Pas seulement Apple - Microsoft a également laissé les clés de leur royaume exposées
2 minute. lis
Publié le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Nous avons publié récemment sur un certain nombre d' sérieux problème de sécurité par Apple ce qui donnerait aux personnes bien informées un accès facile à votre PC ou même à la maison.
Comme c'est souvent le cas, cela ne fait que tenter le destin, car il s'avère que Microsoft avait son propre gâchis de sécurité très grave, et contrairement à Apple, ils ont été très lents à réagir au problème.
ITNews rapporte tLe développeur de logiciels Matthias Gliwka a découvert que Microsoft incluait un certificat dit générique de sécurité de la couche de transport (TLS) qui incluait une clé privée lors de la configuration d'un environnement de test de bac à sable pour Dynamics 365, le logiciel Microsoft Customer Relationship Manager et Enterprise Resource Planning. La clé, une fois exportée, permettait à tout pirate de déchiffrer le trafic brouillé avec les informations d'identification numériques et d'usurper l'identité du serveur, exposant les communications des clients sans être détecté. Il couvrait également tous les domaines *.sandbox.operations.dynamics.com (même pour d'autres entreprises), ce qui signifie que le certificat aurait accès à tous les environnements sandbox Dynamics 365. Les bacs à sable, utilisés pour les tests, contiennent souvent un miroir complet de la base de données finale.
Bien sûr, chaque entreprise fait des erreurs, mais la lenteur de la réponse de Microsoft au problème était la partie qui était vraiment inexcusable. Gliwka a signalé la vulnérabilité au centre de réponse de sécurité de Microsoft (MSRC) à la mi-août, mais Microsoft ne pensait pas que le problème atteignait "la barre des services de sécurité", car il pensait qu'un attaquant aurait besoin d'informations d'identification d'administrateur. Gliwka a fait d'autres tentatives jusqu'en octobre, lorsqu'il a publiquement interrogé Microsoft sur Twitter à propos du problème. Ce n'est qu'à ce moment-là qu'on lui a dit que ce serait bientôt réparé.
Malgré cette assurance, cependant, Microsoft n'a pas révoqué le certificat Dynamics 365 divulgué jusqu'à ce que les médias allemands soient impliqués en novembre, et un journaliste a ouvert un ticket sur le système de suivi des bogues de Mozilla.
Microsoft n'a fini de résoudre le problème que la semaine dernière, 100 jours après le premier rapport.
Comme mentionné précédemment, chaque entreprise fait des erreurs, mais elles ne se transforment en erreurs que si vous refusez de les corriger. Étant donné que les bases de données CRM contiennent une énorme quantité de données, généralement du grand public, un tel laxisme semble plutôt difficile à excuser, et nous espérons que l'entreprise pourra faire mieux à l'avenir.
En savoir plus sur le problème à Le post moyen de Gliwka ici.
