Les employés de Microsoft divulguent leurs propres mots de passe sur GitHub, aussi incroyable que cela puisse paraître

Les grandes entreprises sont toujours dans la ligne de mire des pirates informatiques, qui cherchent constamment de nouveaux moyens d’accéder à leurs systèmes. Cela les oblige à mettre en œuvre des mesures de sécurité de plus en plus strictes, bien qu’aucune plateforme ne soit vraiment sûre lorsqu’elle est soumise au facteur humain. Microsoft en a fait l’expérience de première main, après qu’il ait été connu que plusieurs employés ont partagé leurs identifiants de connexion aux serveurs de l’entreprise sur GitHub.

Comme indiqué par Vice l’irrégularité a été découverte par une société de cyber sécurité appelée spiderSilk. Il a détecté que sept informations d’identification de Microsoft avaient été publiées par inadvertance sur le populaire dépôt de codes et de logiciels. Et sur ce total, trois étaient encore actifs lorsque le bug a été découvert.

Selon les informations disponibles, les données de connexion correspondaient à des comptes sur Azure, la plateforme de serveurs en nuage développée par la société de Redmond. Toutes les informations exposées était lié aux identifiants officiels de Microsoft ce qui a permis de déterminer rapidement que les informations d’identification étaient liées à des employés de l’entreprise.

Microsoft a reconnu la fuite, mais n’a pas fourni beaucoup de détails. La société américaine a seulement déclaré qu’elle enquêtait sur ce qui s’était passé et que rien ne prouvait que les informations avaient été utilisées de manière inappropriée ou pour accéder à des données sensibles.

Nous continuons à voir des fuites accidentelles de code source et d’identifiants comme faisant partie de la surface d’attaque d’une entreprise, et il est de plus en plus difficile de les identifier en temps voulu et de manière précise. C’est une question très difficile pour la plupart des entreprises de nos jours.

Microsoft rencontre un problème de sécurité inattendu

Microsoft, netflix
La publication des identifiants de connexion sur GitHub présente un problème de sécurité inattendu pour Microsoft, qui devra renforcer sa protection. Selon ViceParmi les données de connexion filtrées se trouvaient des références au dépôt de code de Azure DevOps.

👉​A lire également  Comment ouvrir des documents Microsoft Word avec World online

N’oublions pas que cette année, la société de Redmond a déjà dû faire face à une fuite d’informations très importante. C’était en mars dernier, lorsqu’ils ont été piratés par LAPSUS, le groupe de pirates qui a également violé Samsung, NVIDIA et Okta, entre autres entreprises.

À l’époque, Microsoft avait subi une fuite de près de 40 Go de données, notamment les codes sources de Bing et de Cortana. Mais dans les jours précédant l’officialisation de l’attaque, les cybercriminels avaient déjà partagé une capture d’écran du panneau de contrôle d’Azure DevOps, la plateforme d’outils et de services que l’entreprise propose aux développeurs.

L’épisode le plus récent de fuites d’informations d’identification montre clairement pourquoi Microsoft est l’une des sociétés qui cherchent à tuer les mots de passe. Rappelons que les entreprises de Redmond, ainsi que Google et Apple, se sont engagées à étendre le support de la norme FIDO. Il permettra aux utilisateurs d’accéder à tous ses services à partir de différentes plateformes sans avoir besoin d’utiliser un mot de passe.