Le Cloud a ses avantages et ses inconvénients, principal intérêt avancé par les sociétés spécialisées : la sauvegarde des données importantes, l’accessibilité 24/7, la synchronisation vers des partenaires multiples...
Ainsi on apprend que des milliers de comptes de stockage du service Cloud d’Amazon ne seraient pas sécurisés et permettraient un accès direct à des fichiers comme des photos, des dossiers d’entreprise et autres données sensibles.
D’après Net Security, le problème serait lié à une mauvaise configuration initiale des paramètres de confidentialité des comptes. Ainsi, des développeurs, sociétés et particuliers ayant souscrit au service Cloud d’Amazon n’auraient pas configuré leur espace personnel en mode « privé » et rendent de ce fait l’ensemble de leurs données parfaitement accessibles.
Will Vandevanter aurait ainsi réussi à mettre la main sur 12328 adresses de stockage Amazon S3, dont 1951 seraient en accès public.
D’après ces 1951 espaces ( buckets ) l’expert en sécurité a recensé une liste de 126 milliards de fichiers. Une quantité de données trop importante pour permettre d’être correctement analysée dans sa totalité.
Néanmoins, sur un échantillon de 40000 fichiers disponibles en accès public, l’expert aurait mis la main sur les données personnelles d’un « média social de moyenne taille », ainsi que les bilans d’un concessionnaire, des tableurs et organigrammes mentionnant des employés, des sauvegardes de base de données non cryptées ou encore des codes source de jeux vidéo de divers développeurs de jeux mobiles.
Au total, 60% de ces fichiers seraient des images, et les grosses sociétés seraient concernées par la faille puisque will Vandevanter s’est basée sur les 1000 compagnies les plus connues et fortunées et le top 100 000 des sites d’Alexa pour tester des adresses renvoyant éventuellement vers des domaines de type amazonaws.com.
Amazon définit les comptes S3 en mode privé par défaut, néanmoins les buckets peuvent être ouverts au public pour permettre de partager des informations avec des collaborateurs, la presse ou autre intervenants. L’affaire tournerait donc à l’erreur de manipulation de la part du client, néanmoins, Amazon prend la chose très au sérieux et a déjà entrepris de rappeler à ses clients l’accessibilité d’une partie de leurs données. En outre, la société devrait mettre prochainement en place un système permettant de mieux surveiller la gestion des librairies et de détecter les erreurs de configuration.
