Des applications web d’American Airlines, Ford ou de contact tracing du Covid et leurs bases de données auraient pu être récupérées facilement jusqu’au mois de juin dernier.
La société de sécurité informatique UpGuard révèle que des millions de noms, d’adresses, de numéros d’identification fiscale et autres informations confidentielles ont été exposés à cause d’un problème de configuration du logiciel Power Apps de Microsoft. Ces informations n’auraient toutefois pas été compromises.
47 groupes concernés
American Airlines, Ford, J.B. Hunt et des collectivités comme l’autorité de la santé pour le Maryland ou encore les transports publics de la ville de New York font partie des 47 groupes affectés par ce problème de sécurité. Elles avaient toutes utilisé Power Apps pour créer rapidement une application web nécessitant des interactions avec le public, mais aussi gérer les données récoltées. Idéal pour des prises de rendez-vous de vaccin, par exemple.
Le problème, c’est que jusqu’au mois de juin 2021, la configuration du logiciel par défaut n’assurait pas de façon adéquate la protection de certaines données, d’après les chercheurs d’UpGuard. « Grâce à nos recherches, Microsoft a depuis modifié les portails de Power Apps », précisent-ils.
Microsoft se défend
Pour Microsoft, ce serait pourtant à l’utilisateur de configurer le logiciel. Le groupe a indiqué, par ailleurs, qu’il informait systématiquement ses clients quand de potentiels risques de fuites étaient identifiés, pour qu’ils puissent y remédier.
Mais selon UpGuard, il serait préférable de modifier le logiciel, plutôt que « de considérer le manque généralisé de confidentialité des données comme une mauvaise configuration par l’utilisateur, ce qui fait perdurer le problème et expose le public à des risques ».
source : 01net