Une faille du sélecteur de fichiers OneDrive permet d’accéder à tout le disque lors du partage d’un fichier
Une révélation inquiétante entoure OneDrive, l’un des services de stockage cloud les plus utilisés, concernant son outil File Picker. Des chercheurs en sécurité alertent sur des risques majeurs pour les données, exposant ainsi utilisateurs et entreprises à des failles de sécurité préoccupantes.
OneDrive se positionne comme un service de stockage cloud très prisé, largement promu par Microsoft auprès des utilisateurs de Windows. Cependant, des chercheurs en sécurité mettent en garde sur le fait que la fonctionnalité File Picker de OneDrive pourrait exposer les utilisateurs et les organisations à des risques de données sérieux en accordant un accès total en lecture à des parties non autorisées.
Microsoft montre une négligence alarmante concernant les frontières de sécurité de OneDrive. Une récente analyse d’Oasis Security a révélé que l’outil File Picker permet aux sites web, aux applications et aux utilisateurs externes d’accéder en lecture seule à l’ensemble du contenu stocké sur le service. Cette faille criante met en péril aussi bien les utilisateurs individuels que les entreprises, incitant Oasis à recommander un audit complet des permissions accordées.
File Picker propose aux entreprises et aux utilisateurs un moyen rapide et facile de télécharger des fichiers depuis leurs comptes OneDrive. De nombreux services en ligne, y compris ChatGPT d’OpenAI, exploitent cette fonctionnalité. Cependant, au lieu de restreindre l’accès à un fichier spécifique, l’outil accorde un accès généralisé à tout l’espace de stockage.
Oasis estime que des centaines d’applications sont concernées par ce problème, y compris ChatGPT, Slack, Trello, ClickUp, et d’autres. Par conséquent, des millions d’utilisateurs ont probablement accordé à ces services un accès illimité à leurs fichiers OneDrive. Cette exposition pourrait entraîner des fuites de données et des violations de la vie privée, tandis que les organisations risquent de ne pas respecter la conformité réglementaire.
Oasis critiquait également Microsoft pour son utilisation d’un langage vague et trompeur lors de la demande de démarrage d’un téléchargement. Il estime que Microsoft ne révèle pas l’étendue totale de l’accès accordé via File Picker, empêchant les clients de distinguer les requêtes légitimes des tentatives potentiellement malveillantes d’exfiltration de données.
Oasis prévient aussi que des jetons secrets utilisés pour accorder des demandes d’accès sont souvent stockés de manière peu sécurisée par défaut. Dans la version 8.0 de File Picker, les développeurs doivent mettre en œuvre une authentification via la bibliothèque d’authentification de Microsoft (MSAL) avec le flux d’autorisation d’OAuth. Cependant, l’API MSAL stocke des jetons dans le stockage de session du navigateur en texte clair, et le flux d’autorisation peut prolonger l’accès indéfiniment via un jeton d’actualisation.
« Le manque de portées OAuth détaillées combiné à l’invite vague de Microsoft pour les utilisateurs est une combinaison dangereuse qui met en danger tant les utilisateurs individuels que ceux des entreprises », a affirmé Oasis.
Face à cela, les utilisateurs individuels et les administrateurs d’entreprises devraient passer en revue les droits d’accès des tiers qu’ils ont précédemment accordés, un processus que Oasis décrit dans une checklist détaillée. Les chercheurs ont déjà signalé cette faille à Microsoft et aux fournisseurs tiers concernés, et Redmond envisagerait des améliorations futures pour le service.
