Pour gérer vos consentements :
Categories: CloudSécurité

Sécurité cloud : AWS expose des données d’infrastructure de GoDaddy

AWS, référence mondiale du cloud public, et GoDaddy, poids lourd de l’enregistrement de noms de domaine et de l’hébergement web, se seraient bien passés de cette exposition.

Des documents détaillant l’infrastructure et des ressources utilisées par GoDaddy dans le cloud d’Amazon (AWS) ont été accessibles publiquement sur Internet. C’est ce qu’indique un rapport de la société de cybersécurité UpGuard, dont Engadget s’est fait l’écho.

Le 19 juin 2018, un chercheur de l’équipe UpGuard Cyber Risk a découvert un « bucket » (seau) du service de stockage Amazon S3 (Simple Storage Service) publiquement lisible, nommé abbottgodaddy. S’y trouvaient des feuilles de calcul appartenant à GoDaddy, dont un fichier Excel de 17 Mo.

Dans son analyse mise en ligne le 9 août, UpGuard indique que les fichiers en accès public contenaient « des informations de configuration de haut niveau pour des dizaines de milliers de systèmes et des options de tarification pour l’exécution de ces systèmes dans le cloud d’AWS ».

Ce sont ainsi 31 000 serveurs dont les détails ont été exposés (noms d’hôtes, systèmes d’exploitation, CPU, ressources mémoire, charges de travail, régions AWS, etc.).

« Les remises offertes en fonction de différents scénarios » étaient également disponibles. En fait, « ces données permettaient de cartographier un déploiement à très grande échelle d’une infrastructure basée sur le cloud AWS », a expliqué l’entreprise de cybersécurité.

Comme pour d’autres expositions de données sensibles répérées par ses soins, UpGuard a rapidement alerté les sociétés concernées par sa découverte. Des dispositions ont été prises dans la foulée pour colmater la brèche, selon la firme californienne.

Les « meilleures pratiques » négligées ?

AWS a confirmé l’information. En revanche, ni un tiers, ni le client n’ont été mis en cause. « Le bucket en question a été créé par un commercial AWS pour stocker des scénarios de tarification AWS prospectifs », a expliqué un(e) porte-parole à Engadget. Mais ce commercial n’aurait « pas suivi les meilleures pratiques » d’AWS en la matière. Lampiste ?

Normalement, les buckets d’Amazon S3 sont privés par défaut (accessibles au titulaire du compte et à l’administrateur root). Mais, ils peuvent être configurés de manière à permettre un accès public. Que ce soit par erreur ou à dessein. Dans ce cas, toute personne qui visite l’URL du seau concerné peut accéder à son contenu et le télécharger…

Au risque de tomber entre de mauvaises mains et d’impacter les finances et l’activité des organisations ciblées. AWS a donc tenté d’apaiser. « Aucune information de clients GoDaddy n’était dans le bucket exposé », a indiqué le fournisseur cloud. De quoi rassurer les 18 millions de clients revendiqués dans le monde par le registrar américain GoDaddy ?

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago