photo @daanmooij

Les tuyaux percés du Big Data suisse

Par dans Electronique le 4 avril 2019

Les cas massifs de données sensibles ouvertement disponibles sur le web ne touchent pas que les Etats-Unis ou la Chine. En Suisse, des compagnies aussi réputées que Swisscom ou Infomaniak (qui héberge ce site) laissent traîner des gigaoctets de données sans aucune protection.

39 serveurs en Suisse

Ainsi, ces derniers jours, un chercheur a montré qu’une mauvaise configuration (parfois une absence totale de mot de passe) sur plus de 26’000 consoles d’administration Kibana, un outil de gestion de serveurs big data très populaire, permettait à tout un chacun d’accéder aux données qui y sont stockées.

Rien qu’en Suisse, on compte 39 serveurs dont les consoles sont accessibles, parfois en libre accès, permettant ainsi une consultation de données sans droits particuliers. Plus important encore, un navigateur internet standard suffit, à qui le voudrait, d’accéder en toute impunité à ces informations.

Un accès bas niveau de cette manière ne devrait jamais avoir lieu

Les hébergeurs de ces serveurs mal configurés ne sont pas des nouveaux venus dans les big data, puisque, dans l’ordre d’importance, on compte Swisscom, Metanet, l’Université de Genève, Akenes, et UPC. Dans le lot, on trouve également la Haute école spécialisée de Genève (HES-SO), dont le serveur ouvert met même à disposition de tous une base de données biomédicale où les données complètes finales sont accessibles. L’UIT, l’Union internationale des télécommunications fait aussi – ironiquement – partie du lot.

Les captures d’écran ci-dessous – caviardées – sont révélatrices:

fuites Kibana

fuites Kibana Suisse avec accès censurés

 

Kibana UniGe

console Kibana UniGE

 

Kibana ITU

console Kibana ITU

 

Swisscom et UPC

Et ce n’est pas tout. Un second chercheur s’est penché sur iSCSI, un protocole très populaire parmi les professionnels qui gèrent les réseaux. iSCSI permet en effet un stockage distant et un accès souvent à de grandes quantités d’informations. Bien sûr, un tel protocole ne devrait jamais être accessible publiquement sur le net. Pourtant, plus de 13’000 serveurs iSCSI étaient en accès ouvert sans mot de passe, selon l’étude citée ci-dessus.

En Suisse, 149 de ces serveurs se sont révélés en accès ouvert, sans mot de passe. Les hébergeurs possédant ces serveurs, sont dans l’ordre d’importance, comme on peut le voir ci-dessous, Swisscom, UPC, Infomaniak, Sunrise, Green. On trouve aussi dans le lot, entre autres, l’Université de Genève, ou le Poly de Zurich.

fuites iSCSI

fuites iSCSI Suisse avec accès censurés

C’est dangereux?

Alors, est-ce dangereux? Tout d’abord, oui, car aucun de ces gestionnaires de contenus – qu’ils servent à des tests, du développement ou contiennent des données sensibles – ne devrait pouvoir être accessible en dehors des entreprises qui les gèrent. Le fait qu’ils soient ouverts à tous les vents est une faute de sécurité de base qui ne laisse pas d’inquiéter.

Ceci dit, il n’est pas toujours aisé de connaître le nom du possesseur final d’un serveur; à savoir, s’il s’agit d’un serveur interne parmi les gros fournisseurs d’accès internet suisses cités ou d’un serveur d’un de leurs clients. Il n’est pas non plus aisé de savoir si les données finales sont confidentielles ou si ce sont des résultats issus de recherches ouvertes par exemple. Mais en tout cas, un accès bas niveau de cette manière ne devrait jamais avoir lieu.

Suisse mal lotie

In fine, ces deux cas font partie d’un mouvement de fond global, qui voit de nombreux chercheurs en sécurité s’atteler à débusquer les serveurs big data sans protection. Une partie de cette action a comme but d’alerter les entreprises qui ont installé ces serveurs, mais aussi de diffuser publiquement ces informations dans des blogs ou auprès de journalistes, pour aider à une prise de conscience mondiale sur l’ampleur des fuites de données. De la même manière, des gangs d’escrocs se sont lancés dans cette chasse, mais pas pour les mêmes raisons…

Les citoyens finaux, eux, lorsqu’ils sont inclus dans ces fuites de données, sont souvent les derniers au courant (quand ils le sont…). Si la Suisse parle beaucoup des fuites de mots de passe sur le web, on voit ici qu’il ne s’agit que d’une toute petite partie de l’iceberg. Concernant la non-protection des données et du big data, notre pays n’est certainement pas mieux loti que le reste du monde. ♦


Lire aussi
Et si la bulle publicitaire du web explosait? Si le grand public adoptait les bloqueurs de pub, c’est l’ensemble de l’économie du web qui s’effondrerait.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Facebook IconTwitter IconIMa page Google+IMa page Google+