Sécurité cloud : AWS expose des données d’infrastructure de GoDaddy

Amazon Web Services (AWS) a exposé par accident options de tarification et configurations détaillées de 31 000 serveurs utilisés par GoDaddy.

AWS, référence mondiale du cloud public, et GoDaddy, poids lourd de l’enregistrement de noms de domaine et de l’hébergement web, se seraient bien passés de cette exposition.

Des documents détaillant l’infrastructure et des ressources utilisées par GoDaddy dans le cloud d’Amazon (AWS) ont été accessibles publiquement sur Internet. C’est ce qu’indique un rapport de la société de cybersécurité UpGuard, dont Engadget s’est fait l’écho.

Le 19 juin 2018, un chercheur de l’équipe UpGuard Cyber Risk a découvert un « bucket » (seau) du service de stockage Amazon S3 (Simple Storage Service) publiquement lisible, nommé abbottgodaddy. S’y trouvaient des feuilles de calcul appartenant à GoDaddy, dont un fichier Excel de 17 Mo.

Dans son analyse mise en ligne le 9 août, UpGuard indique que les fichiers en accès public contenaient « des informations de configuration de haut niveau pour des dizaines de milliers de systèmes et des options de tarification pour l’exécution de ces systèmes dans le cloud d’AWS ».

Ce sont ainsi 31 000 serveurs dont les détails ont été exposés (noms d’hôtes, systèmes d’exploitation, CPU, ressources mémoire, charges de travail, régions AWS, etc.).

« Les remises offertes en fonction de différents scénarios » étaient également disponibles. En fait, « ces données permettaient de cartographier un déploiement à très grande échelle d’une infrastructure basée sur le cloud AWS », a expliqué l’entreprise de cybersécurité.

Comme pour d’autres expositions de données sensibles répérées par ses soins, UpGuard a rapidement alerté les sociétés concernées par sa découverte. Des dispositions ont été prises dans la foulée pour colmater la brèche, selon la firme californienne.

Les « meilleures pratiques » négligées ?

AWS a confirmé l’information. En revanche, ni un tiers, ni le client n’ont été mis en cause. « Le bucket en question a été créé par un commercial AWS pour stocker des scénarios de tarification AWS prospectifs », a expliqué un(e) porte-parole à Engadget. Mais ce commercial n’aurait « pas suivi les meilleures pratiques » d’AWS en la matière. Lampiste ?

Normalement, les buckets d’Amazon S3 sont privés par défaut (accessibles au titulaire du compte et à l’administrateur root). Mais, ils peuvent être configurés de manière à permettre un accès public. Que ce soit par erreur ou à dessein. Dans ce cas, toute personne qui visite l’URL du seau concerné peut accéder à son contenu et le télécharger…

Au risque de tomber entre de mauvaises mains et d’impacter les finances et l’activité des organisations ciblées. AWS a donc tenté d’apaiser. « Aucune information de clients GoDaddy n’était dans le bucket exposé », a indiqué le fournisseur cloud. De quoi rassurer les 18 millions de clients revendiqués dans le monde par le registrar américain GoDaddy ?