Vous utilisez Azure Cosmos DB ? Peut-être avez-vous reçu, ces dernières heures, un mail d’avertissement de la part de Microsoft. Avec une invitation à modifier la clé primaire de chacun de vos comptes.
Cette alerte fait suite à la correction d’une faille de sécurité critique. Elle ouvrait la voie au vol des clés en question, entre autres secrets. À partir de là, un compte Azure suffisait à prendre le contrôle des bases de données associées.
La vulnérabilité trouve sa source en 2019, au moment où Microsoft introduit, dans Cosmos DB, les notebooks Jupyter. Ces derniers sont activés par défaut sur toutes les instances depuis février dernier.
Les chercheurs à l’origine de la découverte ont reçu la récompense maximale dans le cadre du bug bounty d’Azure. Soit 40 000 $.
Du côté de Microsoft, on affirme ne pas avoir de preuve d’exploitation de la faille – hormis par les chercheurs. L’enjeu est grand au vu des références que Cosmos DB compte dans sa clientèle.
Illustration principale © niroworld – Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…