Microsoft devra expliquer au gouvernement français l’échec d’une base de données d’assistance à la clientèle qui a exposé près de 250 millions d’enregistrements. Senacon (le Secrétariat national à la consommation) a informé la société et lui a donné dix jours pour recevoir une réponse.
La notification demande si la base de données contient des enregistrements d’utilisateurs résidant en France. L’agence liée au ministère de la justice veut également savoir si les informations ont été consultées par des tiers et comment l’entreprise signale l’incident aux utilisateurs concernés.
L’erreur a été confirmée par Microsoft mercredi dernier (22) et s’est produite en raison d’une modification des paramètres de sécurité de la base de données. Le changement a eu lieu le 5 décembre et a été corrigé le 31 décembre.
Selon l’entreprise de sécurité Comparitech, qui a découvert la brèche, les données n’ont été visibles dans les moteurs de recherche qu’à partir du 29 décembre. Dans cet intervalle de deux jours, les informations pouvaient être consultées dans le navigateur sans qu’il soit nécessaire d’utiliser un mot de passe ou tout autre type d’authentification.
Dans sa déclaration, Microsoft a indiqué qu’elle avait informé les clients concernés mais a assuré qu’elle n’avait pas identifié d’accès abusif. L’entreprise a également déclaré que “la plupart des clients n’ont pas vu leurs informations personnelles exposées” car elles sont automatiquement supprimées de la base de données.