« Un mot de passe faible, c’est comme une porte blindée… laissée grande ouverte ! » C’est exactement le genre de coquille que des chercheurs en cybersécurité d’UpGuard ont découvert, lorsque, tels des détectives des temps modernes, ils sont tombés sur une mine de documents bancaires indiens laissés à la merci des curieux sur un serveur cloud non sécurisé. Rien de tel pour pimenter la vie en ligne des clients des banques, du moins ceux qui préfèrent garder leurs relevés bancaires plutôt privés.
Imaginez la scène : près de 273 000 PDF traînaient tranquillement sur un serveur Amazon S3 public, exposant joyeusement des informations sur les virements, numéros de comptes et autres petits secrets de portefeuille, tous destinés à se balader dans le système NACH, le super-héros de la transaction bancaire indienne. Un vrai pot-au-feu de données, mijotant au vu et au su de tous, accessible à tout internaute un tant soit peu curieux (ou distrait en tapant la mauvaise adresse URL).
Aussi nombreux qu’une équipe de cricket indienne, plus de 38 banques étaient indirectement conviées à cette petite cagnotte d’informations sensibles. Ironie du sort, Aye Finance – qui se prépare à une IPO à 171 millions de dollars – voyait même son nom écrit sur la moitié du tas de documents examinés, comme une sorte de jeu de devinettes grandeur nature pour analystes financiers. State Bank of India n’était pas loin derrière dans cette compétition de présence non désirée.
Quand le cloud joue à cache-cache, il arrive que les données se retrouvent bien plus « visibles » qu’espéré.
Mais alors, qui a donc fait tomber ce château de cartes numérique ? Difficile à dire, car tous les participants à la fête bancaire se sont empressés de nier en bloc. Les chercheurs d’UpGuard, polis comme à leur habitude, ont gentiment envoyé des e-mails à tout le monde : banques, autorités, et même la NPCI (les patrons du réseau NACH)… Et pendant ce temps-là, de nouveaux fichiers arrivaient chaque jour sur le serveur exposé, histoire de ne jamais manquer de suspense dans cette affaire.
Finalement, après avoir alerté CERT-In (le Batman indien de la cybersécurité), le robinet à données a été fermé. Mais pas de panique, Nupay – une société fintech indienne – a fini par casser le suspens, reconnaissant d’un ton un brin gêné : « Eh oui, c’était bien notre casserole ! » Officiellement, seules quelques données de test auraient été concernées, et aucune fuite ni utilisation malveillante n’aurait eu lieu. Sauf que, d’après UpGuard, beaucoup plus que des « fichiers tests » circulaient dans la nature, et qui plus est, la popularité du bucket sur Grayhatwarfare laisse sceptique quant à l’absence d’accès indésirable… Un peu comme affirmer que personne n’a jamais visité le Louvre parce qu’on n’a pas vérifié les tickets d’entrée !
Enfin, dans la grande tradition du « ce n’est pas moi, c’est l’autre », tout le monde piétine un peu sur le sujet de la durée de l’exposition des données et de l’ampleur réelle du bazar. Entre minimisation corporate et rigueur technique, la réalité s’est un peu évaporée dans le nuage…
Morale de l’histoire : même les clouds les mieux intentionnés peuvent devenir de vrais nids à gags, à condition de mal tourner le bouton « privé ». La prochaine fois, espérons que les entreprises penseront à mettre un mot de passe « béton armé », histoire que les données bancaires ne fassent plus de puits d’accès.
Source : Techcrunch
