Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les données personnelles de 20 millions d’Équatoriens exposées - Réaction de Vectra

septembre 2019 par Vectra

Chris Morales, Directeur Security Analytics chez Vectra, commente la faille d’une base de données hébergée dans le Cloud, qui a exposé les données de 20 millions d’individus en Équateur, et notamment 6,7 millions d’enfants.

« Cette faille qui n’est pas la première du genre, est alarmante. Ce sont les données personnelles et sensibles de 20 millions d’individus, principalement équatoriens, qui sont exposées. Ces données qui incluent des dates et lieu de naissance, des informations personnelles telles nom, prénom, numéro de pièce d’identité, permis de conduire, etc. sont utilisées par des acteurs malveillants à des fins d’usurpations d’identités, d’ingénierie sociale, pour mener des attaques de plus grande ampleur. Ce cas interpelle sous deux aspects différents :

Tout d’abord, la faille est venue d’une entreprise privée sollicitée par le Gouvernement Equatorien pour ses services d’analytique. Le Gouvernement a donc transmis des données personnelles sur ses citoyens à une société tierce pour en retirer des informations… Il s’agit déjà ici d’un gros problème, qui vraisemblablement et du fait du RGPD en autre, n’aurait pas pu arriver en Europe. Et le fait que des données ayant appartenues à Julian Assange pendant son long passage à l’Ambassade équatorienne de Londres (entre 2012 et 2019) laisse à penser que la base de données hébergeait des données totalement aléatoires.

La deuxième observation est plutôt d’ordre technique. Ce type de faille résultant d’un problème de configuration de base de données hébergée dans le Cloud AWS est fréquent. Néanmoins, il ne s’agit pas de faire le procès du Cloud. Le Cloud a ses avantages. Néanmoins, configurer une base de données ElasticSearch dans AWS est compliqué et cela ne devrait jamais être pris à la légère, surtout quand cela risque d’exposer un grand nombre de données personnelles individuelles. En effet, la configuration de ce type de bases de données dans le Cloud nécessite un travail technique par des administrateurs compétents et généralement ils ne saisissent pas comment limiter correctement l’accès aux données qu’ils stockent. Notons que le problème ne dépend donc pas de la taille ou de la maturité de l’entreprise dans laquelle les administrateurs travaillent, mais simplement de leur formation à l’utilisation de ce type d’outils.

Bien que le provisionnement instantané et l’évolutivité du Cloud computing soient des avantages précieux, les administrateurs du Cloud doivent savoir ce qu’ils font et s’assurer que des contrôles d’accès appropriés sont en place pour protéger les données. La capacité de détecter et de réagir à un accès non autorisé ou malveillant aux services de la plateforme ou de l’infrastructure Cloud peut faire la différence entre un incident maîtrisé et une véritable faille telle que celle à laquelle sont confrontés les équatoriens aujourd’hui.

Ce cas ressemble à la faille extraordinaire subie par Equifax, et montre que nous n’avons pas tiré de leçons des failles précédentes ».




Voir les articles précédents

    

Voir les articles suivants