À cause d’un bug, Microsoft a perdu une partie des logs de sécurité de certains clients !
Microsoft a envoyé une notification à certains de ses clients pour les informer qu'un bug avait engendré la perte d'une partie des journaux liés à la sécurité. Que s'est-il passé ? Voici ce que l'on sait.
Pendant environ 2 semaines, certains journaux n'ont pas été collectés de façon cohérente par les services de Microsoft, notamment entre le 2 et le 19 septembre 2024. Les journaux perdus sont directement liés à la sécurité puisqu'il s'agit d'informations utiles pour analyser le trafic, détecter les tentatives de connexions suspectes, etc.... Le fait qu'il y ait un « trou dans la raquette » au niveau des journaux, fait que certaines actions malveillantes peuvent passer inaperçues...
Plusieurs services sont concernés et chacun d'entre eux est plus ou moins affectés. Voici la liste fournie par Microsoft dans un rapport d'analyse post-incident :
- Microsoft Entra : journaux de connexion et journaux d'activité potentiellement incomplets.
- Azure Logic Apps : des pertes intermittentes ont été constatées dans les données télémétriques des analyses de journaux, des journaux de ressources et des paramètres de diagnostic des Logic Apps.
- API d'Azure Healthcare : journaux de diagnostic partiellement incomplets.
- Microsoft Sentinel : pertes potentielles dans les journaux ou les événements liés à la sécurité, affectant la capacité des clients à analyser les données, à détecter les menaces ou à générer des alertes de sécurité, puisqu'il s'agit du SIEM de Microsoft.
- Azure Monitor : résultats réduits par manque d'information, lors de l'exécution de requêtes basées sur des journaux provenant des services concernés. Dans les scénarios où les clients ont configuré des alertes basées sur ces données de journal, l'alerte peut avoir été affectée.
- Azure Trusted Signing : les journaux SignTransaction et SignHistory étaient partiellement incomplets, ce qui entraînait une réduction du volume des journaux de signature et une sous-facturation.
- Azure Virtual Desktop : journaux partiellement incomplets dans Application Insights. La connectivité et les fonctionnalités principales d'AVD n'ont pas été affectées.
- Power Platform : des divergences mineures affectent les données dans divers rapports, notamment les rapports d'analyse dans le portail Admin et Maker, les rapports sur les licences, les exportations de données vers le Data Lake.
Que s'est-il passé ?
Ce problème est lié à une modification récente effectuée sur le service de collection des journaux de Microsoft. L'entreprise américaine a corrigé un problème dans son service, et ce correctif a introduit ce bug à l'origine de la perte de données.
Désormais, le problème est résolu, comme l'explique John Sheehan, Vice-président Corporate chez Microsoft : "Nous avons atténué le problème en annulant une modification de service. Nous avons communiqué avec tous les clients concernés et nous leur fournirons l'assistance nécessaire."
