Vos données sont-elles à l’abri des piratages de “bucket”?

Aux quatre coins du monde, les entreprises collectent, stockent et gèrent des volumes de données toujours plus conséquents.  Un grand nombre de ces entreprises décide de stocker ces données dans le Cloud, car le faire dans leurs propres centres de données serait tout simplement impossible.  Et puis un jour, l’impensable survient - l’entreprise reçoit un courriel de rançon de la part de pirates informatiques expliquant qu'ils ont pris le contrôle des données de l’entreprise dans le Cloud et exigent une forte somme d’argent pour les rendre.  Que faire ?

Tout d’abord, tirer les leçons d’autres entreprises ayant vécu des situations similaires et très médiatisées.  Prenons l’exemple d’Uber en 2016 : l’entreprise décida de payer la rançon en espérant que la violation des données ne soit jamais rendue publique, car, à leurs yeux, cela risquait d’entraîner une perte de confiance de la part de leurs clients.  En outre, cela pourrait être vu comme un signe de vulnérabilité et favoriser d’autres attaques de pirates en quête de rançon.  Hélas pour Uber, le piratage fut révélé fin 2017 et l’entreprise doit désormais affronter la colère de ses clients, de ses actionnaires et des autorités de règlementation.  Comment en sont-ils arrivés là, et comment les entreprises peuvent-elles se prémunir contre des violations de données à une telle échelle ?

L’une des priorités pour les entreprises consiste à connaître les menaces auxquelles elles peuvent être confrontées.  À l’heure actuelle, les environnements IT subissent une véritable et profonde transformation numérique qui voit les infrastructures patrimoniales être remplacées par des solutions modernes à architecture Cloud.  Naturellement, avec l’adoption de plus en plus généralisée des solutions Cloud émerge un nouveau type de menace de sécurité surfant sur la vague des rançongiciels : les « Leaking Cloud Buckets », ou piratage de “bucket”.

Qu’est-ce qu’un ‘leaking Cloud bucket’ ?

Lorsque des données sont exposées sur un Cloud public, le plus souvent à cause d’un seau de stockage (storage bucket) mal configuré, l’incident s’appelle un ‘leaking Cloud bucket’.  

Tous les services de stockage sur le Cloud public proposent des buckets - un terme créé par AWS pour les référentiels contenant des objets de données dans le Cloud.  (Azure les appelle des ‘blobs’).  Les clients d’entreprise peuvent configurer les seaux de stockage comme ils le souhaitent, y compris pour le choix de la région d’hébergement du seau, les règles applicables au cycle de vie des objets se trouvant dans le seau, les droits d’accès généraux et bien plus encore. 

L’année écoulée a vu une véritable déferlante d’incidents similaires affecter des entreprises de grande envergure telles que Uber, Verizon, Viacom, Dow Jones et même des organismes militaires américains.  

À qui la faute ?  Est-ce celle des clients, des fournisseurs du Cloud, des vendeurs de stockage ou des pirates informatiques ?  En réalité, la cause fondamentale du problème n’est pas liée aux fournisseurs des services Cloud impliqués, qu’il s’agisse d’AWS, de Microsoft, d’IBM ou de Google, mais bien à la façon dont sont configurés et utilisés ces seaux par les administrateurs des entreprises.  Au final, la plupart des incidents jaillissent de l’éternel problème d’une erreur de l’utilisateur - sans piratage extérieur requis.

Mais est-ce vraiment si surprenant ?  N’oublions pas que Gartner prédit que 95% des brèches de sécurité dans le Cloud seront imputables au client d’ici à 2020.  Ceux d’entre nous qui travaillent dans le monde informatique depuis un certain temps savent que les erreurs des utilisateurs/administrateurs font depuis longtemps les malheurs des entreprises IT.  Voici ce qu’il se passe dans le cas de ces fameux piratages de “bucket”. 

Ces seaux possèdent deux attributs principaux à ne pas ignorer.  Premièrement, il faut garder à l’esprit que le stockage dans le Cloud, et donc les seaux de stockage, constituent un service partagé qui réside en dehors du Cloud privé et du périmètre du pare-feu ; deuxièmement, les seaux Cloud sont basés sur une architecture de stockage d’objets qui n’applique pas les systèmes de fichiers à listes de contrôle d’accès (ACL) utilisés depuis des années par les entreprises pour définir les permissions granulaires au niveau des fichiers.  

Ce point faible inhérent aux seaux Cloud associé à la relative jeunesse de l’administration du stockage Cloud comparée aux décennies d’expérience entourant le stockage IT traditionnel ou patrimonial résulte en un stockage non protégé et vulnérable, susceptible de tomber entre les mains de pirates informatiques en quête perpétuelle de leur prochaine victime.

Que puis-je faire pour éviter un ‘leaking Cloud bucket’ ?

Fort heureusement, il existe des précautions très simples qui permettent de protéger les données au sein des limites de l’entreprise :  

  1. Chiffrez vos données et gardez précieusement les clés dans votre poche – vos équipes IT dormiront bien plus sereinement la nuit si elles appliquent cette simple règle : toute donnée se trouvant en dehors de l’enceinte de l’entreprise doit être chiffrée.  Tout comme il ne viendrait à l’idée de personne d’accéder à des données sensibles via wi-fi public sans passer par un VPN, les entreprises ne devraient pas utiliser le stockage Cloud public sans chiffrement adéquat de leurs données.  Si les données sont chiffrées au repos et que seuls certains membres du personnel ont accès aux clés de chiffrement, il n’y a alors aucune raison de s’inquiéter si un seau de stockage est exposé : les données chiffrées seront inutilisables pour tout utilisateur non autorisé.  Il s’agit là d’une protection absolument indispensable contre la probabilité - forte ou faible - qu’une erreur soit un jour commise.
  2. Gérez les permissions d’accès – Utilisez un système de contrôle d’accès multi-couche qui commence au niveau des permissions d’accès au seau lui-même et se termine au niveau du fichier pour les tâches requises, préservant ainsi les permissions tout en les reliant aux systèmes centraux d’authentification.
  3. Investissez dans la protection contre la perte de données (DLP) – Utilisez un logiciel DLP pour surveiller les schémas d’accès aux données et détecter toute déviation pouvant indiquer une fuite de données.  Ces outils peuvent aider à bloquer les violations de politique en empêchant les utilisateurs d’envoyer des données sensibles en dehors de l’enceinte de l’entreprise.
  4. Verrouillez les terminaux et les bureaux.  Utilisez des outils de gestion de la mobilité en entreprise/gestion des appareils mobiles (EMM/MDM) pour éliminer la menace du Shadow IT et créer des espaces de productivité sécurisés pour les appareils fournis par l’entreprise et les appareils AVEC (BYOD). 
  5. Effectuez des tests périodiques d’intrusion – Les tests d’intrusion sont indispensables en cas d’ajout d’une nouvelle infrastructure au réseau, comme un stockage dans le Cloud.  Mais réaliser ces tests de façon régulière permet également d’évaluer le niveau de sécurité de l’entreprise et de s’assurer qu’aucune nouvelle fuite n’est apparue.

Toutes ces mesures de sécurité devraient être des priorités pour les entreprises, car c’est uniquement ainsi qu’elles auront une chance de se protéger et d’éviter le même sort que les nombreuses victimes de leaking Cloud buckets.

Sabo Taylor Diab

VP Global Marketing at CTERA Networks

 

Image: