Cette vulnérabilité dans OneDrive donne un accès complet à vos fichiers

L’analyse publiée par Oasis Security détaille une faille de conception qui ne saute pas aux yeux. Quand un utilisateur ouvre la fenêtre de sélection et choisit un fichier, il pense ne transmettre qu’un document précis. Pourtant, l’autorisation accordée couvre l’intégralité du compte. L’interface ne prévient pas que le service tiers pourra ensuite consulter d’autres fichiers, même sans interaction supplémentaire.

Dans le détail, la fenêtre d’autorisation ne propose pas de limiter l’accès à un fichier unique. Elle donne à l’application une lecture complète de tous les documents stockés dans OneDrive. Le chercheur précise que « l’invite est vague et ne transmet pas de manière adéquate le niveau d’accès ». Cette ambiguïté ouvre la voie à des abus, notamment si l’application conserve un jeton d’accès sans que l’utilisateur le sache.

Le risque s’étend aux services qui s’intègrent à OneDrive via OAuth. Dans ces cas, l’autorisation peut rester active plusieurs jours, voire davantage. Certaines applications récupèrent également un « refresh token », qui leur permet de renouveler l’accès à tout moment sans repasser par l’utilisateur. Aucune alerte ne prévient de cette persistance. La fenêtre de sélection, de son côté, reste la même.