NLTO
Not Like The Others
- Magazine hors norme pour hyperactifs distingués -





Fuite de données en Équateur : une preuve de la nécessité de sécuriser le cloud public




11 Octobre 2019

Pendant des années, la sécurité a été l’une des principales raisons invoquées pour ne pas déplacer les données sensibles ou les workloads critiques dans le cloud public. La situation a depuis évolué, car l’adoption massive du cloud public a été nécessaire pour soutenir les initiatives de transformation numérique. Mais ces projets de numérisation n’ont pas toujours pris en compte les questions inhérentes de sécurité. Ainsi, le 17 septembre 2019, la société de sécurité vpnMentor a découvert que les données personnelles de la quasi-totalité des quelques 17 millions de citoyens équatoriens – dont 6,7 millions d’enfants – avaient été exposées sur un serveur non sécurisé à Miami.


En pratique, les entreprises utilisent souvent des applications critiques SaaS et le cloud public pour les données clients réglementées. Le cloud est également adopté par des organisations du secteur public pour stocker de grandes quantités de données personnelles des citoyens, comme en
Équateur avec les conséquences que l’on connait.

Cette faille de sécurité s’est retrouvée en Une des media en raison de son ampleur et, surtout, de la quantité phénoménale d’informations exposées : les numéros d’identification officiels attribués par le gouvernement, les numéros de téléphone, les dossiers familiaux, les dates de mariage, les antécédents scolaires ou encore les dossiers professionnels. Cette fuite de données a été rendue possible en raison d’une vulnérabilité sur un serveur AWS Elasticsearch non sécurisé. Initialement on pensait que le gouvernement équatorien avait lui-même stocké les données sur ce serveur, mais il est apparu au bout de quelques jours que Novaestrat, une société locale d’analyse de données, était responsable du serveur non sécurisé. Elle avait laissé les données exposées en ligne sans mot de passe, permettant ainsi à quiconque d’y accéder.

Cette faille de sécurité majeure illustre que les organisations stockant des données de clients, ou de citoyens, dans le cloud public doivent identifier clairement les responsabilités de chacun en matière de sécurité. La plupart des fournisseurs de services cloud fonctionnent selon un modèle de responsabilité partagée : le fournisseur gère la sécurité jusqu’à un certain point et, au-delà, elle devient la responsabilité des utilisateurs. Les fournisseurs de services de cloud publics prodiguent des conseils clairs sur ce modèle, pour garantir la sécurité et la conformité. Cependant, ces recommandations sont souvent ignorées. Ainsi, le principal avantage que les organisations espèrent tirer de l’utilisation du cloud est la possibilité de se décharger complètement, ou en partie, de la sécurité sur le fournisseur du services. De plus, de nombreuses entreprises confient entièrement la sécurité de leurs workloads dans le cloud au fournisseur, tout en étant conscientes que cela ne leur assurera pas une protection optimale. Ce flou existant autour du partage des responsabilités est très inquiétant : les organisations font finalement preuve d’un excès de confiance en leurs fournisseurs de services cloud pour sécuriser leurs données et ressources critiques.

Il existe en outre une méconnaissance généralisée quant à l’existence de comptes, de secrets et d’identifiants à privilèges dans les environnements IaaS et PaaS ; ils devraient pourtant être protégés, tout comme ils le sont dans un environnement sur site, dans la mesure où les attaquants cherchent spécifiquement à compromettre ces informations à privilèges pour atteindre efficacement leurs objectifs. Il est préoccupant de constater que si peu d’organisations se dotent de stratégies adéquates pour les protéger, s’exposant de fait à un risque considérable, notamment pour les données de leurs clients.

L’Équateur n’est pas le premier gouvernement à exposer les données de ses citoyens sur un serveur non sécurisé dans le cloud ; et il ne sera probablement pas le dernier.  En effet, un serveur similaire d’Elasticsearch a exposé les choix électoraux d’environ 14,3 millions de personnes au Chili, soit près de 80 % de sa population. Alors que de plus en plus d’agences gouvernementales se tournent vers le cloud pour améliorer leur flexibilité et mieux servir leurs citoyens, il est essentiel qu’elles continuent à faire évoluer leur stratégie de sécurité dans le cloud pour se protéger proactivement contre les nouvelles menaces – et renforcer ainsi la confiance des citoyens qui dépendent de leurs services.