Les bonnes pratiques en sécurité s'adressent à toutes les entreprises, en particulier pour celles traitant de données très sensibles en lien avec la CIA. Un message de bon sens pourtant pas encore largement répandu apparemment. Ainsi, plus de 60 000 fichiers ont été découverts sur AWS S3. Problème : parmi eux, des mots de passe permettant d'accéder à un système gouvernemental américain contenant des informations sensibles ainsi que les identifiants et mots de passe d'un ingénieur senior travaillant pour Booz Allen Hamilton, l'un des principaux sous-traitants travaillant pour la défense américaine dont la CIA.

Les 28 Go de données accessibles sont en particulier liées à l'agence nationale géospatiale (NGA pour National Geospatial Intelligence Agency) qui, en mars, a remporté un contrat de 86 millions de dollars avec Booz Allen Hamilton. Des données très sensibles puisqu'elles comportent des cartes et lieux collectés par les satellites espions et les drones militaires. « La NGA prend au sérieux la divulgation potentielle d'informations sensibles mais non classifiées et révoque immédiatement les identifiants et mots de passe concernés », a confirmé un porte-parole de l'agence à Gizmodo.

Une instance S3 immédiatement sécurisée par la NGA

L'existence de ce serveur a été découvert la semaine dernière par un analyste en sécurité chez UpGuard, Chris Vickery, qui l'a trouvé en scannant depuis chez lui une instance publique S3. Ce dernier a alors informé Booz Allen Hamilton d'une possible brèche de sécurité le 24 mai. Sans réponse de leur part, il a alors prévenu la NGA le 25 mai et 9 minutes après l'avoir fait, le serveur en question a alors été sécurisé. « Conformément à une demande explicite du gouvernement le 26 mai, UpGuard a conservé les données téléchargées lors de cette découverte. Jusqu'à ce que UpGuard supprime de manière sécurisée et permanente ces données, elles seront protégées avec les mêmes standards stricts de sécurité utilisés jusqu'à présent », a indiqué l'équipe Cyber Resilience d'UpGuard. Reste maintenant à savoir comment ces données sensibles ont atterri sur S3, AWS disposant pourtant d'un service réservé pour stocker ce type de données, à savoir GovCloud.