Des données du Pentagone stockées sur AWS accessibles publiquement
Publié par Christophe Lagane le | Mis à jour le
A travers Amazon Web Services, le Pentagone a laissé pendant des mois, voire des années, l'accès public à des milliards de données collectées en ligne.
La documentation de trois bases de données du ministère de la Défense américain (Department of Defense) est restée publiquement accessibles pendant des mois, voire des années, depuis les infrastructures d'Amazon Web Services (AWS). C'est ce que vient de révéler UpGard.
Le 6 septembre dernier, la société de sécurité découvrait que les services de stockage S3 (Simple Storage Service) d'AWS hébergeant les trois dépôts de données étaient configurés de manière à être accessible à n'importe quel utilisateur des services Web d'Amazon dans le monde. Qui plus est avec un compte gratuit.
Autrement dit, n'importe qui pouvait naviguer dans les bases de données du Pentagone et les télécharger.
Des milliards de contenus web
Dans son billet blog, UpGard révèle que les fichiers des services de la Défense américaine contiennent des données capturées sur le Web au cours des huit dernières années.
Données issues aussi bien de sites d'actualités, notamment en provenance des rubriques commentaires, que des réseaux sociaux type Facebook et des forums. L'une des bases de données contient plus de 1,8 milliard de contributions en ligne.
Au total, ce sont donc des milliards de contenus, certes publics, mais regroupés au sein d'un même ensemble de fichiers.
Ces données ont été rassemblées par le Centcom (commandement central des États-Unis, basé à Tampa, en Floride, et responsable des opérations militaires américaines de l'Afrique de l'Est à l'Asie centrale, y compris les guerres en Irak et en Afghanistan) et le Pacom (son équivalent pour la zone Asie-Pacifique, y compris l'Australie et l'Océanie Pacifique).
Si cette collecte issue des quatre coins de la planète dans de nombreuses langues a, selon toute évidence, été menée à des fins de sécurité, elle « soulève de graves questions sur la vie privée et les libertés civiles », souligne UpGrade.
« En outre, on ne sait toujours pas pourquoi et pour quelles raisons les données ont été accumulées, ce qui montre qu'il est très probable que la majorité des publications capturées proviennent de civils respectueux des lois dans le monde entier. »
Les risques du recours à un tiers dans le Cloud
Cette propagation d'informations sensibles non contrôlées pose aussi de sérieuses questions sur les risques que les agences gouvernementales, comme les entreprises, prennent lorsqu'elles décident de basculer leurs données dans le Cloud.
Dans le cas de la présente affaire, UpGrade rapporte que la solution et les services utilisés pour créer et gérer les données en ligne ont été fournis par une société privée, VendorX, qui a apparemment disparu du marché.
« Cette fuite en ligne est une illustration frappante de la façon dont le recours à des fournisseurs tiers peut être dommageable, capable même d'affecter les plus hauts échelons du Pentagone », souligne la société américaine qui propose des services de préventions des cyber-risques.
Pourtant, AWS configure son service de stockage en mode privé par défaut. Comment expliquer cette exposition d'information ? VendorX ou des agents du Pentagone ont-ils paramétré l'accès aux données en mode public volontairement ou par erreur ?
Ce ne serait pas le premier cas d'une grave faille de sécurité à cause d'une mauvaise configuration des instances S3.
Accenture, Verizon Communications, Dow Jones & Co ou encore les fournisseurs pour l'Armée et la Défense américaines TigerSwan et Booz Allen Hamilton, respectivement, ont également connus des déboires similaires, rappelle Silicon Angle.
Lire également
Stockage Cloud : Amazon Web Services sécurise son offre S3
La panne d'Amazon S3 due à une erreur humaine
560 millions de mots de passe disponibles sur le web