Combien de fichiers sont exposés dans ces buckets de stockage cloud ouverts?

Il y a actuellement 19,6 milliards de fichiers librement accessibles sur Internet, répartis sur plus de 535 000 buckets de stockage cloud mal configurés.

Qu'est-ce qui rend les fichiers d'identifiants et de clés si dangereux parmi les données exposées?

Ces fichiers contiennent souvent des clés API, des mots de passe et des jetons d'accès qui permettent aux attaquants de s'authentifier directement sur des systèmes protégés sans piratage sophistiqué, ouvrant potentiellement un accès à des bases de données, des infrastructures cloud et des réseaux internes.

Pourquoi ces buckets de stockage cloud sont-ils publiquement accessibles en premier lieu?

Ils sont laissés ouverts à cause de paramètres de stockage cloud mal configurés, souvent dus aux réglages par défaut, à des déploiements précipités ou à des lacunes en connaissances de sécurité cloud, et les organisations responsables peuvent même ignorer que leurs données sont exposées.

Quel autre type de données sensibles, outre les identifiants, a été souligné comme un risque sérieux dans le rapport?

Les extractions de bases de données ont été signalées comme un risque distinct mais tout aussi grave, contenant souvent des enregistrements d'utilisateurs, des mots de passe, des informations personnelles et des données transactionnelles.

Une exposition à grande échelle similaire due à une seule mauvaise configuration s'est-elle produite récemment?

Oui, un tableau de bord d'analyse mal configuré chez FTF Live a récemment exposé plus de 22 millions d'enregistrements de sessions de chat vidéo, montrant comment une seule négligence peut divulguer des volumes massifs de données sensibles.

19,6 milliards de fichiers exposés dans 535 000 buckets cloud ouverts

Un nouveau rapport de Mysterium VPN a révélé un chiffre stupéfiant sur un problème que les chercheurs en sécurité dénoncent depuis des années : 19,6 milliards de fichiers sont actuellement accessibles librement sur Internet, stockés dans plus de 535 000 buckets de stockage cloud mal configurés, sans aucun mot de passe, authentification ni compétence de piratage requise. Parmi ces fichiers, on trouve près de 700 000 fichiers d'identifiants et de clés qui pourraient donner à un attaquant un accès direct à des systèmes actifs, bases de données et infrastructures internes.

Il ne s'agit pas d'une violation au sens traditionnel. Personne n'a eu à exploiter une vulnérabilité ni à intercepter du trafic réseau. Les données sont simplement exposées, conséquence de configurations de stockage cloud incorrectes, laissées telles quelles.

L'ampleur de l'exposition : 19,6 milliards de fichiers, zéro mot de passe

Le volume total des données exposées est difficile à contextualiser. Avec 19,6 milliards de fichiers répartis sur plus d'un demi-million de buckets de stockage, il s'agit de l'un des plus grands cas documentés d'exposition de buckets de stockage cloud mal configurés jamais recensé. Ces buckets couvrent des plateformes cloud où des organisations de toute taille, du développeur indépendant à la grande entreprise, stockent des données applicatives, des sauvegardes, des logs et des enregistrements sensibles.

Les stockages cloud mal configurés ne sont pas nouveaux, mais l'échelle rapportée ici montre que le problème est loin d'être résolu. Paramètres par défaut, déploiements précipités et lacunes en compétences de sécurité cloud contribuent tous à laisser des buckets en lecture publique. Souvent, les organisations responsables ignorent que leurs données sont exposées.

Ce phénomène rappelle d'autres incidents très médiatisés. Un tableau de bord d'analyse mal configuré chez FTF Live a récemment laissé plus de 22 millions d'enregistrements de sessions de chat vidéo accessibles librement, illustrant comment une simple négligence d'infrastructure peut exposer des données sensibles à grande échelle sans qu'aucune attaque active n'ait lieu.

Pourquoi les fichiers d'identifiants et de clés constituent la fuite la plus dangereuse

Sur les 19,6 milliards de fichiers exposés, les près de 700 000 fichiers de type identifiants et clés représentent de loin la catégorie de risque la plus élevée. Ces fichiers contiennent souvent des clés API, des mots de passe de bases de données, des clés cryptographiques privées, des identifiants SSH et des jetons d'accès fournisseur cloud.

