Un récent incident de sécurité concernant OneDrive, le service de stockage en cloud de Microsoft, a suscité de vives inquiétudes parmi les experts en cybersécurité. En raison d’une mauvaise implémentation du protocole OAuth dans la fonction de sélection de fichiers, des applications tierces utilisant cette fonction peuvent potentiellement obtenir un accès complet aux fichiers stockés sur le compte OneDrive d’un utilisateur. Ce problème soulève des questions critiques sur la gestion des autorisations d’accès et la sécurité des données personnelles.
Un accès illimité en théorie
Ce bug provient du sélecteur de fichiers (File Picker) intégré à OneDrive, qui est conçu pour permettre aux utilisateurs de télécharger des fichiers à partir de leur stockage cloud vers des applications tierces comme ChatGPT, Slack ou Zoom. Toutefois, les experts ont constaté que, bien que l’interface utilisateur semble suggérer que seuls les fichiers spécifiquement sélectionnés peuvent être partagés, en réalité, l’application obtient un accès en lecture à tout le contenu du compte OneDrive, et dans certains cas, un accès en écriture également. Cette situation découle d’un manque d’étendue dans les permissions de l’implémentation OAuth, qui ne permet pas une granularité suffisante.
Les implications de ce bug
Les conséquences de ce bug sont préoccupantes. Selon une étude menée par Oasis Security, toutes les versions du File Picker de OneDrive demandent des autorisations qui lisent intégralement le contenu du compte de l’utilisateur pour effectuer des opérations de téléchargement, ce qui compromet gravement la sécurité des données. Les chercheurs soulignent que cette vulnérabilité expose les utilisateurs à des risques significatifs, d’autant plus que des applications bien connues comme ChatGPT, Trello, et Zoom pourraient involontairement traiter des fichiers sensibles.
Une réponse nécessaire
En réponse à ces découvertes, Microsoft a reconnu le problème et a promis d’apporter des améliorations. Cependant, dans l’attente de corrections, Oasis Security a recommandé aux développeurs d’applications web de bloquer la fonctionnalité de téléchargement de fichiers à partir de OneDrive, afin de préserver la sécurité des données des utilisateurs. Par ailleurs, les équipes de sécurité sont invitées à appliquer des politiques d’accès conditionnel qui limitent les autorisations excessives et garantissent une gestion sécurisée des jetons.
La vigilance est de mise
Les experts conçoivent déjà plusieurs étapes que les utilisateurs peuvent adopter pour se protéger, notamment en utilisant des services de stockage alternatifs tels que Google Drive ou Dropbox, qui ne présentent pas cette vulnérabilité à l’heure actuelle. Cela illustre l’importance pour les utilisateurs de rester vigilants quant aux autorisations qu’ils accordent à des applications tierces, surtout celles demandant un accès étendu à leurs fichiers.
Pour plus de détails, consultez l’article original sur Le Monde Informatique ici.
Cet incident souligne une fois de plus l’importance fondamentale de la cybersécurité et de la gestion des autorisations dans un monde de plus en plus interconnecté.
Source : Shweta Sharma, CSO, « Un bug de sécurité dans OneDrive ouvre un accès complet aux fichiers, » Le Monde Informatique.
