Les serveurs mal configurés sont une mine d’or pour tous ceux qui veulent glaner des informations sur les particuliers ou les entreprises. Des chercheurs ont ainsi pu détecter plus de 12000 téraoctets en libre-service dans le monde.
Pour collecter des tonnes de données sur les gens, pas besoin de créer une pseudo-application Facebook. Il suffit de se connecter sur Internet et de savoir chercher un peu.
D’après Digital Shadows, une entreprise de cybersécurité, il existe une quantité incroyable de données en accès libre sur Internet en raison de serveurs mal configurés. Après avoir scanné la Toile pendant trois mois, les experts de cette société américaine ont pu détecter plus de 1,5 milliard de documents dans des espaces de stockage ouverts à tous : des bouquets Amazon S3, des serveurs NAS, des sites Web, des accès FTP, SMB ou rsync, etc. Au total, cela fait plus 12 petaoctets. « C’est 4000 fois plus large que la fuite des Panama Papers (2,6 teraoctets) », soulignent les chercheurs de Digital Shadows.
Les Etats-Unis figurent en tête du palmarès, avec 239 millions de documents disponibles, contre 122 millions pour l’Allemagne et 115 millions pour la France. Mais si on ramène ça au nombre d’habitants, le pays de Donald Trump s’en sort plutôt bien. On obtient alors un « taux de fuite » de 0,73 document par habitant outre-Atlantique contre 1,4 en Allemagne et 1,7 pour la France. Il n’y a qu’aux Pays-Bas où la situation est encore pire, avec 2,7 documents fuités par habitant.
Contrairement à ce que l’on pourrait penser, les espaces de stockage cloud Amazon ne représentent que 7 % des documents en ligne. Le gros des troupes est fourni par les serveurs SMB, FTP et rsync qui totalisent plus de 90 % des documents. Pourtant, quelques paramétrages simples suffisent généralement pour blinder ce type de système : remplacer le mot de passe par défaut, désactiver les connexions anonymes, mettre en place un pare-feu, etc.
C’est d’autant plus dommage que les données trouvées par Digital Shadows sont parfois très sensibles. Les chercheurs sont tombés sur des bulletins de salaires, des documents fiscaux, des informations bancaires, etc. En Italie, un serveur donnait même accès à plus de deux millions d’images médicales !
Ils ont également trouvé des documents relatifs à des brevets ou des codes sources, parfois tagués « strictement confidentiel ». Ils ont même pu mettre la main sur des milliers de rapports de sécurité informatique et d’analyse des risques commandés par des entreprises. Pour les pirates, c’est évidemment une mine d’or qui peut faire gagner beaucoup de temps.
