Une faille de sécurité dans Onedrive menace des millions d'utilisateurs
Des chercheurs d'Oasis Security ont découvert une grave vulnérabilité dans le File Picker de Microsoft Onedrive. Cette faille permet aux applications web d'accéder à tous les fichiers d'un compte Onedrive.
Des millions d'utilisateurs du service cloud de stockage de fichiers de Microsoft, Onedrive, sont potentiellement concernés par une grave faille de sécurité découverte par l'équipe de recherche d'Oasis Security. Une défectuosité dans le File Picker de Onedrive permet à des sites web et à des applications d'accéder à tous les fichiers d'un utilisateur de Onedrive, même à ceux qu'un utilisateur n'a pas explicitement sélectionnés pour le téléchargement.
D’après les chercheurs, des centaines d’applications largement utilisées sont potentiellement concernées par cette faille, notamment ChatGPT, Slack, Trello et ClickUp. Cette situation est d'autant plus préoccupante que de nombreux utilisateurs ont peut-être déjà accordé par inadvertance à ces applications un accès complet à leurs données Onedrive. Selon le rapport, les conséquences vont de la perte de données sensibles au non-respect des règles de conformité.
Après la découverte de l'erreur, les chercheurs en sécurité en ont informé Microsoft et ont contacté les fournisseurs d'applications concernés. Microsoft examinerait maintenant des possibilités d'amélioration qui pourraient inclure une coordination plus précise entre les fonctions du File Picker et les droits d'accès nécessaires à cet effet.
Une implémentation problématique du sélecteur de fichiers Onedrive
Selon Oasis Security, le problème fondamental réside dans l'implémentation du File Picker de Onedrive, qui nécessite un accès en lecture à l'ensemble du lecteur, même si un seul fichier doit être téléchargé. Cela s’expliquerait par l’absence de niveaux d’autorisations (scopes) OAuth plus granulaires dans OneDrive. Bien que les utilisateurs soient invités à donner leur consentement avant un téléversement, la demande n’indique pas clairement l’étendue des droits d’accès qu’ils s’apprêtent à accorder.
Par ailleurs, les identifiants sensibles sont souvent stockés de manière peu sécurisée, précise encore le rapport. La version actuelle (8.0) du File Picker oblige les développeurs à implémenter eux-mêmes l’authentification, en utilisant la Microsoft Authentication Library (MSAL), qui stocke les tokens sensibles en clair dans le stockage de session du navigateur. Point particulièrement problématique, selon le rapport: il est possible d'émettre des tokens de mise à jour qui permettent un accès à long terme aux données des utilisateurs.
Mesures de sécurité recommandées
Pour les utilisateurs privés, Oasis Security recommande de vérifier les autorisations accordées en se connectant à leur compte Microsoft, puis en accédant à la section « Confidentialité » et en consultant les «Accès des applications». Chaque application y affiche les autorisations spécifiques qu’elle détient, lesquelles peuvent être révoquées si nécessaire.
Les organisations doivent, quant à elles, se rendre dans le « Entra Admin Center » pour consulter la liste des applications professionnelles. Il est possible d’y vérifier les autorisations accordées pour chaque application, ainsi que l’utilisateur ayant accordé ces droits.
Mesures de sécurité recommandées
Pour les utilisateurs privés, Oasis Security recommande de vérifier les autorisations accordées en se connectant à leur compte Microsoft, puis en accédant à la section Confidentialité» et en consultant les «Accès des applications». Chaque application y affiche les autorisations spécifiques qu’elle détient, lesquelles peuvent être révoquées si nécessaire.
Les organisations doivent, quant à elles, se rendre dans le «Entra Admin Center» pour consulter la liste des applications professionnelles. Il est possible d’y vérifier les autorisations accordées pour chaque application, ainsi que l’utilisateur ayant accordé ces droits.
Pour les développeurs et exploitants d’applications web, Oasis Security recommande de désactiver temporairement la fonction de téléversement de fichiers via Onedrive en utilisant OAuth, en attendant qu’une alternative plus sécurisée soit proposée par Microsoft. En attendant, il est conseillé d’opter pour des alternatives plus sûres, comme le partage de liens Onedrive en lecture seule. Cette option, bien que moins pratique, offre un niveau de sécurité plus élevé.
Si la suppression du File Picker n’est pas envisageable, les développeurs doivent éviter d’utiliser des jetons d’actualisation et s’abstenir de demander l’autorisation d’accès hors ligne. De plus, Oasis Security recommande d’auditer le code existant pour s’assurer que les jetons d’accès sont stockés de manière sécurisée et ne sont pas accessibles à des tiers, notamment en évitant le stockage non sécurisé dans le Session Storage ou le Local Storage du navigateur.
