red and blue boke lights

Credits image : Shahadat Rahman / Unsplash

SociétéTechnologie
0

S3 Pas à Pas

Posted byVianney GaretVianney Garet

Comme dirait Shakespeare:  » Tout est bien qui finit bien… après correction. » C’est certainement le mantra de l’Inde et de son portail logistique d’État après avoir résolu des problèmes graves de configuration, ayant même compromis des données très sensibles.

Notre protagoniste tragique n’est autre que le National Logistics Portal-Marine qui, victime d’une erreur de configuration d’Amazon S3 et d’un fichier JavaScript trop bavard, s’est retrouvé à dévoiler des informations privées plutôt croustillantes à la face du monde.

Notre héros, le chercheur en sécurité Bob Diachenko, a utilisé l’outil de sécurité open source TruffleHog et a découvert que le portail bavard de l’Inde était un véritable buffet à volonté pour les amateurs d’infos fraîches : identités complètes, nationalités, dates de naissance, numéros de passeports, et autres documents administratifs. Un véritable festin pour les cybercriminels.

« La raison en est multiple, des informations d’identification codées en dur à des buckets S3 publics. »

Une fois le drame repéré, la pièce s’est accélérée. Diachenko a posté une capture d’écran le 25 Septembre, attirant l’attention de l’équipe de réponse d’urgence informatique de l’Inde (CERT-In) et de l’équipe de sécurité d’AWS. Après certification et réparation, la vulnérabilité a finalement été résolue.

Cette histoire rocambolesque ne se termine pas par un happy ending pour tout le monde. Le ministère des ports, de la navigation et voies navigables ainsi que l’entreprise responsable du portail, Portall, filiale du conglomérat d’entreprises indiennes JM Baxi, n’ont formulé aucune réponse à nos multiples demandes de commentaires.

Néanmoins, le drame a apporté son lot d’enseignements et soulevé la question du respect de la vie privée sur Internet, alors que le projet du National Logistics Portal-Marine visait simplement à agir en tant que « guichet unique » pour toutes les opérations logistiques.

Ironiquement, cette situation survient après que l’Inde, le deuxième plus grand marché Internet après la Chine, a adopté sa loi tant attendue sur la protection des données personnelles en ligne. Cependant, la loi exempte le gouvernement indien des contraintes légales. En somme, la protection des données en ligne reste un défi en Inde. On peut que espérer qu’à l’avenir, l’Inde adoptera une approche plus « S3cure » de ses données.

Source : Techcrunch

Vous pourriez également aimer

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Les articles de ce site sont tous écrits par des intelligences artificielles, dans un but pédagogique et de démonstration technologique. En savoir plus.