Un chercheur en sécurité accuse Microsoft d’avoir modifié le comportement d’Azure Backup for AKS après le signalement d’une potentielle élévation de privilèges critique, sans publication de CVE. L’éditeur conteste de son côté l’existence même d’une vulnérabilité.
Le différend entre un chercheur en sécurité et Microsoft autour d’Azure Kubernetes Service (AKS) relance une question récurrente dans le cloud public. Lorsqu’un fournisseur modifie discrètement le fonctionnement d’un service managé, sans bulletin de sécurité ni CVE, les entreprises clientes disposent finalement de peu de visibilité sur ce qui a réellement changé.
Un rôle peu privilégié capable d’obtenir des droits étendus
Le chercheur à l’origine du signalement affirme qu’un utilisateur disposant du rôle « Backup Contributor » pouvait obtenir des privilèges cluster-admin sur un environnement AKS. Selon lui, cette configuration permettait potentiellement d’accéder à des ressources Kubernetes sensibles hébergées sur Azure. Le chercheur explique également avoir constaté un changement de comportement après son signalement, ce qui laisse penser, selon lui, qu’une correction aurait été appliquée côté Microsoft.
Microsoft réfute l’analyse du chercheur
Microsoft conteste toutefois cette lecture. Interrogé par BleepingComputer, l’éditeur affirme qu’aucun correctif n’a été déployé et que le comportement décrit correspond au fonctionnement normal du service. Aucun CVE n’a donc été publié. Or, dans les processus classiques de gestion des vulnérabilités, l’attribution d’un CVE permet généralement de formaliser l’existence d’un problème reconnu par l’éditeur ou par les organismes de référencement.
Avec les services managés, ces mécanismes deviennent plus difficiles à appliquer puisqu’ils restent entièrement contrôlés par les fournisseurs, qui peuvent modifier certains comportements directement côté plateforme, sans correctif visible pour les clients.
Une visibilité plus limitée pour les entreprises
Avec les environnements SaaS et PaaS, les notions habituelles de patch management deviennent parfois plus floues. Certaines évolutions techniques peuvent être déployées en continu, sans communication publique détaillée ni changement de version identifiable. Cette approche permet souvent des corrections rapides, mais elle réduit aussi la capacité des entreprises à comprendre précisément ce qui a été modifié sur les services qu’elles utilisent.
Des enjeux de gouvernance et de conformité
Les entreprises s’appuient sur les CVE et les bulletins de sécurité pour évaluer leur exposition, suivre leurs obligations de conformité et documenter leurs risques. Lorsqu’un comportement potentiellement sensible est modifié sans communication explicite, il devient plus compliqué de savoir si un environnement a réellement été exposé ou si des mesures spécifiques auraient dû être prises.
Dans le cloud public, les clients disposent finalement de moins de visibilité technique qu’avec des infrastructures traditionnelles et doivent davantage s’en remettre aux informations communiquées par les fournisseurs.
