Quand Microsoft expose publiquement 14 ans de données personnelles de 250 millions de clients

Isopix

Des chercheurs ont découvert fin 2019 une importante faille de sécurité ayant exposé sur le web près de 250 millions de dossiers de service et d’assistance à la clientèle.

C’est un accident d’envergure pour Microsoft puisque ces dossiers contenaient des conversations entre les agents de support et des clients du monde entier couvrant une période de… 14 ans, de 2005 à décembre 2019. Les données étaient accessibles à toute personne disposant d’un navigateur web, sans mot de passe ni autre forme d’authentification, selon l’équipe de Comparitech responsable de cette découverte, assistée du chercheur Bob Diachenko.

Plus interpellant encore, le contenu de ces dossiers. Des adresses e-mail de clients, leurs adresses IP, leur localisation géographique, les descriptions des réclamations, les e-mails des agents Microsoft, les numéros de dossiers, les solutions, des remarques et des notes internes confidentielles… Bref, du pain bénit pour les hackers.

Des informations disponibles pendant un mois

Après cette découverte, Microsoft a été immédiatement contacté et a sécurisé tous les serveurs en 24 heures. ‘J’applaudis l’équipe de soutien de MS pour sa réactivité et sa rapidité d’exécution malgré le Nouvel An’, a déclaré Bob Diachenko, cette fuite ayant été découverte le 29 décembre. L’entreprise tech a également tenu à rassurer en affirmant que la majorité des dossiers clients ne contenaient pas d’informations permettant de les identifier. Sauf que ces informations ont été laissées sans surveillance pendant… un mois, puisque cette fuite a été causée par un changement apporté au groupe de sécurité du réseau de la base de données le 5 décembre dernier.

À l’heure actuelle, on ne sait pas encore si d’autres parties ont pu accéder à la base de données pendant cette période. Mais bien que la plupart des informations personnelles ont été supprimées des dossiers, les dangers de cette exposition ne doivent pas être sous-estimés, avertit Comparitech.

Les données peuvent en effet être précieuses pour les arnaques au faux support technique, où des individus se faisant passer pour Microsoft tentent de convaincre leurs victimes de divulguer des informations ou installer un logiciel malveillant sur leur ordinateur. Tentative qui peut donc être facilitée si ces escrocs disposent d’informations personnelles pour persuader leurs victimes qu’ils agissent bien au nom de Microsoft.

‘Pas une exposition de nos services commerciaux en ligne’

De son côté, la firme tech n’a pas cherché d’excuse pour cette faille importante et a indiqué ‘se tenir responsable’ dans une réponse publiée sur son blog. ‘Ce problème était spécifique à une base de données interne utilisée pour l’analyse des cas de support et ne représente pas une exposition de nos services commerciaux en ligne’, précise aussi Microsoft.

L’entreprise a commencé à envoyer des notifications aux clients concernés par ces données. ‘Nous nous engageons à respecter la vie privée et la sécurité de nos clients et nous prenons des mesures pour éviter que ce problème ne se reproduise à l’avenir’, affirme-t-elle, s’excusant également aux clients pour les ennuis causés.

Lire aussi :