Une faille critique a récemment été découverte dans Synology Active Backup for Microsoft 365 (ABM), exposant des informations sensibles appartenant à des locataires Microsoft 365 à travers le monde. Cette vulnérabilité, identifiée sous la référence CVE-2025-4679, affecte potentiellement plus d’un million d’organisations qui utilisent cette solution de sauvegarde. Les données exposées incluent notamment les messages Teams, les membres de groupes, les conversations Outlook ainsi que les calendriers, suscitant de sérieuses inquiétudes quant à la sécurisation des données en cloud et à la protection contre les logiciels malveillants ciblant ces infrastructures.
Analyse technique de la vulnérabilité dans Synology Active Backup for Microsoft 365 (ABM)
La vulnérabilité notée CVE-2025-4679 provient d’une fuite d’un secret statique “client_secret” utilisé dans le processus d’installation de Synology ABM. Ce secret, qui agit comme clé maîtresse dans le cadre de l’enregistrement global de l’application Microsoft, était inclus dans l’URL de redirection gérée par le service middleware de Synology, synooauth.synology.com.
- Ce secret était mis à disposition dans une requête HTTP lors de la configuration de l’ABM, exposant ainsi la clé à toute entité surveillant le trafic réseau.
- En possession de ce secret et de l’ID client correspondant, un attaquant pouvait obtenir des jetons d’accès via Microsoft Graph API.
- Aucun accès préalable au réseau ou à l’infrastructure Synology n’était nécessaire pour exploiter cette faille.
| Élément | Description | Conséquence |
|---|---|---|
| client_secret dans URL de redirection | Exposé lors du processus d’authentification middleware synooauth | Permet l’accès non autorisé aux données des locataires Microsoft 365 |
| Accès à Microsoft Graph API | Utilisation du client_id et client_secret compromis | Lecture en lecture seule des messages Teams, calendriers et e-mails Outlook |
| Impact réseau | Exploitation possible sans intrusion dans l’environnement cible | Défaut total de confidentialité des données entreprises |
Origine de la faille et découverte par les chercheurs
La vulnérabilité a été mise au jour par les chercheurs en sécurité de modzero lors d’une simulation offensive. Ils ont démontré qu’en surveillant simplement une installation Synology ABM, il était possible d’extraire la clé administrateur globale, conférant un accès en lecture aux données Microsoft 365 de tous les clients ayant accordé les permissions à l’application Active Backup.
- La clé compromise correspond à l’autorisation d’accès globale du service ABM dans Microsoft 365.
- Cette faille exploite la gestion des tokens et identifiants au sein du service middleware de Synology, un point critique pour la sécurité.
- Les risques associés incluent espionnage industriel, repérage pour attaques de ransomware, et vol massif d’informations sensibles.
| Date de signalement | Réaction de Synology | Notation CVSS |
|---|---|---|
| 4 avril 2025 | Correction apportée au middleware sans demande d’action particulière côté client | 6.5 (modérée) par Synology vs 8.6 (haute) par les chercheurs |
Conséquences et recommandations autour de la gestion des données et la sécurité cloud
L’exposition d’un secret critique dans une solution de sauvegarde en cloud comme Synology ABM illustre le danger majeur des vulnérabilités dans la chaîne logistique des services cloud. Cette brèche montre que même des outils destinés à renforcer la protection des données peuvent introduire des failles sévères si la gestion des identifiants et des permissions n’est pas rigoureuse.
- Les organisations équipées de Synology ABM sont invitées à vérifier les accès et permissions attribuées dans leur environnement Microsoft 365.
- La mise en place de mesures de surveillance réseau et de journalisation des accès est primordiale pour détecter toute activité suspecte.
- Le recours à des solutions de gestion d’identités plus granulaires peut limiter l’impact de ce type de compromission.
- Les utilisateurs doivent être informés des risques liés à la délégation excessive des permissions à des applications tierces.
| Mesures recommandées | Objectif | Action |
|---|---|---|
| Audit des applications tierces | Identifier les permissions abusives | Revue régulière des accès sur Microsoft 365 |
| Renforcement de la journalisation | Surveillance des accès aux données sensibles | Mise en place de logs détaillés et alertes en cas d’anomalies |
| Application des mises à jour | Corriger les vulnérabilités connues | Installer les patchs Synology dès leur disponibilité |
Source: gbhackers.com
- Le menu ‘Envoyer vers’ de Windows 11 est un désordre : comment le réparer en quelques secondes - avril 10, 2026
- Ces 5 fonctionnalités de Windows 11 m’énervaient, mais j’ai trouvé comment les maîtriser - avril 9, 2026
- Microsoft s’attaque enfin au problème des applications web sous Windows 11 : une amélioration attendue de longue date - avril 8, 2026
