Le stockage est l’un des grands succès de l’informatique en nuage.
Malheureusement, la sécurité des données hébergée, souvent confidentielles, laisse à désirer.
AWS S3 étant le plus populaire, il est le plus souvent impliqué dans des fuites de données.
Dernier exemple en date, le service en ligne de réservation hôtelière Groupize, spécialisé dans les besoins de plusieurs chambres à la fois, aurait, d’après Kromtech Security Center, qui l’en a informé le 9 août, laissé une partie de son stockage AWS S3 en accès libre, sans nom d’utilisateur ni mot de passe, sous le domaine AWS ‘prm-production’.
L’entreprise de Boston nie toute fuite de données, reconnaissant qu’elle utilise le service de stockage d’Amazon Web Services, mais pas pour des données sensibles.
Toutefois, le bucket (compartiment de données) a depuis été fermé.
D’après les chercheurs, il y avait bien des données hautement confidentielles, y compris des copies de contrats entre Groupize et des établissements hôteliers, détaillant la commission perçue par le service en ligne, des contrats entre Groupize et ses clients, des formulaires de paiement complets (numéro, date d’expiration et code CVV de cartes de crédit).
Cette année, c’est également par le biais de données non sécurisées hébergées sur AWS S3 que l’opérateur télécoms américain Verizon a laissé fuiter les données personnelles de 14 millions de clients, que Dow Jones, la maison mère du Wall Street Journal, a laissé fuiter les données financières de près de 4 millions de clients,
La recherche des termes password et AWS dans un moteur de recherche permet également bien souvent d’obtenir le mot de passe de stockage sur AWS S3.
Le b.a.-ba de la sécurité est de ne pas sauvegarder en dur des mots de passe dans des fichiers de configuration, et surtout pas en clair. Toutefois, c’est un raccourci dangereux pris bien souvent par les programmeurs de start-up comme de grandes entreprises.
Une telle nonchalance n’est pas conforme avec le droit français, ni avec le droit de la plupart des pays, et expose les entreprises responsables à des amendes et à des poursuites.