La division de recherche en IA de Microsoft a exposé par inadvertance des dizaines de téraoctets de données sensibles, notamment des clés privées et des mots de passe, lors de la publication d'un compartiment de stockage de données de formation open source sur GitHub.
La start-up de sécurité cloud Wiz a fait cette découverte, mettant en lumière une faille de sécurité importante qui était passée inaperçue depuis un certain temps. Cet incident souligne l’importance de mesures robustes de sécurité des données dans le domaine en évolution rapide de l’intelligence artificielle. Les efforts continus de Wiz pour enquêter sur les expositions accidentelles de données dans le cloud les ont conduits à un référentiel GitHub géré par la division de recherche en IA de Microsoft. Ce dernier visait à fournir du code open source et des modèles d'IA pour la reconnaissance d'images. Les utilisateurs le consultant ont été invités à télécharger ces modèles à partir d'une URL de stockage Azure. Cependant, Wiz a découvert une erreur de configuration critique dans cette URL, accordant des autorisations à l'intégralité du compte de stockage au lieu de se limiter aux fichiers prévus, exposant par inadvertance de grandes quantités de données privées.
Les données exposées représentaient 38 téraoctets d'informations sensibles, dont des sauvegardes personnelles des ordinateurs de deux employés de Microsoft. De plus, la fuite contenait des données personnelles sensibles telles que des mots de passe d'accès aux services Microsoft, des clés secrètes et plus de 30 000 messages internes Microsoft Teams provenant de centaines d'employés. Le tout était vulnérable depuis 2020, posant un risque important pour la sécurité de la firme de Redmond et la vie privée de ses employés.
L'enquête a révélé que la mauvaise configuration ne concernait pas le compte de stockage lui-même mais plutôt l'URL. Les développeurs de Microsoft avaient inclus un jeton de signature d'accès partagé (SAS) trop permissif dans cette dernière. Ces jetons sont un mécanisme de sécurité utilisé par Azure qui permet aux utilisateurs de générer des liens partageables donnant accès aux données d'un compte Azure Storage. Dans ce cas, les autorisations permettaient un «contrôle total», ce qui signifiait que quiconque savait où chercher pouvait potentiellement manipuler les données ou y injecter du contenu malveillant.
Ami Luttwak, co-fondateur et CTO de Wiz, a souligné l'immense potentiel de l'IA pour les entreprises technologiques. Toutefois, il a également rappelé la nécessité de renforcer les contrôles et les garanties de sécurité lors du traitement de quantités massives de données. Alors que les data scientists et les ingénieurs se précipitent pour déployer des solutions d'IA, des cas comme cet incident deviennent de plus en plus difficiles à surveiller et à prévenir. Après avoir découvert le problème, la start-up a rapidement partagé ses conclusions avec l'entreprise le 22 juin, incitant le géant de la technologie à révoquer le jeton SAS le 24. Microsoft a mené une enquête approfondie sur l'impact organisationnel potentiel, qui s'est terminée le 16 août. Le Security Response Center de la marque a rassuré qu '"aucune donnée client n'a été exposée et aucun autre service interne n'a été mis en danger à cause de ce problème".
En réponse aux recherches de Wiz, Microsoft a pris des mesures pour renforcer la sécurité sur GitHub. Ils ont étendu le service de gestion des secrets de la plateforme pour surveiller toutes les modifications du code open source public, en recherchant spécifiquement l'exposition en clair des informations d'identification, y compris les jetons SAS avec des expirations ou des privilèges trop permissifs. Cette amélioration vise à prévenir des incidents similaires à l'avenir en identifiant de manière proactive les risques de sécurité dans les référentiels de codes publics.
Enregistrer un commentaire