Une importante faille de sécurité découverte dans les résultats de recherche de Bing. Fort heureusement, plus de peur que de mal.
Une faille de sécurité majeure a été découverte récemment. Celle-ci permet à des experts de modifier à dessein les résultats de recherche de Bing. La vulnérabilité a été mise au jour en janvier dernier par la société spécialisée en cybersécurité Wiz qui l’a immédiatement signalée au Microsoft Security Response Center (MSRC).
Une importante faille de sécurité découverte dans les résultats de recherche de Bing
Dans une conversation Twitter, le chercheur de chez Wiz, Hillai Ben-Sasson, expliquait comment il est parvenu à pirater le système de gestion de contenu (CMS) de Bing. En se connectant sur la plateforme cloud Azure de Microsoft, il a découvert qu’il pourrait accorder à tous les utilisateurs un accès aux apps internes de la firme de Redmond. Il a ensuite accédé à une base de données des résultats de recherche de Bing. De là, Hillai Ben-Sasson a trouvé le moyen de modifier à loisir ce qui apparait dans les résultats.
Les chercheurs de Wiz ont aussi découvert que Bing était vulnérable à une attaque de type Cross-Site Scripting (XSS) et se sont rendus qu’ils avaient accès à des données sensibles d’Office 365, parmi lesquelles, des emails Outlook, des informations de Calendrier et des messages de Teams. Le MSRC a détaillé les mises à jour de sécurité correspondantes et partagé ses recommandations pour les développeurs et admins Azure dans un post sur son blog.
Fort heureusement, plus de peur que de mal
L’objectif de l’expérimentation de ces chercheurs était de montrer que c’était possible et de partager tout ceci avec Microsoft. Mais cela montre aussi comment des hackers auraient pu mettre à mal Bing. “Une personne malintentionnée avec le même accès aurait pu pirater les résultats de recherche les plus populaires avec la même procédure et faire ainsi fuiter les données de millions d’utilisateurs”, déclarait le post sur le blog de Wiz.
Fort heureusement, plus de peur que de mal, si l’on peut dire, aucun dégât majeur ne semble avoir été commis. Microsoft a confirmé que cette vulnérabilité a été corrigée ce week-end. Et dans le même temps, Wiz a reçu une prime de 40 000 $ dans le cadre de son programme de bug bounty pour avoir signalé cette faille. La société a annoncé qu’elle en fera don à une organisation de son choix.
I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️ pic.twitter.com/9pydWvHhJs— Hillai Ben-Sasson (@hillai) March 29, 2023
