Le Néerlandais Dirk-jan découvre un problème de sécurité chez Microsoft

« Je fixais mon écran et je me suis dit : « C'est impossible. Ça ne peut pas marcher… »

Au début, c'est surtout l'incrédulité qui domine lorsque Dirk-jan Mollema réalise la gravité de l'erreur qu'il vient de découvrir. Puis, la gravité s'installe. « Je ne veux absolument pas faire ce genre de choses ; je ne veux pas de cette responsabilité. »

La faille découverte par Mollema se situe dans le service Microsoft Entra ID. Il s'agit d'un service d'authentification utilisé pour se connecter à d'autres produits Microsoft, notamment le service cloud Azure et la suite bureautique Microsoft 365.

Mollema a trouvé une nouvelle façon de se connecter et d'effectuer des actions pour le compte d'autres utilisateurs. « En fait, c'était prévu pour Microsoft, pour un usage interne. Mais je pouvais aussi l'utiliser. »

Et cette méthode de connexion comportait une faille cruciale : elle ne vérifiait pas si l'accès au système était réellement nécessaire. Ainsi, un pirate pouvait accéder aux systèmes Microsoft de n'importe quelle entreprise.

« On peut ainsi voir, par exemple, qui y travaille et quelles sont ses données », explique Mollema. « Et tout cela sans laisser de traces. »

Pire encore : un pirate pourrait se nommer administrateur et effectuer toutes sortes de modifications. « Les autres administrateurs verront alors qu'il y a un nouvel utilisateur, ce qui ne se fera donc pas en secret », explique Mollema. De cette façon, un pirate pourrait mettre la main sur tous les e-mails et fichiers de l'entreprise. « Et donc sur toutes sortes de données personnelles. »

Dans la vidéo ci-dessous, le journaliste spécialisé dans les technologies Wouter van Dijke explique les conséquences de l'erreur chez Microsoft :

Lorsque Mollema a découvert l'erreur, il l'a immédiatement signalée à Microsoft. « Je pense que c'est le rapport le plus rapide que j'aie jamais rédigé. J'ai tout de suite su qu'il fallait corriger ce problème au plus vite. Je l'ai donc signalé dans les deux heures. »

Microsoft a également pris le rapport très au sérieux. « Ils ont résolu le problème en un temps record. Finalement, ils ont déployé une solution dans le monde entier en trois jours. C'est vraiment rapide pour une entreprise de l'envergure de Microsoft. »

La gravité de la situation est également évidente dans l'avertissement émis par Microsoft, qui évalue l'erreur sur 10, la note maximale.

Quiconque découvre un problème de sécurité et le signale à Microsoft peut espérer une récompense. Ces primes aux bugs peuvent atteindre au moins 100 000 $ (85 000 €). Mollema a refusé de préciser le montant de la rémunération versée par Microsoft. « Mais ils proposent bel et bien une prime aux bugs. » donné."

Grâce au rapport de Mollema, Microsoft a pu corriger rapidement la vulnérabilité. Il ne semble pas que d'autres aient découvert le même problème ni même l'aient exploité. Mollema : « Microsoft a enquêté sur ce problème et affirme n'avoir constaté aucun abus. Je suppose que c'est vrai. Mais on ne peut jamais être totalement certain. »

Les entreprises utilisant les services Microsoft n'ont plus à s'inquiéter, affirme Mollema. « Ce problème était bel et bien de la faute de Microsoft. En tant qu'entreprise, nous n'avions rien à faire. En résumé, aucune action n'est nécessaire pour les entreprises, car Microsoft a résolu le problème de leur côté. »

L'impact d'un piratage peut être considérable. Les données de Sandra ont fuité d'un laboratoire médical, comme elle l'explique dans cette vidéo :