Pour gérer vos consentements :

Azure Cosmos DB : porte ouverte sur les données des clients

Vous utilisez Azure Cosmos DB ? Peut-être avez-vous reçu, ces dernières heures, un mail d’avertissement de la part de Microsoft. Avec une invitation à modifier la clé primaire de chacun de vos comptes.

Cette alerte fait suite à la correction d’une faille de sécurité critique. Elle ouvrait la voie au vol des clés en question, entre autres secrets. À partir de là, un compte Azure suffisait à prendre le contrôle des bases de données associées.

La vulnérabilité trouve sa source en 2019, au moment où Microsoft introduit, dans Cosmos DB, les notebooks Jupyter. Ces derniers sont activés par défaut sur toutes les instances depuis février dernier.

La faille met en jeu une élévation de privilèges. À la demande de Microsoft, le rapport technique complet n’est pas encore publié.

Les chercheurs à l’origine de la découverte ont reçu la récompense maximale dans le cadre du bug bounty d’Azure. Soit 40 000 $.

Du côté de Microsoft, on affirme ne pas avoir de preuve d’exploitation de la faille – hormis par les chercheurs. L’enjeu est grand au vu des références que Cosmos DB compte dans sa clientèle.

Illustration principale © niroworld – Adobe Stock

Recent Posts

Cloud : ce que l’alliance Euclidia demande à l’Europe

Pour Euclidia, la cybersécurité ne peut être l'unique réponse aux objectifs de confiance dans le…

6 heures ago

NegaOctet se concrétise : quels seront ses premiers usages ?

Le projet « green IT » NegaOctet a officiellement produit ses premiers livrables exploitables. Que…

12 heures ago

Nobelium : un parfum de SolarWinds en France

L'ANSSI attire l'attention sur des campagnes de phishing sévissant en France. Elle les attribue à…

13 heures ago

Hyperconvergence logicielle : la question du rapport qualité-prix

Les offres d'hyperconvergence logicielle dont le Magic Quadrant distingue l'exhaustivité n'apparaissent pas forcément comme les…

15 heures ago

Cinov Numérique : Emmanuelle Roux succède à Alain Assouline

Elue présidente de Cinov Numérique, Emmanuelle Roux affirme le rôle clé des PME de l'IT…

15 heures ago

AWS : une stratégie mainframe qui passe par Micro Focus

AWS lance, en phase expérimentale, un kit de migration mainframe-cloud qui repose sur des outils…

2 jours ago