Les buckets S3 d’Amazon sont le moyen le plus populaire pour les apps, les sites web et les services en ligne de stocker des données dans le cloud. Ainsi, lorsque des violations et des expositions de données se produisent, les buckets S3 vulnérables sont souvent cités comme la cible.
Toutefois, Amazon Web Services est loin d’être le seul fournisseur de stockage de fichiers dans le cloud. Les buckets Google Cloud, par exemple, sont également assez courants, et ils sont tout aussi vulnérables (en raison d’une mauvaise configuration) que leurs homologues plus populaires, selon les dernières recherches de l’équipe de recherche en cybersécurité de Comparitech.
Environ six pour cent de tous les buckets Google Cloud sont mal configurés et/ou vulnérables aux attaques, selon une analyse de 2 064 buckets. 131 des buckets étaient vulnérables à un accès non autorisé par des utilisateurs qui pouvaient lister, télécharger et/ou charger des fichiers. Ces buckets peuvent contenir des fichiers confidentiels, des bases de données, du code source et des informations d’identification, entre autres.
Les attaquants pourraient exploiter ces vulnérabilités pour voler des données, compromettre des sites web et lancer d’autres attaques. Ces vulnérabilités sont faciles à exploiter, affirment nos chercheurs.
Comment empêcher l’accès non autorisé aux buckets Google ?
Si vous voulez vous assurer que vos buckets ne sont pas exposés, commencez par scanner le web. Nos chercheurs recommandent d’utiliser gsutil, l’outil en ligne de commande officiel de Google, ou BucketMiner pour rechercher le nom de votre entreprise sur les infrastructures de Google et d’Amazon. Ceux-ci produiront quelques statistiques, images et noms de fichiers, et vous indiqueront si le seau est ouvert.
Les conseils de Google sur la sécurisation des seaux Google Cloud sont les suivants :
- Activez l’accès uniforme au niveau du seau et sa politique org.
- Activez le partage restreint par domaine.
- Cryptez vos données de stockage dans le nuage avec Cloud KMS.
- Auditez vos données de stockage dans le nuage avec la journalisation de l’audit du nuage.
- Sécurisez vos données avec les contrôles de service VPC.
- Surveillez régulièrement vos buckets, vos actifs et vos paramètres de sécurité. Cela vaut non seulement pour les buckets Google, mais aussi Amazon, Microsoft et autres.