Les erreurs de configuration de serveurs cloud sont une véritable plaie pour les RSSI et aucune entreprise n'est à l'abri et encore moins les grandes institutions publiques. C'est précisément le cas du département de la défense américain dont un serveur cloud Azure hébergé par Microsoft a été exposé. C'est le chercheur en sécurité Anurag Sen qui est à l'origine de cette découverte.

Le serveur en question est hébergé dans un cloud spécifiquement dédié pour les organisations publiques sensibles (Azure Governement Cloud) et fait partie d'une infrastructure sur laquelle repose le système de messagerie interne du DoD. Sur ce dernier, environ 3 Po de mails de militaires sont stockés dont nombre d'entre eux concernent le commandement des opérations spéciales américaines (US Special Operations Command) et l'entité militaire opérationnelle chargée de mener des opérations spéciales (USSOCOM).

Des informations sensibles mais non classifiées exposées

« Une mauvaise configuration a laissé le serveur sans mot de passe, permettant à quiconque sur Internet d'accéder aux données sensibles d'e-mails à l'aide d'un simple navigateur web, simplement en connaissant son adresse IP », a expliqué TechCrunch qui s'est entretenu avec Anurag Sen. Certains des messages exposés contenaient des données sensibles - mais non classifiées - dont des questionnaires de sécurité SF-86 ainsi que des données de santé. 

L'exposition des données remonte à plusieurs semaines, un scan Shodan montrant que les données de ce serveur étaient accessibles le 8 février dernier. Ken McGraw, porte-parole de l'USSOCOM, a indiqué à TechCrunch qu'une enquête, débutée ce lundi 20 février, est toujours en cours. « Nous pouvons confirmer à ce stade que personne n'a piraté les systèmes d'information de l'USSOCOM ». L'origine et la responsabilité de cette mauvaise configuration de serveur ne sont à ce stade pas précisées.