Des dizaines de millions de données personnelles, de santé, ou sociales exploitées par près de 50 entités américaines du secteur de la santé, de l’industrie et des transports sont restées sans protection. La faute à un réglage par défaut dans la configuration de portails de services créés à partir de la suite Power Apps de Microsoft.


au sommaire


    Trente-huit millions de données personnelles, comportant des noms, des adresses, des identifiants fiscaux ou de Sécurité sociale, issus par exemple de services de santé de certains États américains et liés au suivi de la Covid-19, d'American Airlines, du constructeur Ford, ou encore les services de transports publics de New York, se sont retrouvés exposés sans aucune sécurité. C'est ce qu'indique un rapport issu du spécialiste de la sécurité informatique UpGuard. Publié lundi, il pointe du doigt l'utilisation de la suite logicielle Power Apps de MicrosoftMicrosoft. Il s'agit d'outils permettant de créer des tableaux de bord, des applicationsapplications métiers en ligne sur mesure, au travers de sites portails et à partir des données de l'utilisateur. En tout, 47 entités plus ou moins importantes ont été concernées par cette brèche béante. Les données exposées n'auraient cependant pas été compromises selon UpGuard.

    Pas besoin de mot de passe pour accéder aux données

    Concrètement, il n'y avait pas besoin de mot de passe pour accéder à ces données personnelles hébergées sous la forme de feuilles de calcul sur les serveurs du service Dataverse de Microsoft. L'API d'accès n'était simplement pas configurée par défaut pas Microsoft pour empêcher l'exposition des données. Il fallait faire ce réglage manuellement. Une subtilité que les développeurs de ces entités n'ont sans doute pas envisagée. Microsoft a réagi en poussant une mise à jour au début du mois. Elle vient appliquer les bons réglages de sécurité par défaut.

    La firme a également publié un outil pour réaliser un audit de sécurité sur les portails réalisés avec Power Apps. Ceci dit, dans ses explications, Microsoft cherche à se dédouaner en renvoyant la responsabilité à ses clients qui n'ont pas correctement configuré les services, tout en ajoutant qu'il prenait soin de les informer quand de potentiels risques de fuites étaient identifiés. Au final, c'est une chance que ces données personnelles n'aient pas été collectées par des personnes malveillantes.