Samedi dernier, la prestigieuse entreprise Microsoft a été forcée de retirer une fonctionnalité de Docs.com, son populaire site de partage et d’hébergement de documents en ligne. La fonctionnalité en question, qui était en fait un outil de recherche, permettait à n’importe quel utilisateur de consulter les millions de fichiers (parfois personnels et confidentiels) hébergés sur les serveurs associés à ce service.
En d’autres termes, si vous avez hébergé un document Word, Excel, PowerPoint, OneNote, Sway ou PDF sur Docs.com, sachez que ce dernier a probablement été accessible à tous les internautes par le biais d’une simple recherche par mots clés.
Selon le site Internet ZDNET, des lettres d’embauche, des portefeuilles de placement, des règlements de divorce, des relevés de cartes de crédit, des numéros d’assurance sociale, des dates de naissance, des numéros de téléphone et des adresses postales font partie des informations qui étaient jadis accessibles sur Docs.com.
Qui est à blâmer
Microsoft n’a pas été victime d’une attaque. Cette faille de sécurité serait en fait un énorme malentendu entre l’entreprise et ses usagers. Certes, la plupart des utilisateurs de Docs.com étaient d’avis que les fichiers partagés étaient privés. Malheureusement, ce n’était pas le cas lorsque des fichiers étaient créés ou modifiés en ligne (notamment à l’aide de Word et Excel Online). Dans ce cas précis, les paramètres par défaut de la plateforme faisaient en sorte que ces documents devenaient automatiquement publics.
Prenant en partie le blâme, Microsoft a assuré mettre en place « des mesures pour aider ceux qui peuvent avoir par inadvertance publié des documents avec des informations sensibles ».