Les données de 114 millions de citoyens américains et d’entreprises exposées en ligne

1
97

Une société de PenTest estonienne vient de détecter une énorme base de données contenant les données de 114 millions de citoyens américains et entreprises américaines, non protégée et accessible en ligne. Au total au moins 83 millions de personnes seraient impactées.

Julien Cassignol, expert cybersécurité de One Identity, société spécialisée dans la gestion des identités et des accès, commente l’affaire :

« Il est possible qu’à un moment donné, que ce soit dans le cadre de traitement automatisé ou de production, des informations sensibles se retrouvent dans des bases de données sur le moteur de recherche ElasticSearch. Cela présente des risques potentiels et dès lors il faut être en mesure d’assurer la protection de ces bases.

Pour cela, tout est une question d’identité. Qui est censé accéder aux informations ? Qui a accès aux informations à un moment particulier ? Pouvons-nous évaluer le risque lié à la possibilité de consulter ces données ? Comment ce risque est-il atténué ?

 Cette problématique peut être abordée de plusieurs façons et la première serait de considérer l’identité comme le nouveau périmètre. Il est primordial qu’une identité soit correctement définie, gérée tout au long du « flux » de communication entre l’utilisateur et les données, liée aux droits appropriés et authentifiée par des moyens adaptés :  un mot de passe, une authentification multi-facteur ou encore la biométrie.

L’accès à ces données doit se faire dans un contexte légitime. Ce qui ouvre alors la deuxième partie de ce questionnement : Qui a accédé aux bases et dans quel but ? Comment ces accès sont-ils audités ? Ont-ils été fait par un utilisateur privilégié ou par un utilisateur métier légitime ? Ont-ils été générés par des API ?

Il semble tout à fait clair qu’il est préférable d’imposer l’authentification au tout début de ces accès. Que ces données puissent être accessibles sans aucune authentification, ni d’identification, cela ne devrait tout simplement pas être imaginable. L’authentification / identification des personnes ayant accès devrait être l’élément essentiel conformément aux commandements « Connais tes utilisateurs », « Connais leurs droits » …

Si aucune authentification n’a été fournie, le premier commandement n’a pas été respecté. Au lieu de protéger le périmètre par le biais de l’identité, on finit par devoir vérifier les traces post-mortem des intrus pour peut-être, avoir une idée de ce qu’ils ont fait et de qui ils étaient et à quel moment ils ont atteint le système… »

Stan Lowe, RSSI monde de la société Zscaler, pionnier de la sécurité du Cloud commente également :

Encore une faille qui renforce le fait que les entreprises et organisations continuent d’implémenter des outils de sécurité qui ne correspondent plus à nos environnements business. Investir plus d’argent et installer plus d’outils de sécurité, cela ne résoudra pas ce problème. Nos environnements et architectures sont aujourd’hui si complexes qu’il est difficile, voire impossible, pour les professionnels de la sécurité de surveiller efficacement leurs réseaux, ce qui contribue à des incidents comme celui-ci, qui sont malheureusement devenus la règle plutôt que l’exception. Nous devons et pouvons faire mieux.

Les commentaires sont fermés.