Microsoft OneDrive, le service de stockage cloud de Microsoft, fait face à une importante faille de sécurité révélée en mai 2025 par la société Oasis Security. Cette vulnérabilité concerne le composant File Picker, un outil largement utilisé par des sites et applications pour permettre aux utilisateurs de sélectionner et partager des fichiers directement depuis OneDrive.
La faille réside dans une mauvaise gestion des autorisations via le protocole OAuth. Lorsqu’un utilisateur autorise une application à accéder à un fichier spécifique via le File Picker, cette dernière obtient en réalité un accès bien plus large, voire total, à l’ensemble du compte OneDrive de l’utilisateur.
Selon Oasis Security, ce comportement est causé par :
- L’utilisation de scopes OAuth trop permissifs
- L’absence de granularité dans les permissions accordées via le File Picker.
- Le stockage parfois non sécurisé des jetons d’accès OAuth, notamment en texte clair dans le stockage local du navigateur, ce qui ouvre la porte à des attaques côté client.
Cette vulnérabilité pourrait être exploitée pour :
- Lire ou modifier tous les fichiers d’un compte OneDrive sans que l’utilisateur ne s’en rende compte.
- Utiliser des jetons d’accès volés pour maintenir un accès prolongé, même après la fermeture de session.
- Contourner les protections classiques en se faisant passer pour une application légitime.
Aucune attaque massive n’a encore été signalée publiquement, mais la facilité d’exploitation théorique de la faille inquiète les experts.
Microsoft a reconnu l’existence de cette faiblesse dans le design du File Picker et annoncé travailler sur une révision du modèle de permissions OAuth, sans calendrier précis de déploiement à ce jour.
