Imaginez : vous utilisez une application comme Slack ou Trello pour partager un fichier depuis votre compte OneDrive. Vous pensez que l’application accède uniquement à ce fichier, mais en réalité, elle peut explorer tous vos documents, même les plus sensibles. C’est exactement ce que permet une faille critique découverte récemment dans OneDrive. Pas de panique ! Voici une explication simple de ce qui se passe, comment cela vous affecte, et ce que vous pouvez faire pour vous protéger.
Que s’est-il passé ?
Le problème se trouve dans le OneDrive File Picker, un outil qui permet à des applications tierces (comme ChatGPT, Slack ou ClickUp) de vous laisser sélectionner des fichiers depuis votre compte OneDrive. Mais il y a un hic :
• Autorisations trop larges : Quand vous autorisez une application à accéder à un fichier, OneDrive lui donne souvent un accès total à tous vos fichiers et dossiers. Cela se produit à cause de permissions mal conçues, appelées OAuth scopes, comme Files.Read.All.
• Message trompeur : La fenêtre qui vous demande de cliquer sur « Autoriser » ne précise pas que vous donnez un accès complet. La plupart des utilisateurs pensent partager un seul fichier, pas leur compte entier !
• Stockage risqué : Les jetons d’accès, qui permettent à l’application de se connecter à votre compte, sont parfois stockés de manière non sécurisée (par exemple, en texte brut dans le navigateur). Pire, certains jetons peuvent prolonger l’accès pendant longtemps, augmentant les risques si quelqu’un les vole.
Cette faille, découverte par les chercheurs d’Oasis Security, touche des millions d’utilisateurs et de nombreuses applications populaires.
Et Google Drive, alors ?
Vous vous demandez peut-être comment OneDrive se compare à son concurrent, Google Drive. La différence est frappante :
• Permissions précises : Google Drive utilise des autorisations plus restrictives, comme drive.file, qui limitent l’accès uniquement au fichier que vous choisissez. Pas d’accès global à votre compte !
• Clarté pour l’utilisateur : Les messages de consentement de Google Drive sont plus explicites, indiquant clairement ce à quoi l’application accède.
• Sécurité des jetons : Google applique des pratiques plus strictes pour stocker les jetons d’accès, réduisant les risques de vol par des sites malveillants.
En résumé, Google Drive adopte une approche plus sécurisée, en respectant le principe du « moindre privilège » – donner à une application seulement ce dont elle a besoin. OneDrive, en revanche, manque de ces contrôles fins, ce qui rend cette faille particulièrement préoccupante.
Pourquoi ça vous concerne ?
Que vous soyez un employé partageant des documents professionnels ou un particulier stockant des photos personnelles, cette faille peut avoir des conséquences graves. Une application malveillante, ou même une application légitime compromise, pourrait accéder à des informations sensibles sans que vous le sachiez. Pour les entreprises, cela représente un risque de fuite de données, surtout si des employés utilisent OneDrive avec des comptes professionnels.
Que fait Microsoft ?
Microsoft a été informé de la faille et a reconnu le problème. Dans une déclaration récente, l’entreprise a indiqué qu’elle « pourrait envisager des améliorations à l’avenir ». Mais, à ce jour (30 mai 2025), aucun correctif n’a été publié, et aucun calendrier n’a été partagé. En attendant, c’est à vous de prendre des mesures pour limiter les risques.
Comment vous protéger ?
Pas besoin d’être un expert en cybersécurité pour agir. Voici des étapes simples :
• Vérifiez vos applications : Allez dans les paramètres de confidentialité de votre compte Microsoft (accessible via votre profil Microsoft) et supprimez les autorisations des applications que vous n’utilisez plus ou qui semblent suspectes.
• Soyez vigilant : Quand une application vous demande d’accéder à OneDrive, lisez attentivement la fenêtre de consentement. Si elle semble demander trop d’accès, refusez.
• Pour les entreprises : Les responsables informatiques peuvent utiliser des outils comme le Centre d’administration Entra pour vérifier quelles applications ont accès aux comptes OneDrive. Vous pouvez aussi activer des règles pour bloquer les applications demandant des permissions excessives.
• Sensibilisez vos équipes : Si vous travaillez en équipe, rappelez à vos collègues d’être prudents lorsqu’ils connectent des applications à OneDrive.
Un rappel pour l’avenir
Cette faille montre à quel point il est important de faire attention aux applications que nous connectons à nos comptes cloud. OneDrive n’est pas le seul service concerné : de nombreuses plateformes peuvent avoir des failles similaires si elles ne sont pas bien conçues. En attendant que Microsoft corrige ce problème, restez proactif et protégez vos données.
Et vous, avez-vous vérifié les applications connectées à votre OneDrive ? Partagez vos astuces ou vos questions en commentaire !
