Le géant de la sécurité, Securitas AB, exposé à une grande fuite de données sensibles sur des aéroports et ses employés
Une équipe de Safety Détectives, site d’information sur les produits de sécurité informatique, a découvert une fuite de 3 To de données, contenant plus de 1,5 million de fichiers provenant de Securitas AB, géant de la sécurité physique. La cause ? Une erreur de configuration d’un espace de stockage sur Amazon rendant publique de nombreuses informations sensibles. Elles concernent des employés d’aéroports colombiens et péruviens. Mais, il serait possible que chaque aéroport qui utilise les services de Securitas, dans le monde, soit impacté.
“Les données exposées comprenaient des dossiers sensibles de l'entreprise et des informations personnelles sur les employés des aéroports en Colombie, au Pérou et probablement dans d'autres pays ou même dans le reste du monde.”, selon les analystes de safetydetectives.com.
Le spécialiste de la sécurité physique, Securitas AB, a vu sa base de données exposée au public sans mot de passe ni authentification de sécurité. Par conséquent, toute personne sachant trouver cette base a pu y accéder.
Quelles données ont été divulguées ? Les chercheurs de saferydetectives.com ont identifié deux ensembles de données révélés :
- Des photos de cartes d’identité avec noms complets, professions, numéro national d’identité et photos non marquées des employés
- Des photos d’avions, d’employés chargeant et déchargeant des bagages.
En plus des informations mentionnées ci-dessus, les photos contenaient des informations sur les modèles d’appareils photos utilisés, les emplacements GPS des photos ainsi que la date et les heures.
Selon les analystes de SafetyDetectives, aucune information ne permet d’établir si la base de données a été consultée par un individu ou groupe malveillant. Un problème de sécurité massif pourrait se poser si des photos d’avions - non disponibles dans le domaine public - ont été accaparées. Une autre difficulté se poserait si les photos et informations des employés sont utilisées pour créer de fausses pièces d’identités afin d'accéder aux zones sensibles d’un aéroport.
En quoi consiste le service S3 d’Amazon ? C’est un service de stockage et de protection de données. Il est opté pour créer un lac de données et exécuter des applications d’analytique big data, d’intelligence artificielle, de machine learning, et de calcul haute performance pour extraire des informations des données ou pour sauvegarde et restaurer les données essentielles.
En quoi consiste la vulnérabilité d’erreur de configuration de bucket S3 ? Les compartiments de stockage S3 d'Amazon sont privés par défaut. Seuls les utilisateurs authentifiés peuvent y accéder. Une politique de contrôle d’accès mal configurée permet aux attaquants de lire, éditer ou supprimer les données stockées. Ce type de vulnérabilité d’erreur de configuration est très connue comme en atteste CommomWeaknessEnumeration.
Comment prévenir cette erreur de configuration ? Avec la prédominance des serveurs S3, les données recueillies sont devenues des cibles de choix. Les paramètres par de S3 sont clairs : vous pouvez décocher l’option “Bloquer tous les accès publics, alors AWS demandera de comprendre les risques, selon Antônio Franco dans Security Boulevard. Il précise qu’il est possible “d’appliquer la segmentation du trafic pour isoler un serveur d’applications dans un Virtual Private Cloud (VPC), puis définir des règles de contrôle d’accès pour restreindre l’accès uniquement à partir de ce VPC.” Dans ce cas, S3 acceptera uniquement les demandes provenant du VPC déterminé. La principale faille est humaine. Par commodité, certains programmateurs laissent l’accès ouvert au public.