Power Apps de Microsoft : les applications pourraient divulguer les données personnelles des utilisateurs

Une mauvaise configuration des applications construites avec Power Apps de Microsoft dévoile des millions de données personnelles identifiables.

Comment les informations recueillies par les entreprises tombent-elles entre de mauvaises mains ? Elles sont parfois vendues par un employé ou bien divulguées suite à attaque ciblée mais, dans la plupart des cas, les informations personnelles identifiables fuitent à cause de services ou de programmes mal configurés. En plus de toutes ces preuves, des chercheurs de UpGuard ont découvert que les données personnelles identifiables de 38 millions de personnes ont été exposées. Des applications Web mal configurées et construites avec la plateforme Power Apps de Microsoft sont à l’origine de cette fuite. Heureusement, il semblerait que les malfaiteurs n’aient pas eu accès à ces informations.

Mauvaise configuration dans Power Apps

En tant qu’outil qui aide les entreprises à construire des applications et des portails Web sans avoir à beaucoup investir dans le développement, la plateforme Power Apps de Microsoft s’appuie sur le low code (c’est-à-dire peu de code et donc peu de programmation). Les avis des utilisateurs promeuvent le concept que n’importe quelle idée peut devenir réalité sans connaissance en informatique ni en programmation.

Cette simplicité est la source du problème. En utilisant Power Apps, les gens qui manquent d’expérience en informatique et qui ne connaissent pas le principe de la sécurité des données ont créé des outils qui, surprise, n’étaient pas sécurisés. Les chercheurs ont découvert que 47 entreprises et services publics avaient utilisés Power Apps pour créer des outils qui collectaient des données personnelles mais ne les stockaient pas en lieu sûr.

Pour simplifier cette explication assez technique et longue, Power Apps permet aux utilisateurs de mettre au point des outils qui partagent et collectent des données. Dans les deux cas, les informations sont stockées dans des tableurs, et le créateur de l’application peut y autoriser l’accès. Les autorisations étaient désactivées par défaut. D’une part, cette fonctionnalité permet aux créateurs d’activer facilement le partage. D’autre part, les données sont tout simplement rendues publiques. C’est pourquoi les données collectées étaient disponibles en dehors de la structure des entreprises.

Comment éviter la fuite des données de votre entreprise et de vos clients

Après que les chercheurs ont signalé la fuite, Microsoft a modifié les paramètres par défaut de la plateforme. Désormais, lorsque quelqu’un crée un nouveau projet qui collecte des données personnelles, toutes les informations recueillies sont stockées de façon à ce qu’aucune personne externe ne puisse y accéder. En revanche, les applications et les portails Web créés avant la mise à jour de Windows pourraient être toujours vulnérables. Si votre entreprise utilise Power Apps de Microsoft, vous devriez vérifier minutieusement toutes les options de configuration pour éviter ce genre de fuite, surtout si votre application collecte et conserve des données personnelles identifiables.

Ce problème est beaucoup plus vaste. Power Apps est loin d’être la seule plateforme low code dont les utilisateurs sans connaissance en informatique se servent pour créer des services, des applications et des sites Web. Ces outils, auxquels de nombreuses entreprises ont recours pour n’effectuer que des tâches en interne, peuvent ne pas être remarqués par les services de sécurité.

Pendant ce temps, le code source pourrait être vulnérable, des erreurs pourraient se produire lorsque la plateforme s’intègre avec d’autres processus de l’entreprise ou il pourrait y avoir des problèmes de configuration, comme c’est le cas ici.

Par conséquent, nous recommandons aux entreprises qui utilisent les plateformes low code de :

  • Vérifier minutieusement les paramètres de sécurité et de confidentialité des applications publiées et non-publiées ;
  • Former les services de sécurité des informations sur l’utilisation de plateformes similaires dans les processus d’entreprise ;
  • Recruter des experts externes (ou des spécialistes en interne) pour évaluer la sécurité.
Conseils