Office 365 ouvert aux quatre vents

Un problème de sécurisation rendait vulnérables tous les comptes Office 365. En cause, un sous-domaine, success.office.com, dont la configuration défaillante permettait à un attaquant d’en prendre le contrôle, ayant alors accès aux données qui y étaient envoyées y compris les jetons d’identification d’ Outlook, Store et Sway.

Un chercheur indien, Sahad Nk, a mis au jour le mois dernier plusieurs failles de sécurité affectant Office 365. Au cœur du problème, un sous-domaine insuffisamment sécurisé, success.office.com. En changeant son CNAME, le chercheur a été en mesure de rediriger le sous-domaine vers une autre instance Azure et ainsi de contrôler le site et toutes les données qui y étaient envoyées.

Pire encore, les applications Outlook, Store et Sway y envoyaient des jetons de connexion valides pour peu que l’utilisateur clique un lien le renvoyant vers le sous domaine. En effet, le sous-domaine est considéré comme une redirection URL valide par les trois services. « Il est important de savoir que les pirates informatiques peuvent facilement accéder à tous les courriels des victimes et que même un antivirus n'aurait pas pu les protéger ».

Aspirateurs à jetons d’authentification

 « Cela a entraîné une fuite de jeton vers notre serveur. On peut échanger ce jeton contre un jeton de session et utiliser les jetons pour se connecter en tant que la victime sans avoir à connaître ses nom d'utilisateur et mot de passe » explique la société SafetyDetective, avec laquelle collabore Sahad Nk.

« Ceci est destiné à contourner OAuth et obtenir un jeton valide; quand une victime clique sur le lien, nous pourrons nous emparer de son compte ». En d’autres termes, n’importe quel compte Office 365 était vulnérable mais la faille a depuis été corrigée par Microsoft. Le sous-domaine success.office.com est par ailleurs inaccessible et Sahad Nk a confirmé avoir reçu une prime de la part de Redmond.