Pc-urgence Une mauvaise configuration compromet 400 millions d'utilisateurs d'Office 365 - Pc-urgence

Une mauvaise configuration compromet 400 millions d’utilisateurs d’Office 365

En novembre, un scientifique a découvert qu’un sous-domaine du site de Microsoft avait été mal configuré et permettait, grâce à un enregistrement CNAME, de contrôler ce site et d’en récolter toutes les données. Dont des clés d’accès. La faille n’a pas été exploitée.

Un sous-domaine du site de Microsoft aurait été mal configuré et menacerait près de 400 millions d’utilisateurs d’Office 365. L’erreur a été révélée par un chercheur indien en sécurité informatique et concernerait le sous-domaine success.office.com, dédié à l’aide à l’adoption d’Office 365 en entreprise et à en tirer une valeur commerciale. Le site est pour le moment hors ligne.

Le spécialiste a utilisé un enregistrement CNAME, permettant de lier un nom de domaine à un autre, pour faire pointer le sous-domaine non configuré vers sa propre instance Azure. Il pouvait alors contrôler le site et toutes les données qui y étaient envoyées, a-t-il indiqué à nos confrères de Techcrunch.

Faille similaire à celle exploitée sur Facebook en septembre

Ainsi, le scientifique a découvert qu’il était possible de récupérer les « jetons » de contrôle d’accès des utilisateurs des applications Office, Store et Sway de Microsoft sur son système de connexion Live. Lorsqu’un utilisateur se connecte aux services de Microsoft avec son identifiant et son mot de passe, un token de contrôle d’accès est créé pour maintenir la connexion sur toutes les applications de l’éditeur sans avoir à s’identifier encore et encore. Or obtenir cette clé d’accès, c’est pouvoir entrer sur compte de l’utilisateur sans déclencher la moindre alerte auprès de ce dernier. C’est par ce même biais que Facebook a été piraté fin septembre.

Le scientifique a signalé le bug à Microsoft qui a corrigé le tir le mois dernier. L’éditeur a même versé une prime au chercheur pour sa découverte.

Let’s block ads! (Why?)

Powered by WPeMatico

Dépannage informatique à domicile

Dépannage informatique à domicile

PC urgence, le spécialiste du dépannage informatique à domicile sur Paris et Île-de-France, jour et nuit vous bénéficiez d'un dépannage informatique sans aucun surcoût et sans frais de déplacements. Contactez-nous au 09.70.40.81.52.
Protected by Copyscape Web Plagiarism Tool

Laisser un commentaire

Vous devez être connecté pour publier un commentaire.

Assistance à Distance

Prix:
39 €

Installation Internet

Prix:
89 €

Installation Internet

Prix:
89 €

Déduction - 50 %

Ouvert 24/24 Week end
border

immédiate

Installation Internet

Prix:
89 €

Elu Service de l'année

Prix:
2013
ACCUEIL    |    ACTUALITES    |    internet    |    accessoires et logiciels    |    contact
Claude Arel Retrouvez-nous sur Google+ Google Copyright © 2010-2013 Pc-Urgence