Au cours des dernières semaines, les experts du Chaos Computer Club (CCC) ont détecté plus de 50 fuites de données dues à des erreurs facilement évitables. Ils sont ainsi tombés sur plus de 6,4 millions d’enregistrements de données personnelles. Les institutions gouvernementales et les entreprises concernées n’ont pas toutes réagi à ces informations.
Les chercheurs en sécurité du CCC ont découvert les données sensibles dans des dépôts Git en libre accès, des instances ElasticSearch non sécurisées, via l’outil de développement PHP Symfony Profiler et dans des bases de données non sécurisées. Ils ont également trouvé des clés privées et des jetons d’accès qui permettent généralement aux pirates d’obtenir un accès plus étendu.
Sommaire
Vulnérabilités connues
Les données ont été rendues publiques à la suite d’erreurs ou de comportements connus. Ainsi, certains développeurs auraient téléchargé non seulement des données d’accès, mais aussi des tables entières et des sauvegardes de données personnelles dans des dépôts Git – la moitié des jeux de données s’y trouvaient. Un autre quart pouvait même faire l’objet d’une recherche confortable via une « recherche dans le nuage » non sécurisée avec Elasticsearch.
Selon le rapport du CCC, il est facile de remédier à cette situation : il existe des outils permettant de crypter les dépôts Git de manière transparente. Comme les jetons d’accès aux services cloud permettent d’accéder à plus d’un jeu de données, ils devraient être traités comme des mots de passe. Les systèmes de test n’ont pas leur place sur l’Internet public et ne doivent pas être alimentés par des données réelles d’utilisateurs. Les sauvegardes, les journaux et les fichiers de configuration sensibles n’ont rien à faire dans des répertoires web accessibles à tous.
En outre, les fabricants donnent souvent des conseils utiles, par exemple que le Symfony Profiler ne doit pas être activé dans les systèmes de production, que le « Minimal Security Scenario » d’Elasticsearch ne suffit pas pour les systèmes de production/cluster ou que l’accès root aux bases de données ne doit être autorisé que depuis localhost.
Les deux conseils les plus importants pour la fin : Les données personnelles qui ne sont plus nécessaires doivent être supprimées. Et les données que l’on ne collecte pas et que l’on ne stocke pas ne peuvent pas non plus être perdues.
Réactions
Les trois quarts des responsables auraient tout de même remercié les personnes qui leur ont signalé les failles et les données exposées et auraient corrigé les erreurs. Dix pour cent n’ont pas réagi, mais ont colmaté les brèches. Deux entreprises ont toutefois complètement ignoré les avertissements.
La liste des organisations concernées est longue, mais certaines se distinguent : BMW, Bundeswehr, Deutsche Bahn, Deutsche Post, Deutsche Telekom, dpa, Landtag Niedersachsen, Merck et Nestle.
Le CCC souligne qu’au moins aucune des entreprises n’aurait porté plainte – c’est ainsi que la CDU avait réagi au milieu de l’année dernière lorsqu’une développeuse de logiciels avait trouvé et signalé des failles flagrantes dans une application du parti pour la campagne de porte-à-porte.
Matthias Marx, porte-parole du Chaos Computer Club, s’exprime à ce sujet dans le communiqué du CCC : « Le fait qu’aucun des administrateurs des entreprises concernées ne se soit vengé en utilisant le bâton de la plainte pénale est surprenant au vu du paragraphe 202c sur le piratage informatique. Le CCC demande depuis longtemps l’abolition de ce paragraphe catastrophique pour la sécurité informatique en Allemagne, aux limites duquel les chercheurs ont certainement durement frôlé ».