Un incident de sécurité majeur a ébranlé la communauté des chercheurs en intelligence artificielle. Les experts en cybersécurité de Wiz Research ont révélé que les chercheurs de Microsoft AI ont accidentellement exposé pas moins de 38 To de données critiques, dont 30 000 messages internes de Microsoft Teams. L’erreur provenait du partage d’un ensemble de données d’entrainement en open source sur la plateforme GitHub. 

Comment une simple erreur de Microsoft a pu exposer une telle quantité de données sensibles ?

L’équipe de recherche en AI de Microsoft, a révélé d’énormes volumes de données internes dus à des jetons SAS mal configurés, révélant plus d’informations que prévu. Les données sensibles comprennent : les mots de passe, les clés privées et même les sauvegardes des ordinateurs personnels des employés de l’entreprise. Les chercheurs ont utilisé des jetons SAS pour partager des données. Au lieu de limiter l’accès à des fichiers spécifiques comme cela pourrait être le cas sur Teams ou Office, la fédération a été configurée pour partager l’intégralité du compte de stockage, exposant ainsi des dizaines de téraoctets de ces fichiers privés.

Et c’est encore pire : Le jeton est configuré pour fournir des autorisations complètes, donnant à un hacker la possibilité de supprimer ou d’écraser des fichiers. En tout cas, ce n’est pas la première fois que des données Microsoft sont divulguées après leur publication sur GitHub.

Limiter l’autorisation, un impératif qui ne s’applique pas toujours

Cet incident met en évidence les défis de sécurité croissants. De grands risques peuvent toucher les organisations, lorsqu’elles travaillent avec de grandes quantités de données de formation sur l’intelligence artificielle. Les data scientists et les ingénieurs doivent mettre en œuvre des contrôles de sécurité et des protections solides pour faire face à ces risques. 

1. Limitations d’utilisation des jetons SAS :

Par conséquent, l’utilisation des jetons SAS doit respecter une certaine limitation. L’utilisation de ces jetons doit se faire de manière sélective, accordant l’accès uniquement aux ressources nécessaires à une tâche spécifique. Il est essentiel de suivre une politique de moindre privilège, dans laquelle chaque utilisateur ou système dispose uniquement des autorisations dont il a besoin pour accomplir ses tâches.

2. Politique d’accès stockée pour le partage externe :

 Au lieu de partager des données sensibles en exposant l’intégralité du compte de stockage, vous devez appliquer des politiques d’accès stockées pour le partage externe. Cela vous permet de mieux contrôler l’accès aux données en autorisant uniquement les utilisateurs ou  services spécifiques qui ont besoin de ces informations. Cela limite considérablement la surface d’attaque potentielle.

 3. Compte de stockage dédié :

 Une autre mesure importante consiste à créer des comptes de stockage dédiés pour différents types de données. En disposant de comptes séparés pour les données sensibles, il est plus facile de gérer les autorisations et de minimiser les risques en cas d’incident de sécurité.

 4. Surveillance des jetons SAS :

De plus, la surveillance de l’utilisation des jetons SAS reste essentielle pour détecter les accès non autorisés. Les organisations doivent mettre en œuvre des systèmes de surveillance et d’alerte pour identifier rapidement toute activité suspecte ou non autorisée liée à ces jetons. 

Conclusion sur l’incident de Microsoft

L’incident de sécurité de l’IA de Microsoft, bien que malheureux, a apporté une leçon précieuse sur la cybersécurité. Les organisations travaillant avec de grands ensembles de données, notamment dans le domaine de l’intelligence artificielle, doivent être vigilantes. Elles doivent prendre des mesures proactives pour protéger leurs données sensibles. Par exemple, mettre en place des mesures de sécurité comme des restrictions d’autorisation ou une utilisation judicieuse des jetons SAS et une surveillance continue. En prenant ces mesures, ils peuvent réduire considérablement le risque d’exposition accidentelle de données importantes. La sécurité des données doit rester une priorité absolue dans le monde de l’IA. La confidentialité et la sécurité des informations sont essentielles au maintien de la confiance de la réputation de l’entreprise.