Après le gâchis de Recall, Microsoft ne va pas de sitôt vaincre les allégations de failles de sécurité

Le rappel a été un désastre.

Icône de temps de lecture 2 minute. lis


Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens. Icône d'info-bulle

Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale Plus d'informations

Notes clés

  • Le lanceur d’alerte Andrew Harris a révélé une faille critique dans AD FS, ignorée pour protéger les contrats.
  • Cette faille a conduit à la cyberattaque SolarWinds, compromettant les agences fédérales américaines.
  • Ce n’est pas le seul problème de sécurité auquel Microsoft a été confronté récemment.

L'objectif ambitieux de Microsoft en matière d'IA avec le Matériel PC Copilot+, malgré ses spécifications exigeantes, est remarquable. Une fonctionnalité clé, Recall, permet aux utilisateurs de rechercher tout ce qu'ils ont fait sur leur bureau, leur permettant essentiellement de « se souvenir » de toutes les activités passées.

Mais même dans ce cas, l'accueil désastreux du public et les inquiétudes concernant failles de sécurité ont quelque peu gêné ce que cette fonctionnalité aurait pu devenir. Microsoft a dû agir vite, ce qu'ils ont fait, mais le mal a été fait car la société de Redmond n'a pas les meilleurs antécédents en matière de souci de ce que veulent les gens.

Et maintenant, un récent exposé révélateur d’un ancien employé de Microsoft a accusé l’entreprise de donner la priorité au profit plutôt qu’à la résolution d’une faille logicielle critique. Bien que cela n'ait rien à voir avec la volonté de Microsoft en faveur de l'IA, cela raconte néanmoins une histoire importante sur la façon dont une entreprise donne la priorité aux profits plutôt qu'à la sécurité.

Publié par ProPublica, le lanceur d'alerte Andrew Harris a affirmé que Microsoft avait ignoré les avertissements pour éviter de perdre des contrats gouvernementaux. Il a déclaré avoir découvert et signalé une faille critique dans le logiciel de Microsoft qui pourrait permettre à des attaquants de se faire passer pour des utilisateurs légitimes.

Cette faille, découverte dans les services AD FS (Active Directory Federation Services) de Microsoft, permettait aux attaquants de forger des jetons d'authentification en utilisant le protocole SAML pour l'authentification, permettant ainsi à des personnes malveillantes de se faire passer pour des utilisateurs légitimes et d'accéder à des données sensibles sans détection.

La vulnérabilité a été exploitée lors de la cyberattaque SolarWinds, compromettant plusieurs agences fédérales américaines, notamment la National Nuclear Security Administration et les National Institutes of Health.

Malgré des inquiétudes internes, l'inaction de Microsoft a rendu de nombreux systèmes vulnérables, entraînant une faille de sécurité majeure et une exploitation par des pirates informatiques russes.

Aie.

Laissez un commentaire

Votre adresse email n'apparaitra pas. Les champs obligatoires sont marqués *