On pensait que Microsoft avait tout vu. Qu’après l’affaire PrintNightmare, les correctifs du mardi devenus rendez-vous hebdomadaire du chaos, il restait encore un minimum de dignité sécuritaire. C’était sans compter sur OneDrive, la dernière star d’un ballet de négligence orchestré en mode majeur.
📦 OneDrive, le coffre-fort (ou la passoire) de vos fichiers
OneDrive, c’est cette merveilleuse solution de stockage cloud estampillée Microsoft, intégrée à Windows, Office, et probablement à votre vie numérique sans que vous ne l’ayez vraiment choisi. Un outil magique qui permet de sauvegarder vos fichiers, de les synchroniser sur tous vos appareils, et surtout, de les exposer joyeusement à Internet si on ne fait pas attention aux partages.
En entreprise, il est au cœur de Microsoft 365 : partage collaboratif, coédition de documents, accès rapide via Teams ou Outlook. Bref, le couteau suisse de la productivité moderne. Mais comme souvent chez Microsoft, le tranchant est orienté vers l’utilisateur.
🐛 Une faille design digne d’un prototype d’école
Des chercheurs en cybersécurité ont mis le doigt sur une faille a priori gravissime affectant OneDrive. Et attention, ce n’est pas juste une erreur de configuration de droits ou un token mal géré. Non, c’est une faille structurelle, une sorte de péché originel codé en dur dans l’architecture même du service.
Le problème ? Des applications connectées à OneDrive (OAuth, API tierces) peuvent accéder aux fichiers de l’utilisateur en lecture seule, voire les télécharger, sans que celui-ci n’en soit informé, ni n’ait consenti à un tel niveau d’accès.
En clair, une appli un peu trop curieuse – ou malveillante – peut siphonner vos fichiers OneDrive comme dans un buffet à volonté.
Et comme souvent, cette situation n’est pas le fruit d’un hack génial, mais d’un design volontairement permissif de Microsoft. « C’est plus simple pour les développeurs », diront-ils. « C’est plus simple pour les pirates aussi », répondons-nous.
🧊 Microsoft : Keep Calm and Ignore the Risk
La réponse officielle de Microsoft ? Un mélange de stoïcisme britannique et de désintérêt kafkaïen. En résumé : oui, c’est vrai, c’est problématique. Mais non, on ne corrigera pas ça tout de suite. C’est trop profondément ancré dans le fonctionnement actuel de OneDrive.
Traduction : On a conçu un château en carton, il prend l’eau, mais on préfère repeindre les murs plutôt que renforcer la structure.
Le tout emballé dans une belle formulation corporate : « Nous évaluons les implications en termes de sécurité et nous invitons les utilisateurs à appliquer les bonnes pratiques d’usage. » Spoiler : aucune « bonne pratique » ne permet d’éviter une faille systémique que même l’éditeur ne corrige pas.
🛡️ Comment (essayer de) vous protéger ?
Même si Microsoft vous laisse dans la nature avec un gobelet troué, il existe quelques précautions que vous pouvez prendre pour ne pas vous transformer en distributeur automatique de documents :
- Vérifiez vos applications connectées à OneDrive
→ Allez dans votre compte Microsoft > Sécurité > Applications et services auxquels vous avez donné accès. Supprimez tout ce qui ne vous parle pas. - Révoquez les autorisations inutiles
→ Si une app ne sert plus, virez-la. Si elle demande plus que le strict nécessaire (accès à tous les fichiers au lieu d’un dossier), fuyez. - Utilisez un compte Microsoft distinct pour vos applications « exotiques »
→ Créez un compte dédié sans accès à vos fichiers sensibles. - Chiffrez localement vos fichiers sensibles avant de les uploader
→ Le chiffrement client-side, ça n’est pas fait pour décorer : utilisez Veracrypt, Cryptomator ou un outil équivalent. - Formez vos équipes
→ Si vous êtes une entreprise, sensibilisez vos utilisateurs. Oui, encore. Toujours. Jusqu’à ce qu’ils comprennent que le « Connecter avec Microsoft » n’est pas toujours sans conséquences.
🔚 Conclusion : OneDrive, c’est du partage… trop de partage
Ce n’est pas juste une faille technique. C’est une philosophie du « tout est permis, tant que c’est pratique », incarnée par Microsoft. On pousse les utilisateurs à connecter, synchroniser, partager, centraliser… et on feint la surprise quand ça explose.
Le plus ironique ? Le nom OneDrive, censé symboliser l’unification, devient l’épitaphe d’une cybersécurité unifiée dans le déni.
Alors, chers lecteurs, avant d’envoyer vos rapports confidentiels, vos bulletins de paie ou vos listes de mots de passe dans les nuages, demandez-vous : à qui appartiennent vraiment vos fichiers ? Et surtout : combien de curieux peuvent déjà les consulter sans que vous le sachiez ?
