Entre l’élaboration de modèles d’IA générative et l’instauration des mesures de sécurité pour la sécurisation des données, il y a beaucoup de facteurs à prendre en compte. Microsoft semble se confronter à un problème de taille après avoir exposé 38 To de données sensibles dans la formation de son IA.
Tout se passe entre l’année 2020 et 2023. Microsoft s’est retrouvé dans une situation délicate, exposant involontairement une gigantesque quantité de données d’IA sur le web. Cela à cause d’un simple référentiel diffusé publiquement sur GitHub. L’entreprise de cybersécurité cloud Wiz a été le fer de lance de cette découverte cruciale. Elle a dû repérer et signaler cette vulnérabilité majeure à Microsoft le 22 juin 2023. De son côté, Microsoft a révoqué le jeton non sécurisé en question deux jours après avoir été alerté.
38 To de données d’IA exposées, Microsoft regrette la configuration du stockage Azure
En manipulant de manière incorrecte une fonctionnalité clé de la plate-forme Azure, les experts de chez Wiz font valoir que Microsoft s’est retrouvé par inadvertance à exposer un impressionnant volume de données privées. La somme des données d’IA que Microsoft a accidentellement exposées s’élève à 38 To.
Cette archive avait pour vocation d’héberger du code source ouvert. Mais aussi des modèles d’intelligence artificielle destinés à la reconnaissance d’images. Les chercheurs en IA de chez Microsoft utilisaient un jeton SAS excessivement permissif pour partager leurs fichiers. Ce qui a ultimement abouti à cette fuite de données inattendue.
En substance, les jetons SAS constituent un mécanisme permettant de générer des URL signées. Offrant ainsi un contrôle précis sur l’accès aux données stockées sur les instances de stockage Azure. Les niveaux d’accès sont personnalisables par l’utilisateur. Mais dans ce cas bien précis, le jeton SAS en question pointait vers un compartiment de stockage Azure mal configuré, renfermant un trésor de données hautement sensibles.
Juin 2023, Microsoft a fini par révoquer le jeton SAS
Toujours selon Wiz, Microsoft a également exposé involontairement une sauvegarde complète des postes de travail de deux de ses employés. La sauvegarde en question inclut une panoplie de données sensible à l’entreprise. Dont des secrets, des clés cryptographiques privées, des mots de passe, ainsi que plus de 30 000 messages internes appartenant à 359 employés de Microsoft. Autrement dit, des échanges effectués au sein de la plateforme Microsoft Teams.
Dans l’ensemble, cela signifiait qu’une personne non autorisée aurait pu potentiellement accéder à un trésor de fichiers privés de Microsoft. Néanmoins, Microsoft a déjà révoqué le jeton SAS dangereux le 24 juin 2023.
La nécessité d’un mécanisme de gestion centralisé sur Azure
Malgré leur utilité indéniable, les jetons de signature d’accès partagé (SAS) présentent un risque significatif en matière de sécurité. Cela en raison du manque de surveillance et de gouvernance qui les entoure.
Wiz insiste alors sur la nécessité de limiter leur utilisation au strict minimum. Il souligne également que leur suivi est complexe en l’absence d’un mécanisme centralisé de gestion via le portail Azure de Microsoft.
Toujours selon Wiz, les jetons SAS peuvent être configurés pour une durée de validité quasiment illimitée. Le premier jeton, utilisé par Microsoft dans son référentiel GitHub dédié à l’IA, a été créé le 20 juillet 2020. Il demeure alors actif jusqu’au 5 octobre 2021. Subséquemment, un second jeton a été ajouté à GitHub, dont l’expiration est prévue pour le 6 octobre 2051.
- Partager l'article :