[ad_1]\n<\/p>\n
Une importante faille de s\u00e9curit\u00e9 d\u00e9couverte dans les r\u00e9sultats de recherche de Bing. Fort heureusement, plus de peur que de mal.<\/p>\n
Une faille de s\u00e9curit\u00e9 majeure a \u00e9t\u00e9 d\u00e9couverte r\u00e9cemment. Celle-ci permet \u00e0 des experts de modifier \u00e0 dessein les r\u00e9sultats de recherche<\/a> de Bing<\/strong>. La vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 mise au jour en janvier dernier par la soci\u00e9t\u00e9 sp\u00e9cialis\u00e9e en cybers\u00e9curit\u00e9 Wiz qui l\u2019a imm\u00e9diatement signal\u00e9e au Microsoft<\/a> Security Response Center <\/em>(MSRC).<\/p>\n Dans une conversation Twitter<\/a>, le chercheur de chez Wiz, Hillai Ben-Sasson, expliquait comment il est parvenu \u00e0 pirater le syst\u00e8me de gestion de contenu (CMS) de Bing<\/a>. En se connectant sur la plateforme cloud Azure de Microsoft, il a d\u00e9couvert qu\u2019il pourrait accorder \u00e0 tous les utilisateurs un acc\u00e8s aux apps internes de la firme de Redmond. Il a ensuite acc\u00e9d\u00e9 \u00e0 une base de donn\u00e9es des r\u00e9sultats de recherche de Bing. De l\u00e0, Hillai Ben-Sasson a trouv\u00e9 le moyen de modifier \u00e0 loisir ce qui apparait dans les r\u00e9sultats.<\/p>\n Les chercheurs de Wiz ont aussi d\u00e9couvert que Bing \u00e9tait vuln\u00e9rable \u00e0 une attaque de type Cross-Site Scripting (XSS) et se sont rendus qu\u2019ils avaient acc\u00e8s \u00e0 des donn\u00e9es sensibles d\u2019Office 365, parmi lesquelles, des emails Outlook<\/a>, des informations de Calendrier et des messages de Teams. Le MSRC a d\u00e9taill\u00e9 les mises \u00e0 jour de s\u00e9curit\u00e9 correspondantes et partag\u00e9 ses recommandations pour les d\u00e9veloppeurs et admins Azure dans un post sur son blog<\/a>.<\/p>\n L\u2019objectif de l\u2019exp\u00e9rimentation de ces chercheurs \u00e9tait de montrer que c\u2019\u00e9tait possible et de partager tout ceci avec Microsoft<\/a>. Mais cela montre aussi comment des hackers auraient pu mettre \u00e0 mal Bing. \u201cUne personne malintentionn\u00e9e avec le m\u00eame acc\u00e8s aurait pu pirater les r\u00e9sultats de recherche les plus populaires avec la m\u00eame proc\u00e9dure et faire ainsi fuiter les donn\u00e9es de millions d\u2019utilisateurs\u201d, d\u00e9clarait le post sur le blog de Wiz.<\/p>\n Fort heureusement, plus de peur que de mal, si l\u2019on peut dire, aucun d\u00e9g\u00e2t majeur ne semble avoir \u00e9t\u00e9 commis. Microsoft a confirm\u00e9 que cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 corrig\u00e9e ce week-end. Et dans le m\u00eame temps, Wiz a re\u00e7u une prime de 40 000 $ dans le cadre de son programme de bug bounty pour avoir signal\u00e9 cette faille. La soci\u00e9t\u00e9 a annonc\u00e9 qu\u2019elle en fera don \u00e0 une organisation de son choix.<\/p>\n I hacked into a @Bing<\/a> CMS that allowed me to alter search results and take over millions of @Office365<\/a> accounts. \u2014 Hillai Ben-Sasson (@hillai) March 29, 2023<\/a><\/p>\n<\/blockquote>\n<\/div>\nUne importante faille de s\u00e9curit\u00e9 d\u00e9couverte dans les r\u00e9sultats de recherche de Bing<\/h2>\n
Fort heureusement, plus de peur que de mal<\/h2>\n
\n
How did I do it? Well, it all started with a simple click in @Azure<\/a>\u2026 👀
This is the story of #BingBang<\/a> 🧵⬇️ pic.twitter.com\/9pydWvHhJs<\/a><\/p>\n