur le logiciel Microsoft Power Apps permettant de cr\u00e9er rapidement des sites Internet a permis d’exposer des donn\u00e9es de tra\u00e7age des cas contacts du COVID, des donn\u00e9es (coordonn\u00e9es, donn\u00e9es fiscales, …) de 38 millions de personnes.<\/p>\n\n\n\n

Deux produits As A Service de Microsoft avec CosmosDB et Power Apps cela met bien en \u00e9vidence qu’on ne peut pas se reposer sur juste un service en pensant que la s\u00e9curit\u00e9 est assur\u00e9e.<\/p>\n","protected":false},"excerpt":{"rendered":"

Microsoft a pr\u00e9venu des milliers d’entreprises jeudi 26 ao\u00fbt 2021 que ses services de bases de donn\u00e9es manag\u00e9es DBaaS CosmosDB comportaient une faille qui a rendu vuln\u00e9rable toutes les bases de donn\u00e9es clientes et leurs donn\u00e9es.<\/p>\n","protected":false},"author":2,"featured_media":2984,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[28,36],"class_list":["post-2835","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite","tag-infrastructure-cloud","tag-securite"],"_links":{"self":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/2835","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/comments?post=2835"}],"version-history":[{"count":2,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/2835\/revisions"}],"predecessor-version":[{"id":2986,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/2835\/revisions\/2986"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media\/2984"}],"wp:attachment":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media?parent=2835"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/categories?post=2835"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/tags?post=2835"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}