AWS serre les vannes de son stockage cloud pour éviter les fuites de données
AWS cherche à donner davantage de visibilité et de contrôle sur les permissions d’accès aux ressources hébergées sur son service de stockage S3.
Des clés d’API, des journaux d’événements, des dizaines de milliers de mots de passe… Autant de données qu’Accenture avait laissées en libre accès.
Un fournisseur de solutions de cybersécurité l’avait révélé en mars dernier, six mois après avoir averti l’entreprise de conseil, qui avait réagi dans la foulée.
On ignore pendant combien de temps la porte est restée grande ouverte. On sait en revanche que les données en question étaient stockées sur le cloud AWS, dans des compartiments S3 pour lesquels les accès publics étaient autorisés.
Dans la lignée de cet épisode*, Amazon avait ajouté, sur la console d’administration, un indicateur orange portant la mention « Public » et apparaissant par défaut en haut de la liste des compartiments.
Divers outils s’y sont depuis lors ajoutés. Le dernier en date, activable sur la console, en ligne de commande et par API, permet de bloquer les accès publics au niveau des compartiments, mais aussi des comptes AWS.
Les quatre options de paramétrage s’appliquent pour certaines à l’existant et pour d’autres aux nouvelles ressources. Elles ont la priorité sur les politiques de compartiment et les listes de contrôle d’accès.
Par défaut, les quatre options sont activées pour les nouveaux compartiments créés dans la console AWS.
* On peut aussi mentionner le cas de Spyfone (logiciel espion), qui a plus récemment laissé en accès libre un compartiment S3 contenant des téraoctets de données personnelles (photos, textos, contacts…).