La menace des mauvaises configurations de Power Pages
Les entreprises du secteur privé et les organisations publiques ouvrent involontairement la voie à l’exposition de données sensibles en raison de mauvaises configurations issues de l’utilisation de Microsoft Power Pages. Cette plateforme de création de sites web simplifie considérablement le processus de construction de sites externes, mais laissent certaines informations à découvert sur Internet. Aaron Costello, expert en sécurité des logiciels SaaS chez AppOmni, a découvert que la mauvaise gestion des contrôles d’accès laisse des fichiers internes et des informations personnelles identifiables accessibles à quiconque. Ce problème a des répercussions sur des millions d’utilisateurs.
Pour comprendre l’ampleur des risques engendrés par une mauvaise configuration des Power Pages, il suffit d’examiner certaines fuites d’informations récentes. Par exemple, un prestataire de services pour le National Health Service au Royaume-Uni a accidentellement exposé les données de plus de 1,1 million d’employés, incluant adresses e-mails et résidentielles. Bien que cette fuite ait depuis été colmatée, elle met en lumière la menace que représentent des paramètres de sécurité mal configurés.
Sous-estimation des dangers liés à Power Pages
L’outil Power Pages, malgré ses avantages, comporte des risques si ses fonctions de sécurité ne sont pas correctement paramétrées. Beaucoup d’organisations offrent des enregistrements publics via leurs sites créés sur Power Pages, et ce faisant, confondent souvent le rôle d’utilisateur « authentifié » avec celui d’un utilisateur interne. La conséquence ? Des permissions inadéquates qui permettent aux inscrits de l’extérieur d’accéder à des données internalisées. Ce problème est accentué par la complexité des contrôles d’accès en couches de la plateforme, rendant ceux mal configurés difficiles à corriger.
Solutions pour sécuriser Power Pages
La sécurisation des sites web développés avec Power Pages demande une compréhension des différents niveaux de couches de sécurité. Les organisations doivent vérifier soigneusement leurs paramètres de permissions de tables et limiter l’accès aux informations sensibles uniquement aux utilisateurs légitimes. En éliminant les accès ouverts aux utilisateurs anonymes, et en appliquant un contrôle serré sur les colonnes par le biais de masquage de données, il est possible de diminuer considérablement les risques d’expositions indésirables. La documentation officielle de Microsoft offre des directives pour garantir une intégration sécurisée des couches nécessaires, mais de nombreux administrateurs négligent ces recommandations. Visitez cet article pour en savoir plus sur les vulnérabilités potentielles et comment les éviter.