Quand un attaquant trouve un fichier d'identifiants dans un bucket ouvert, il n'a pas besoin de faire preuve de sophistication technique. Il peut utiliser ces identifiants pour s'authentifier directement sur les systèmes qu'ils protègent. Cela peut signifier un accès en lecture et écriture à une base de production, la possibilité de démarrer des infrastructures cloud sur le compte d'un tiers, ou bien pénétrer des systèmes internes autrement totalement inaccessibles.

Les extractions de bases de données constituent un risque distinct mais tout aussi grave. Ces fichiers contiennent souvent des enregistrements d'utilisateurs, des mots de passe (hachés ou en clair), des informations personnelles et des données transactionnelles. Une extraction provenant d'un prestataire de santé, d'une plateforme financière ou d'un site e-commerce peut contenir tout ce dont un attaquant a besoin pour usurper une identité, prendre le contrôle de comptes ou pratiquer l'extorsion.

Comment les mauvaises configurations cloud contournent les réseaux protégés par VPN

Un aspect contre-intuitif de ce type d'exposition est qu'il contourne de nombreux contrôles de sécurité sur lesquels les organisations s'appuient habituellement. Les VPN, pare-feu et contrôles d'accès réseau sont conçus pour protéger le trafic circulant entre les systèmes. Mais lorsque les données sont stockées dans un bucket cloud public, elles ne transitent pas du tout par ces réseaux protégés. Elles se trouvent à un emplacement que n'importe qui disposant d'une connexion Internet peut atteindre.

Cela signifie qu'un attaquant situé à l'étranger, sans accès au réseau d'entreprise et sans moyen de contourner un pare-feu, peut néanmoins récupérer le contenu d'un bucket exposé en accédant directement à son URL publique. Les données existent en dehors du périmètre que la plupart des outils de sécurité organisationnelle sont conçus pour défendre.

C'est pourquoi l'exposition de buckets de stockage cloud mal configurés est devenue l'une des voies les plus efficaces pour la collecte de données par les acteurs malveillants. Il n'y a aucune attaque à détecter, aucun trafic suspect à signaler et aucune intrusion à investiguer. Du point de vue de l'infrastructure, une consultation d'un bucket ouvert ressemble à un trafic tout à fait normal.

Ce que les organisations et les particuliers peuvent faire dès maintenant

Pour les organisations qui gèrent du stockage cloud, l'étape la plus urgente est un audit des permissions. Chaque bucket de stockage doit être vérifié pour confirmer qu'il n'est pas configuré en accès public, sauf s'il existe une raison délibérée et documentée pour cela. Les principaux fournisseurs cloud, notamment AWS, Google Cloud et Azure, proposent tous des outils pour identifier les buckets aux contrôles d'accès trop permissifs, et certains offrent désormais des paramètres au niveau du compte pour bloquer par défaut tout accès public.

Au-delà des permissions, l'hygiène des identifiants est primordiale. Les fichiers d'identifiants et de clés ne devraient jamais être stockés dans des buckets de stockage cloud, en aucune circonstance. Il existe des outils de gestion des secrets conçus spécifiquement pour gérer les clés API, jetons et identifiants de manière sécurisée, en les maintenant hors des stockages de fichiers.

Pour les particuliers, le risque concerne moins ce qu'ils maîtrisent que ce que les organisations qui détiennent leurs données maîtrisent. Les mesures pratiques sont bien connues : utilisez des mots de passe uniques et robustes pour chaque compte afin qu'un vidage d'identifiants d'un service ne puisse pas déverrouiller les autres, activez l'authentification multifacteur partout où elle est proposée, et surveillez vos comptes pour détecter toute activité inhabituelle.

Les conclusions de Mysterium VPN rappellent que certains des risques les plus importants en matière de sécurité des données n'impliquent pas du tout des attaques sophistiquées. Ils impliquent des négligences administratives ordinaires qui passent inaperçues pendant des mois ou des années. Vérifier l'hygiène du stockage cloud n'est pas un travail prestigieux, mais à l'échelle décrite dans ce rapport, c'est l'un des travaux de sécurité les plus cruciaux qu'une organisation puisse mener en ce moment.