Comment des informations bancaires sensibles de centaines de milliers d’Indiens ont-elles pu se retrouver publiquement exposées sur le web, sans que personne ne s’en rende compte pendant des semaines ? Ce scénario inquiétant soulève-t-il à nouveau la question de la sécurité des données stockées dans le cloud, surtout lorsqu’il s’agit d’informations critiques comme des numéros de comptes et des montants de transactions ?
Ce sont des chercheurs de la société en cybersécurité UpGuard qui ont d’abord tiré la sonnette d’alarme fin août. En fouillant Amazon S3, ils sont tombés sur un serveur ouvert à tous contenant pas moins de 273 000 documents PDF. Leur contenu ? Les formulaires de transfert bancaire de clients indiens, la plupart étant destinés à la NACH, ce système centralisé facilitant notamment le paiement de salaires et de factures. Mais d’où provenait concrètement cette fuite qui impliquait au moins 38 banques et institutions du pays ? Et pourquoi personne ne semblait au courant, alors que chaque jour, de nouveaux fichiers étaient ajoutés à ce repository public ?
Plus étrange encore, lorsque les chercheurs ont prévenu les principaux acteurs concernés – d’Aye Finance, largement citée dans les documents, à la State Bank of India en passant par la National Payments Corporation of India (NPCI) –, la fuite s’est poursuivie encore plusieurs jours. Même après avoir contacté le CERT-In (Computer Emergency Response Team), ce n’est qu’à ce stade que le serveur a finalement été sécurisé. Entre temps, qui avait pu accéder à ces données et qu’en a-t-il fait ?
Les failles de configuration du cloud exposent non seulement les entreprises, mais aussi, et surtout, les particuliers à des risques majeurs de violation de leur vie privée.
La suite du feuilleton prend une tournure surprenante : après la publication de l’enquête, la fintech Nupay se manifeste. Elle avoue que l’incident vient bien d’un « problème de configuration » sur l’un de ses buckets Amazon S3. Mais selon son cofondateur Neeraj Singh, il ne s’agirait en majorité que de « fichiers de test contenant des données de base », sans aucun accès non autorisé ni impact financier pour les utilisateurs. Que penser de cette affirmation, alors que, selon UpGuard, la grande majorité des fichiers était bel et bien authentique et que l’adresse du bucket avait même été indexée publiquement sur Grayhatwarfare ?
Une question alors persiste : comment Nupay peut-elle affirmer qu’aucune fuite concrète n’a eu lieu si elle n’a même pas tenté de croiser les IP ayant accédé au bucket avec celles des chercheurs ? Est-il concevable de minimiser la fuite alors qu’elle reste indémontrable et donc incontrôlable ? Et que dire du manque de réaction des banques concernées, qui soit ont nié tout lien avec la fuite, soit ont refusé de commenter les faits ?
Le cas Nupay est loin d’être isolé dans le paysage numérique mondial. Les erreurs de configuration de serveurs cloud se multiplient, souvent à cause d’oublis humains ou d’un manque de compréhension des outils utilisés. À chaque fois, ce sont des milliers, voire des millions d’utilisateurs, qui se retrouvent exposés : faut-il donc craindre la multiplication de telles affaires à mesure que l’adoption du cloud s’accélère dans le secteur bancaire et au-delà ?
L’affaire met donc en lumière le fossé inquiétant entre la rapidité d’innovation technologique dans la finance et les contraintes, parfois négligées, de la sécurité informatique. Les acteurs concernés apprendront-ils à mieux protéger les données des citoyens face à la tentation de stocker toujours plus dans le cloud, sans garde-fous adéquats ?
Combien de ces failles doivent-elles encore surgir avant qu’une prise de conscience collective ne vienne bousculer les habitudes des fintechs et des institutions financières en matière de cybersécurité ?
Source : Techcrunch
