Un problème d’accessibilité chez Capital One a fait les gros titres
Fait décevant, un certain nombre de rapports, notamment dans le Wall Street Journal, ont évoqué les dangers du Cloud public, en particulier concernant le stockage des données. Le 31 juillet, un avertissement général a été lancé. Mais, le lendemain, une alarme générale a été donnée : Capital One utilisait AWS, ce qui signifie que d’autres utilisateurs d’AWS pouvaient également être vulnérables. Cependant, parmi les entreprises mentionnées dans l’article, toutes ne sont pas clientes d’AWS.
Une grande partie de la spéculation est liée à la découverte que le pirate présumé avait en sa possession d’autres données que celles de Capital One. Tout d’abord, étant donné qu’il s’agissait d’un pirate informatique présumé, cela ne devrait pas vraiment nous surprendre. Deuxièmement, ne tirons pas de conclusion hâtive selon laquelle l’utilisation d’AWS est en cause, dans la plupart des cas.
La sécurité des données, ou la sécurité des informations, est motivée par deux éléments : la disponibilité et l’accessibilité. La disponibilité est la pratique qui consiste à s’assurer que les données et les applications sont disponibles. C’est peut-être une tautologie, mais il est important de la répéter. L’accessibilité consiste à s’assurer que seules les personnes ou les fonctions censées accéder aux données et aux applications y accèdent. Si ces deux éléments sont assurés, le nom de votre entreprise n’apparaîtra pas dans le journal accompagné des termes « violation massive de données ».
Dans l’affaire Capital One, le principe de l’accessibilité a été brisé : une personne et un processus qui n’étaient pas censés accéder aux données y ont accédé. Au cours de la dernière semaine, une autre histoire est bien plus proche de l’incident de Capital One et n’y a pas été associée. Le 5 août, la banque challenger Monzo a conseillé à un demi-million de ses clients de changer leurs codes secrets, après avoir découvert une faille dans ses processus de stockage de données qui violait ce principe d’accessibilité. Les codes secrets des clients avaient été stockés à des endroits où les ingénieurs pouvaient y accéder et les déchiffrer. S’il y avait eu une intention criminelle, l’histoire aurait été bien plus retentissante.
D’après les informations qui ont été publiées jusqu’à présent sur Capital One, nous savons qu’un problème de configuration du serveur a été exploité pour permettre un accès et le détournement des informations d’identification, pour ensuite accéder aux données et les extraire vers un endroit où elles n’étaient pas censées être.
Cela aurait également pu se produire sur un serveur dans un data center d’entreprise ou dans un centre de colocation (data center tiers). Dans la plupart des cas, la violation aurait été plus grave si elle avait eu lieu dans un data center d’entreprise, où la majeure partie de la protection contre une violation est assurée par une coque extérieure résistante. Une fois à l’intérieur, les niveaux de sécurité sont en général relativement faibles entre les applications, ce qui signifie que d’autres systèmes du data center seraient des cibles faciles pour une attaque.
En revanche, le niveau de sécurité entre les comptes des principaux fournisseurs de services Cloud est très élevé. AWS est un exemple dans lequel le passage d’un compte à l’autre revient à se déplacer entre les data centers : la protection est élevée entre les comptes. À bien des égards, il est plus sûr de stocker des données auprès des principaux fournisseurs de services Cloud que partout ailleurs. La qualité de leurs équipes de sécurité est excellente, la sécurité physique qui entoure les data centers est très bonne, le support qu’ils fournissent pour l’utilisation de la ressource est très utile, et ils maintiennent tous les éléments de l’environnement à jour, avec des correctifs complets. Il faut avoir une discussion sur la concentration des données, leur souveraineté et l’attaque physique. Pour en savoir plus à ce sujet, vous pouvez écouter l’épisode 44 du podcast Cloudbusting.
La responsabilité de la sécurité de vos données vous incombe toujours, mais il existe toujours le risque que des problèmes systématiques ne causent des problèmes. C’est pourquoi des correctifs sont constamment publiés. Mais le fait de tirer parti de bons outils et processus aidera à augmenter la probabilité que les données ne tombent entre des mains malveillantes.
Je ne doute pas que cette histoire continue de faire du bruit, mais lisez attentivement tous les rapports et ne concluez pas hâtivement qu’il existe un problème systémique avec le Cloud public. Rappelez-vous que nous mettons tout notre argent dans les banques, malgré le fait qu’elles continuent à se faire cambrioler. Devrions-nous remettre notre argent sous le matelas pour autant ?
