Retirez vite vos fichiers sensibles de OneDrive, des inconnus peuvent tout télécharger à cause d’un bug terrifiant

Des chercheurs en sécurité ont trouvé une faille a priori gravissime sur OneDrive. Les fichiers des utilisateurs peuvent être téléchargés ou consultés en lecture seule, par à peu près n'importe qui, en exploitant vos applications connectées. Microsoft affirme avec un flegme assez paradoxal que le problème, lié profondément au design du service, ne sera pas corrigé dans l'immédiat.

Vous utilisez OneDrive et y avez connecté des applications ou plateformes comme ChatGPT, Slack et Trello ? Bad news, everyone… des chercheurs viennent de découvrir un bug particulièrement grave. Tous vos fichiers OneDrive, y compris les plus sensibles peuvent être téléchargés par des inconnus dans que vous ne le sachiez. Microsoft, de son côté, semble déterminé à ne faire absolument rien pour sécuriser ses utilisateurs.

Cet accès au nez et à la barbe des enjeux sécuritaires est pourtant assez terrifiant. Des journalistes, ou personnalités peuvent ainsi se retrouver dans des situations très dangereuses. Mais il vous faudra faire pour l'instant avec… ou aller ailleurs.

Tous les cas ne sont pas couverts par les permissions d'accès sur OneDrive

Au coeur du problème, il y a le module OAuth chargé de gérer les permissions d'accès, et les WebApps connectées aux OneDrive des utilisateurs. Le module de permissions manque de granularité en comparaison de services concurrents comme DropBox et Google Drive.

Du coup les autorisations délivrées aux WebApp connectées laissent au moins ce trou assez catastrophique. Dès que le module “File Picker” de OneDrive est utilisé par ces services pour uploader un seul fichier, il demande un accès en lecture à tout le drive. Faute d'avoir donné à OAuth la possibilité de limiter davantage cette permission.

Et le pire, c'est que cet accès – qui contourne complètement la sécurité de OneDrive – reste persistant dans de nombreux cas. Tout cela parce que les tokens de connexion OAuth ont une durée de vie assez longue.Si des pirates cherchent à siphonner la totalité des fichiers sur le cloud d'une cible, ils peuvent donc faire ça avec une discrétion redoutable, sans s'attaquer à aucun moment directement à OneDrive.

À la place, ils peuvent plutôt s'introduire chez un service connecté au compte. Ce qui est réalisable de multiples façons relativement simples et peu coûteuses. De là, il peut tout consulter et exfiltrer – avec autant de calme que la réaction de Microsoft que vous allez découvrir un peu plus bas.

Microsoft ne voit pas où est l'urgence et ne répare rien

Exploiter cette surface d'attaque n'implique pas de coûts financiers significatifs. Et les cybercriminels ont des centaines de WebApp à leur disposition, ce qui leur laisse de la marge en cas d'échec. Il y a de tout dans cette liste ; Mais toutes les plateformes les plus populaires (susceptibles d'être utilisés par la victime) sont là. Ce qui comprend ChatGPT, Slack, Trello, Zoom ou encore ClickUp.

Là, vous vous dites sans doute que ce rapport fait depuis travailler les équipes de Microsoft d'arrache pied pour trouver une solution acceptable. On vous laisse lire, sans plus amples commentaires, les quelques mots que la firme a répondu aux auteurs de la découverte : “Microsoft a pris note du rapport et pourrait considérer des améliorations dans le futur”. Avant, imagine-t-on, de retourner bronzer sur une chaise longue.

Alors que faire pour retourner à des standards de sécurité acceptables pour vos fichiers dans le cloud ? Evidemment, on ne peut que recommander de déconnecter toutes les WebApp liées à votre OneDrive via les pages de configuration. Au-delà, un tel immobilisme face à un problème extrêmement grave paraît inacceptable. De quoi motiver un transfert de toutes vos donnée chez un concurrent qui offre un peu plus de sécurité.