Image Description

Prisca Huguenot

23 juin 2025
Image Description

Faille critique dans OneDrive

Des millions d'utilisateurs potentiellement exposés.

 

Source : image créée avec ChatGPT

Une vulnérabilité majeure a été découverte dans le sélecteur de fichiers de OneDrive, le service de stockage cloud de Microsoft. Identifiée par les chercheurs en sécurité d’Oasis Security, cette faille pourrait exposer des données sensibles de millions d’utilisateurs.

Accès élargi et non sollicité

Le File Picker de OneDrive, utilisé dans des centaines d’applications web comme Slack, ChatGPT, Trello ou ClickUp, souffre d’une implémentation problématique. Lorsqu’un utilisateur sélectionne un fichier à partager, l’application associée peut en réalité obtenir un accès complet à l’ensemble du compte OneDrive, même aux fichiers non sélectionnés.

Ce comportement découle du fait que l’API de Microsoft nécessite une autorisation de lecture sur tout le stockage OneDrive, faute de granularité dans la gestion des permissions. Résultat : des centaines de services peuvent potentiellement exploiter cette faille pour collecter des fichiers sans le consentement explicite des utilisateurs.

Des tokens stockés de manière peu sécurisée

Autre point préoccupant : les jetons d’authentification générés via la bibliothèque MSAL sont stockés en clair dans le Session Storage du navigateur. Ces tokens peuvent être interceptés ou réutilisés à long terme grâce aux jetons d’actualisation, aggravant les risques de compromission.

Recommandations pour les utilisateurs

Oasis Security recommande aux utilisateurs de :

  • Vérifier les autorisations accordées aux applications dans la section "Confidentialité" de leur compte Microsoft.
  • Révoquer toute application suspecte ou non utilisée.
  • Utiliser des liens de partage en lecture seule plutôt que le File Picker natif.

Recommandations pour les organisations

Les entreprises doivent :

  • Auditer les autorisations via l’Entra Admin Center.
  • Désactiver temporairement l’intégration OAuth avec OneDrive pour les uploads de fichiers.
  • Éviter l’utilisation de jetons d’actualisation et d’accès hors ligne dans leurs applications internes.
  • S’assurer que les tokens d’accès sont stockés de manière sécurisée.

En attente de correctifs

Microsoft a été alerté et travaille sur des ajustements. En attendant, la vigilance reste de mise, tant pour les utilisateurs privés que professionnels. Cette faille met en lumière l’importance d’une gestion rigoureuse des autorisations et de la sécurité des API dans les environnements cloud.

Mots-clés : , ,
Les commentaires sont clos

Newsletter

2022 © Tous droits réservés.