{"id":17547,"date":"2021-09-09T08:50:42","date_gmt":"2021-09-09T06:50:42","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17547"},"modified":"2021-09-09T08:50:42","modified_gmt":"2021-09-09T06:50:42","slug":"power-apps-exposure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/power-apps-exposure\/17547\/","title":{"rendered":"Power Apps de Microsoft : les applications pourraient divulguer les donn\u00e9es personnelles des utilisateurs"},"content":{"rendered":"

Comment les informations recueillies par les entreprises tombent-elles entre de mauvaises mains\u00a0? Elles sont parfois vendues par un employ\u00e9 ou bien divulgu\u00e9es suite \u00e0 attaque cibl\u00e9e mais, dans la plupart des cas, les informations personnelles identifiables fuitent \u00e0 cause de services ou de programmes mal configur\u00e9s. En plus de toutes ces preuves, des chercheurs de UpGuard ont d\u00e9couvert que les donn\u00e9es personnelles identifiables de 38 millions de personnes ont \u00e9t\u00e9 expos\u00e9es<\/a>. Des applications Web mal configur\u00e9es et construites avec la plateforme Power Apps de Microsoft sont \u00e0 l\u2019origine de cette fuite. Heureusement, il semblerait que les malfaiteurs n\u2019aient pas eu acc\u00e8s \u00e0 ces informations.<\/p>\n

Mauvaise configuration dans Power Apps<\/h2>\n

En tant qu\u2019outil qui aide les entreprises \u00e0 construire des applications et des portails Web sans avoir \u00e0 beaucoup investir dans le d\u00e9veloppement, la plateforme Power Apps de Microsoft s\u2019appuie sur le low code (c\u2019est-\u00e0-dire peu de code et donc peu de programmation). Les avis des utilisateurs<\/a> promeuvent le concept que n\u2019importe quelle id\u00e9e peut devenir r\u00e9alit\u00e9 sans connaissance en informatique ni en programmation.<\/p>\n

Cette simplicit\u00e9 est la source du probl\u00e8me. En utilisant Power Apps, les gens qui manquent d\u2019exp\u00e9rience en informatique et qui ne connaissent pas le principe de la s\u00e9curit\u00e9 des donn\u00e9es ont cr\u00e9\u00e9 des outils qui, surprise, n\u2019\u00e9taient pas s\u00e9curis\u00e9s. Les chercheurs ont d\u00e9couvert que 47 entreprises et services publics avaient utilis\u00e9s Power Apps pour cr\u00e9er des outils qui collectaient des donn\u00e9es personnelles mais ne les stockaient pas en lieu s\u00fbr.<\/p>\n

Pour simplifier cette explication assez technique et longue, Power Apps permet aux utilisateurs de mettre au point des outils qui partagent et collectent des donn\u00e9es. Dans les deux cas, les informations sont stock\u00e9es dans des tableurs, et le cr\u00e9ateur de l\u2019application peut y autoriser l\u2019acc\u00e8s. Les autorisations \u00e9taient d\u00e9sactiv\u00e9es par d\u00e9faut. D\u2019une part, cette fonctionnalit\u00e9 permet aux cr\u00e9ateurs d\u2019activer facilement le partage. D\u2019autre part, les donn\u00e9es sont tout simplement rendues publiques. C\u2019est pourquoi les donn\u00e9es collect\u00e9es \u00e9taient disponibles en dehors de la structure des entreprises.<\/p>\n

Comment \u00e9viter la fuite des donn\u00e9es de votre entreprise et de vos clients<\/h2>\n

Apr\u00e8s que les chercheurs ont signal\u00e9 la fuite, Microsoft a modifi\u00e9 les param\u00e8tres par d\u00e9faut de la plateforme. D\u00e9sormais, lorsque quelqu\u2019un cr\u00e9e un nouveau projet qui collecte des donn\u00e9es personnelles, toutes les informations recueillies sont stock\u00e9es de fa\u00e7on \u00e0 ce qu\u2019aucune personne externe ne puisse y acc\u00e9der. En revanche, les applications et les portails Web cr\u00e9\u00e9s avant la mise \u00e0 jour de Windows pourraient \u00eatre toujours vuln\u00e9rables. Si votre entreprise utilise Power Apps de Microsoft, vous devriez v\u00e9rifier minutieusement toutes les options de configuration pour \u00e9viter ce genre de fuite, surtout si votre application collecte et conserve des donn\u00e9es personnelles identifiables.<\/p>\n

Ce probl\u00e8me est beaucoup plus vaste. Power Apps est loin d\u2019\u00eatre la seule plateforme low code dont les utilisateurs sans connaissance en informatique se servent pour cr\u00e9er des services, des applications et des sites Web. Ces outils, auxquels de nombreuses entreprises ont recours pour n\u2019effectuer que des t\u00e2ches en interne, peuvent ne pas \u00eatre remarqu\u00e9s par les services de s\u00e9curit\u00e9.<\/p>\n

Pendant ce temps, le code source pourrait \u00eatre vuln\u00e9rable, des erreurs pourraient se produire lorsque la plateforme s\u2019int\u00e8gre avec d\u2019autres processus de l\u2019entreprise ou il pourrait y avoir des probl\u00e8mes de configuration, comme c\u2019est le cas ici.<\/p>\n

Par cons\u00e9quent, nous recommandons aux entreprises qui utilisent les plateformes low code de\u00a0:<\/p>\n