Des chercheurs de Microsoft exposent par mégarde 38 To de données internes

Décidément, c’est la loi des séries pour Microsoft. L’éditeur américain a une nouvelle fois été sommé de s’expliquer sur un bug interne dans sa gestion de la confidentialité des données, après des révélations sur l’exposition accidentelle de 38 téraoctets de données depuis l’un de ses Github public consacré à l’intelligence artificielle.

Lundi dernier, la firme de Redmond a ainsi expliqué comment elle tentait de tirer les meilleurs enseignements de l’incident. Elle a également assuré qu'aucune donnée client n’avait “été exposée” et qu’aucun autre service interne n'avait “été mis en danger”.

30 000 messages 

Comme l’a raconté Wiz, une entreprise spécialisée dans la sécurité du cloud, les données accessibles regroupaient environ 30 000 messages internes échangés par 359 employés, des mots de passe et la sauvegarde des postes de travail de deux chercheurs de Microsoft.

Ces précieuses données sont restées accessibles pendant un peu moins de trois ans, Microsoft fermant leur accès le 24 juin 2023, deux jours après l’alerte de Wiz. On ignore si des tiers ont pu effectivement avoir accès à ces données.

Tout avait commencé par le partage accidentel en juillet 2020 d’une URL d’un compte de stockage en ligne mal configuré. Elle permettait d'aller voir bien au-delà des seuls modèles d’intelligence artificielle pour la reconnaissance d’images initialement partagés.

Loi des séries

Cette histoire tombe au plus mal pour Microsoft, empêtrée dans deux autres histoires. Début septembre, l’éditeur avait dévoilé le mode opératoire de Storm-0558. Cette affaire d’espionnage de haut vol, attribuée à des pirates chinois, avait suscité des interrogations sur la sécurité du service de messagerie de l’entreprise. Les hackers avaient réussi à mettre la main sur une clé de signature grand public Microsoft (MSA) conservée à tort dans un "crash dump", un premier sésame qui leur avait ouvert d'autres portes.

La presse américaine vient également de faire ses choux gras d’une nouvelle fuite de données involontaire. Opposée à l’autorité de la concurrence américaine, la Federal Trade Commission (FTC), dans le dossier du rachat d’Activision Blizzard, Microsoft s’est pris les pieds dans le tapis en partageant avec la justice des documents qui n'avaient pas été expurgés des données confidentielles. Selon Wired, il s’agirait tout bonnement de la plus grande fuite d'informations de l’histoire de l’entreprise.