Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

Office 365 - Quand Microsoft fait évoluer ses outils tellement vite qu'il crée des trous de sécurité

17 Novembre 2016 , Rédigé par Fabrice Poiraud-Lambert Publié dans #Outils

Si nous avons passé des années à brocarder Microsoft pour ses mises à jour tous les 4 ans, force est de constater que l'éditeur à renversé la tendance, au point de placer ses clients dans des situations parfois inextricables.

Désormais, les évolutions sont publiées tellement vite que même les consultants spécialisés sont pris de court et peinent à en suivre le rythme et les impacts. Pour ne pas parler des clients qui ne savent même plus comment faire face à un déferlement d'évolutions qui nécessitent une prise en considération parfois critique. 

Deux exemples très récents pour illustrer le propos : 

- Flow : Solution géniale de process automation dédié à l'utilisateur final. Ou comment détecter un évènement dans une solution (par exemple la publication d'un fichier dans Sharepoint) pour déclencher un évènement (par exemple publier une notification de cette publication de fichier dans Yammer).

Sauf que la solution semble aussi géniale que dangereuse : c'est en effet un outil fantastique pour détourner de l'information interne automatiquement vers l'extérieur, via des règles simples comme : "Si un nouveau fichier est publié dans Sharepoint, le copier dans mon Dropbox perso"... Le cauchemard des Responsables Sécurité !

Et c'est là que ça se complique : il existe bien une licence d'administration "P2" dédiée à Flow, qui permet de limiter les applications autorisées dans les Flux. En théorie, cela devrait donc permettre d'éviter que l'utilisateur final puisse détourner des données internes vers l'extérieur. 

Sauf que... n'importe quel utilisateur peut se créer une licence "P2", et se créer un "environnement" Flow avec ses propres règles de sécurité, sur votre prod. Et cet environnement peut être partagé avec d'autres collaborateurs. 

- Office Groups : Savez vous comment détourner les emails de votre patron ? C'est très simple : vous créez un Office Groups avec son nom orthographié légèrement différement. Par exemple, s'il s'appelle "Jean-Pierre Durant", créez un groups "Jean Pierre Durant". Cela crée une entrée visible dans le carnet d'adresses, et une partie des utilisateurs s'y trompera, en envoyant les emails au mauvais endroit. Ok, ce n'est pas très malin, et surtout un poil trop visible.

Alors certains auront la tentation de désactiver la création des Groups depuis Outlook. Mais avez vous pensé à désactiver aussi la création des "Plans" depuis Planner ? Car ils génèrent aussi des Groups ! Pour ne pas mentionner "Teams", qui arrive prochainement, et qui génère aussi des Groups ! Bloquer toutes ses solutions pénalisera cependant leur adoption. 

Bref, a moins de scripter des agents de surveillance ou de renommage, il ne vous restera plus qu'à forcer des préfixes devant tous vos Groupes (incluant les Groupes de distribution, les groupes de droits,...) depuis la console d'administration. Il restera alors à espérer que cela ne cassera pas les plans de nommage que vous avez mis tant de temps à concevoir.

 

 

 

 

Partager cet article

Repost 0

Commenter cet article