C’est l’histoire d’un stockage Cloud qui expose 50 Go de données d’un compte appartenant à un spécialiste de la Business Intelligence Cloud et provenant probablement d’une banque de l’Etat de Virginie. Une affaire révélée par Upguard, dont le fond de commerce médiatique repose sur les fuites cloud et qui, depuis, a retiré son article.
Dans le rôle du stockage fuiteux l’omniprésent S3 d’Amazon Web Services. Dans celui du client Amazon, la société Birst, laquelle commercialise un service de « cloud-based business intelligence platform ». Et dans le rôle de la victime… ce n’est pas très clair. Upguard désigne tout d’abord la banque Capital One, et affirme avoir retrouvé les noms de quelques clients et des condensats de mots de passe. En d’autres termes, le sésame nécessaire pour pénétrer dans le système de B.I. de Birst… en admettant que l’on puisse trouver moyen d’accéder au-dit système via le réseau interne reliant la banque et son prestataire de service. Voilà qui est moins évident.
Le magazine en ligne HackRead bondit sur l’information, mais rapidement, le banquier dément.« Les seules données qui ont pu être récupérées appartiennent à Birst, les informations concernant nos clients demeurent inviolées » rapporte Silicon Angle. Exploitation fantasmatique, origine des fichiers discutée, le sensationnalisme initial retombe comme un soufflet.
De l’autre côté de l’Atlantique, nos confrères de ZDNet, dans un article signé notamment par Rayna « maliciarogue » Stamboliyska, narrent la mise à nue très discrète de quelques 700 000 identités de lecteurs de l’Express (60 Go au total), retrouvées par le plus grand des hasards sur une machine abandonnée… mais en ligne, dans une base de données accessible sans mot de passe… mais inutilisée. Les informations sont sauvegardées « au cas où » par un bon samaritain résidant en Floride, lequel prévient illico les responsables du média… en vain semble-t-il, car de multiples attaques et tentatives de chantage au « cryptovirus » se succèdent par la suite. « Données antiques, serveur inutilisé depuis longtemps » réplique la direction du journal, ce que démentent nos confrères, preuves à l’appui. Et puis, antique ou pas, le nom d’un abonné ne s’altère pas dans le temps.
Ces deux histoires sans morale ne sont pas sans enseignement.
Les « experts en sécurité », considérés comme source fiable (tel Upguard) bâtissent leur célébrité sur des effets d’annonce, quitte parfois à exagérer certains faits ou avancer des hypothèses fantaisistes. Les habitués de la chasse aux données exposées jouent sur le flou qui existe entre une ressource accessible et une ressource effectivement piratée. La majorité des médias grand public ne font pas cette différence, et la peur fait vendre du papier, voir accessoirement des contrats et des licences logiciel.
D’autres experts en sécurité (Birst, Deloitte …) commettent des erreurs que l’on pourrait parfois qualifier de débutant. C’est d’ailleurs ce genre d’étourderie que chassent quotidiennement les équipes d’Upguard, dans le but de rédiger un billet dans le plus pur style YACSF (Yet Another Cloud Security Failure).
La vérification de l’information et du niveau d’expertise de la source par les médias relève de l’exploit. En toute logique, l’opinion d’un spécialiste de la SSI ne peut être contredite que par un autre spécialiste aussi compétent dans le domaine d’investigation considéré. Et par habitude corporatiste, il est rare qu’un spécialiste SSI se risque à critiquer un confrère. Quant à l’avis de la « victime », il a de fortes chances d’être biaisé, elle-même cherchant à minimiser les risques vis-à-vis de ses propres clients, qu’ils soient lecteurs d’un magazine ou, à plus forte raison, clients d’un organisme bancaire vendeur de « confiance ».
Enfin, les prestataires de services Cloud fonctionnent encore sur le mode « vos données sont nos données à tous », laissant aux exploitants, sous prétexte de souplesse d’utilisation, la responsabilité de gestion des différentes couches de protection, à commencer par le chiffrement systématique des informations hébergées.