•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

250 millions de dossiers du service à la clientèle de Microsoft exposés publiquement

Le logo de Microsoft affiché à la conférence Web Summit.

Les informations contenues dans la base de données pouvaient être utiles pour des arnaques de soutien technique.

Photo : sopa images/lightrocket via gett / SOPA Images

Radio-Canada

La base de données contenant environ 250 millions de dossiers du service à la clientèle de Microsoft a été publiquement accessible sur le web pendant deux jours en décembre 2019. Des adresses courriel et IP, des données de géolocalisation et d’autres informations liées au service à la clientèle pouvaient être consultées à partir d’un navigateur web, sans mot de passe ou accès privilégié. Le problème a maintenant été réglé.

C’est l’entreprise spécialisée en sécurité de l’information Comparitech qui a découvert la faille. Son équipe de recherche est parvenue à avoir accès à cinq serveurs contenant les mêmes données le 29 décembre dernier.

J’ai immédiatement informé Microsoft de la situation, et tous les serveurs ont été sécurisés en moins de 24 heures. Je félicite Microsoft pour sa réactivité, malgré le fait qu’on était en période des Fêtes, a réagi Bob Dichenko, qui mène l’équipe de recherche de Comparitech.

Le serveur contenait des transcriptions de conversations entre la clientèle et le soutien technique de Microsoft, dont certaines dataient d’aussi loin que 2005.

Utile pour les escrocs

Si Microsoft affirme que la plupart des données qui permettaient d'identifier des personnes étaient caviardées de cette base de données, Comparitech souligne que les informations pouvaient tout de même être utiles pour des arnaques de soutien technique.

Ces escroqueries fort communes consistent à appeler une victime en prétendant représenter une entreprise de logiciels dans le but d’obtenir un accès à distance à son appareil et ensuite lui soutirer de l’argent.

Avec des historiques détaillés de conversations et de dossiers de service à la clientèle en main, des escrocs améliorent leurs chances de berner leurs victimes. [...] Ils pourraient exploiter les données en prétendant faire partie du personnel de Microsoft et se référer à de vrais numéros de dossier dans le but de soutirer des informations sensibles, illustre Paul Bischoff sur le blogue officiel de Comparitech. 

Impossible pour l’instant de savoir si quelqu’un a eu accès à la base de données alors qu’elle était encore publique. 

C’est loin d’être le premier incident de sécurité à toucher Microsoft. On apprenait plus tôt cette année que l’agence responsable du renseignement aux États-Unis, la National Security Agency (NSA) avait découvert une faille majeure dans le système d’exploitation Windows 10 qui aurait pu exposer les internautes à de sérieuses fuites de données ou à de la surveillance.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !