OneDrive : une faille de sécurité expose tous vos fichiers stockés en ligne

OneDrive, le service de stockage en ligne de Microsoft intégré par défaut dans Windows et Microsoft 365, est utilisé par des millions d’internautes. Mais une récente découverte remet en question la sécurité des fichiers hébergés sur cette plateforme.

Les chercheurs en cybersécurité d’Oasis Security ont identifié une faille critique qui peut permettre à certaines applications, services ou sites Web d’accéder à l’intégralité des fichiers stockés sur un compte OneDrive, même si l’utilisateur pensait ne partager qu’un ou deux fichiers spécifiques.

Un contrôle d’accès « tout ou rien »

De nombreuses plateformes en ligne permettent de connecter un compte OneDrive afin de télécharger des fichiers directement depuis le cloud. Cette fonctionnalité est pratique car elle accélére les transferts et éviter les manipulations fastidieuses sur un ordinateur local.

Selon Oasis Security, OneDrive ne permet pas un contrôle d’accès granulaire. En clair lorsqu’un service demande l’accès à un fichier, il peut en réalité obtenir un accès complet à l’ensemble du contenu hébergé chez OneDrive. Et même si les autorisations sont limitées dans le temps, des jetons de rafraîchissement peuvent prolonger l’accès indéfiniment, à l’insu de l’utilisateur.

Pire encore, les chercheurs soulignent que les messages de consentement affichés par Microsoft sont vagues. Ils ne précisent pas clairement le niveau d’accès accordé. L’utilisateur peut donc croire qu’il ne donne accès qu’à un document, alors qu’en réalité il ouvre toutes ses données.

Comment reprendre le contrôle de vos autorisations

Heureusement, Microsoft propose une page dédiée pour gérer les accès accordés aux applications tierces :

• Rendez-vous sur : https://account.microsoft.com/privacy/app-access
• Connectez-vous à votre compte Microsoft.
• Consultez la liste des applications et services ayant reçu des autorisations.
• Cliquez sur « Détails » pour connaître le niveau d’accès exact.
• Sélectionnez « Ne pas autoriser » pour révoquer les autorisations inutiles.

Malheureusement, cette page ne permet pas de filtrer facilement les accès liés à OneDrive, ni de supprimer toutes les autorisations en un clic. Il faudra passer manuellement en revue chaque application.

Si vous devez partager un seul fichier ou un petit ensemble de documents, il peut être plus sûr de télécharger les fichiers localement et de les importer manuellement sur le site ou l’application concernée.