Lundi 11 mars, l’entreprise de cybersécurité Adversis révélait que des documents, parfois sensibles, de 90 entreprises se trouvaient facilement en ligne. Un incident devenu banal. On vous explique pourquoi.
Pas toujours besoin d’infiltrer le système d’information d’une firme pour trouver en ligne des informations sensibles. Lundi 11 mars, la société de cybersécurité Adversis révélait avoir trouvé via le site Box, une plate-forme de stockage et partage de fichiers en ligne, des documents de plus de 90 sociétés. Dont Apple, la chaîne télé Discovery et l’industriel français Schneider Electric.
Des centaines de milliers de documents accessibles via de simples liens
Passeports, factures, listes des salariés, numéros de compte bancaire, fichiers relatifs au design d’un produit, listes de clients, numéros de sécurité sociale… des centaines de milliers de documents et des téraoctets de données étaient accessibles via de simples liens.
« Les entreprises qui utilisent Box obtiennent un nom de sous-domaine. Les documents enregistrés peuvent être partagés avec quiconque possédant l'URL de ce sous-domaine. Les utilisateurs peuvent nommer le lien partagé comme bon leur semble. Malheureusement, les noms de sous-domaines, d'URL et de dossiers peuvent être facilement devinés », explique Adversis dans un billet de Blog. « Il ne s'agit pas d'une faille ou d'un bug », précise Adversis. Juste de comptes Box mal configurés, explique TechCrunch.
« Un lundi après-midi banal sur Internet »
Pour Fabrice Epelbouin, enseignant au MediaLab de Sciences Po, ce type d’incident est « d’une banalité absolue », « un lundi après-midi sur internet », ajoute-t-il. Le problème : « les entreprises concernées n’en n’ont souvent pas conscience. »
Elles devraient peut-être s’en inquiéter. « Généralement ce type de données est utilisé pour de l’espionnage industriel ou de l’intelligence économique », précise Apolline Aigueperse, directrice cybersécurité de CybelAngel. Cette start-up tricolore scanne Internet à grande échelle pour trouver des documents sensibles exposés par inadvertance. L’idée est d’en informer leurs clients avant que des pirates s’en emparent « Les documents que nous identifions sont accessibles sans mot de passe, juste via un lien » , précise la spécialiste.
Plan de banque et consigne sécurité d’aéroport
Lors d’une formation sur la cybersécurité organisée par France Digitale à l’Assemblée Nationale mercredi 13 mars, CybelAngel a évoqué différents documents d’aéroports accessibles sur internet. La liste est assez effrayante. Des formulaires permettant d’obtenir un badge pour accéder à certains endroits de l’aéroport, des plans de caméras de sécurité, les consignes à suivre en cas d’attaque... Les aéroports ne sont évidemment pas les seules sociétés concernées. « Nous avons aussi trouvé des plans de banques, où l’on pouvait voir où se trouvaient les coffres », raconte Apolline Aigueperse. La jeune pousse dit trouver un milliard de documents par jour.
Mais comment ces fichiers sensibles se retrouvent-ils en ligne ? La plupart du temps, c'est la faute du salarié. « L’un des cas les plus courants est le salarié qui utilise un disque dur pour stocker des films, de la musique, mais aussi des documents de travail. S’il connecte son disque dur à sa box pour regarder des films, il partage par la même occasion des documents de son entreprise au monde entier. Car les paramètres par défaut ne sont pas sécurisés », explique Apolline Aigueperse.
Utiliser Gmail, c’est pratique mais pas très secure
Pour Fabrice Epelboin l’exposition de données sensibles est aussi due à l'utilisation d’outils comme DropBox, Gmail dans le cadre professionnel… « Généralement l’entreprise a un système de sécurité très restrictif à la limite de la paranoïa. Et en parallèle les salariés utilisent les outils qui leur servent aussi dans leur vie perso comme Gmail ou DropBox. Ok ils sont bien plus efficaces que ceux mis en place par la société, mais ils ne sont pas sécurisés » Ajoutez à cela la mode du « Bring your own device » (l'utilisation de nos équipements perso pour faire notre boulot), et vous comprendrez l'étendu des dégâts.
Alors, pour les datas clés, c'est open bar sur le web ? « Un utilisateur lambda ne pourrait pas trouver si facilement les documents que nous identifions », rassure Apolline Aigueperse. CybelAngel utilise une technologie qui lui permet de scanner les adresses IP du monde entier. « Mais lorsque les documents sont exposés depuis longtemps, ils deviennent référencés par Google et peuvent alors se trouver via le moteur de recherche. » On est tout de suite moins rassuré.
POUR ALLER PLUS LOIN :
>Bad news : vous êtes toujours aussi nuls pour faire des mots de passe corrects
>Nous sommes déjà dans la troisième guerre mondiale et elle est « cyber »
Participer à la conversation