Pendant près d’un mois, les coordonnées de 250 millions d’utilisateurs du support technique de Microsoft ont été accessibles en ligne, sans la moindre protection. Alerté par des experts en sécurité, Microsoft a corrigé le problème en 24 heures, mais on ne sait pas encore si des pirates ont pu accéder à ces données confidentielles.
L’année 2019 s’est terminée par un grave incident de sécurité chez Microsoft. Le 29 décembre, Bob Diachenko chercheur en cybersécurité, assisté d’une équipe de chez Comparitech ont découvert 250 millions de dossiers en provenance du service clients de Microsoft, mis en ligne sans la moindre protection, accessibles depuis un simple navigateur sans aucun mot de passe. Comparitech a détaillé la découverte dans un billet de blog.
L’équipe a trouvé cinq serveurs Elasticsearch, contenant des dossiers du service clients de Microsoft sur une période de 14 ans, débutant en 2005. Les données ont d’abord été indexées le 28 décembre 2019 par le moteur de recherche BinaryEdge, avant d’être découvertes par le chercheur le lendemain. Les dossiers contenaient les adresses e-mail des clients, leurs adresses IP, leur localisation géographique, les descriptions des réclamations, les e-mails des agents Microsoft, les numéros de dossiers, les solutions, des remarques et des notes internes confidentielles. Une vraie mine d’or pour de potentiels pirates.
Publicité
Les données exposées sur le web depuis le 5 décembre
Bob Diachenko indique avoir contacté Microsoft immédiatement, qui a sécurisé tous les serveurs sous 24 heures. De nombreuses informations personnelles avaient déjà été expurgées, et selon une publication de Microsoft, la plupart des dossiers clients ne contenaient pas d’informations permettant de les identifier. D’après la firme, la fuite a été causée par un changement dans le groupe de sécurité du réseau de la base de données le 5 décembre 2019, ce qui signifie que ces informations ont été accessibles publiquement pendant près d’un mois.
À l’heure actuelle, rien n’indique qu’un tiers a accédé à ces données. Cependant, tous les utilisateurs qui ont déjà contacté le support technique ou le service clients de Microsoft devraient redoubler de vigilance. Les arnaques au faux support technique sont courantes, où des individus appellent leurs victimes en se faisant passer pour Microsoft afin de convaincre la personne de divulguer des informations ou installer un logiciel sur leur ordinateur. Si ces bases de données sont tombées entre de mauvaises mains, elles pourraient disposer de suffisamment d’informations pour convaincre de nombreuses victimes.
Attention à l’arnaque au faux support technique
Microsoft s’est excusé pour cette erreur de configuration de ses serveurs, et indique mettre en place des actions pour éviter que cela ne se reproduise à l’avenir. Cela inclut passer en revue toutes les règles de sécurité des réseaux internes, améliorer la détection automatique et les alertes pour les erreurs de configuration et expurger de manière automatique les informations personnelles dans les bases de données.
La firme a également indiqué avoir commencé à contacter tous les clients identifiables dans la base de données. Microsoft préviendra les victimes mais ne demandera aucune action supplémentaire de leur part. Rappelons d’ailleurs que le support technique de Microsoft ne contacte jamais les clients pour leur signaler un problème sur leur ordinateur, et ne demande jamais de mot de passe par email, ni d’installer un logiciel de prise en main à distance comme TeamViewer. Tout demande de ce genre, via un email, serait donc une arnaque.