S3

S3 (Amazon Simple Storage Service) est un service de stockage d'objets en ligne d'Amazon Web Services (AWS). Bien que très pratique, il peut être très mal utilisé. Résultat : on assiste en ce moment à un florilège de divulgation de données via des S3 fonctionnant très bien mais mal paramétrés.

Il existe des variantes avec d'autres produits mal configurés, comme le service ElasticSearch, qui peut se révéler tout aussi fatal aux informaticiens peu consciencieux (ou débordés), ou la base MongoDB mal sécurisée par défaut.

Aws-s3-public.jpg

Responsabilité partagée

La presse se fait souvent l'écho de fuite d'informations liées à S3, allant parfois jusqu'à annoncer une faille sur S3. Or il s'agit d'un service d'infrastructure (IaaS), dont la sécurité est partagée entre le fournisseur d'accès et le client utilisateur du service : le fournisseur est responsable de la sécurité du cloud, le client est responsable de la sécurité dans le cloud.

Le fournisseur est responsable du bon fonctionnement du service, rien de moins mais rien de plus : il doit juste répondre au contrat de service. Par exemple, s'il y a un mécanisme d'autorisation d'accès, il doit s'assurer qu'il est efficace et qu'il fonctionne comme attendu, sans erreur, sans interruption, etc.

De l'autre côté, le client paramètre ce mécanisme d'autorisation d'accès comme il le souhaite. S'il laisse son compartiment S3 ouvert à tout vent (par erreur, par mégarde, par bêtise), c'est de sa faute.

Les failles S3, à qui la faute ?

Et bien jusqu'à présent, toutes les failles sur S3 sont dues à un mauvais paramétrage par le client. Pourtant AWS indique en grand le risque encouru, lors du paramétrage.

Tant et si bien qu'à partir de février 2018, AWS ajoute gratuitement le contrôle sur les droits d'accès sur S3[1] dans son service Trusted Advisor (ce contrôle était jusqu'alors réservé aux clients ayant un niveau de support payant). Début 2018[2], on estimait que 7% des buckets S3 étaient accessibles en lecture sans restriction (ce qui est parfois voulu, pour l'hébergement d'éléments web statiques), et que 2% étaient également accessible en écriture sans contrôle (là je suis moins sûr que ça soit normal).

Aws-trusted-advisor-s3.jpg

Quelques exemples

  • Mars 2018
  • Avril 2018
    • 1,2 To de données correspondant à 48 millions de personnes, non protégées par LocalBox, une société de profilage publicitaire au profil douteux[5].
  • Mai 2018
    • Divulgation de données de 15 ou 20 000 joueurs de cricket indiens[6][7].
    • Divulgation de données du service social de Los Angeles[8].
    • Mots de passe de l'application TeenSafe en clair[9].
    • Une société d'assurance (AgentRun) laisse des milliers de données de souscripteurs[10] en accès libre
    • Honda laisse à disposition les informations de 50 000 véhicules et de leur propriétaires[11].
  • Juillet 2018
    • Des milliers de données électorales américaines ont été exposées publiquement par une petite société (Robocall) qui les commercialisait[12].
    • Une société israélienne expose des données de 14 millions de clients[13] de l'opérateur téléphonique Verizon.
  • Août 2018
    • GoDaddy, un célèbre hébergeur web, laisse des informations d'infrastructures de 24 000 machines sur un bucket S3 mal configuré[14].
  • Septembre 2018
    • Une société disons de surveillance (= qui produit un logiciel d'espionnage, surfant sur la vague de peur pour alimenter celle de l'insécurité) a laissé une quantité astronomique[15] de données récoltées auprès des utilisateurs surveillés accessibles sur S3[16].

La faute d'Amazon ?

Pas uniquement puisque la plupart des fournisseurs de services nuagiques proposent des services permettant le partage de façon publique ; on a vu que Google via Groups recelait de très nombreux documents[17] qui n'ont pas à être exposés au grand public. Or les personnes ayant le rôle d'administrateur Google Groups n'ont pas toujours de hauts compétences en administration[18], ce qui est normal vu le public visé par le service de Google.

Voir aussi

Références

  1. « La vérification des autorisations du compartiment S3 d'AWS Trusted Advisor est désormais gratuite », sur Amazon Web Services, (consulté le 27 février 2018)
  2. (en) Catalin Cimpanu, « 2% of Amazon S3 Public Buckets Aren't Write-Protected, Exposed to Ransom Attacks », sur BleepingComputer,
  3. (en) Bob Diachenko, « Walmart jewelry partner exposed 1.3 million customer details », sur MacKeeper,
  4. (en) « Password manager maker Keeper hit by another security snafu », sur ZDNet,
  5. (en) « Block Buster: How A Private Intelligence Platform Leaked 48 Million Personal Data Records », sur UpGuard,
  6. (en) Waqas, « Indian Cricket Board Exposes Personal Data of Thousands of Players », sur HackRead, (consulté le 16 mai 2018)
  7. (en) « BCCI exposed players' personal sensitive data », sur MacKeeper™ Security Research Center (consulté le 16 mai 2018)
  8. (en) « L.A. County reveals 'possible breach' of personal data from social services hotline », sur Los Angeles Times,
  9. (en) « Teen phone monitoring app leaked thousands of user passwords », sur ZDNet (consulté le 20 mai 2018)
  10. (en) « Insurance startup leaks sensitive customer health data », sur ZDNet,
  11. (en) « Honda leaked personal information from its Honda Connect App », sur MacKeeper™ Security Research Center (consulté le 31 mai 2018)
  12. (en) « Thousands of U.S. Voter Personal Records Leaked by Robocall Firm », sur ThreatPost,
  13. (en) « Millions of Verizon customer records exposed in security lapse », sur ZDNet.com,
  14. (en) UpGuard, « Public Domain: How Configuration Information For the World's Largest Domain Name Registrar Was Exposed Online » (consulté le 14 août 2018)
  15. (en) Lorenzo Franceschi-Bicchierai et Emanuel Maiberg, « Spyware Company Leaves ‘Terabytes’ of Selfies, Text Messages, and Location Data Exposed Online », sur Motherboard, (consulté le 4 septembre 2018)
  16. (en) David Mundy, « Yet Another S3 Bucket Leak ... SpyFone's Data Exposed! », sur DivvyCloud, (consulté le 4 septembre 2018)
  17. (en) Eduard Kovacs, « Thousands of Organizations Expose Sensitive Data via Google Groups », sur securityweek.com,
  18. (en) Kenna Security, « Widespread Google Groups Misconfiguration Exposes Sensitive Information », sur kennasecurity.com,