Les données de 114 millions de citoyens américains et d’entreprises exposées en ligne

0

Une société de PenTest estonienne vient de détecter une énorme base de données contenant les données de 114 millions de citoyens américains et entreprises américaines, non protégée et accessible en ligne. Au total au moins 83 millions de personnes seraient impactées.

Il est possible qu’à un moment donné, que ce soit dans le cadre de traitement automatisé ou de production, des informations sensibles se retrouvent dans des bases de données sur le moteur de recherche ElasticSearch. Cela présente des risques potentiels et dès lors il faut être en mesure d’assurer la protection de ces bases.

Pour cela, tout est une question d’identité. Qui est censé accéder aux informations ? Qui a accès aux informations à un moment particulier ? Pouvons-nous évaluer le risque lié à la possibilité de consulter ces données ? Comment ce risque est-il atténué ?

Cette problématique peut être abordée de plusieurs façons et la première serait de considérer l’identité comme le nouveau périmètre. Il est primordial qu’une identité soit correctement définie, gérée tout au long du « flux » de communication entre l’utilisateur et les données, liée aux droits appropriés et authentifiée par des moyens adaptés :  un mot de passe, une authentification multi-facteur ou encore la biométrie.

L’accès à ces données doit se faire dans un contexte légitime. Ce qui ouvre alors la deuxième partie de ce questionnement : Qui a accédé aux bases et dans quel but ? Comment ces accès sont-ils audités ? Ont-ils été fait par un utilisateur privilégié ou par un utilisateur métier légitime ? Ont-ils été générés par des API ?

Il semble tout à fait clair qu’il est préférable d’imposer l’authentification au tout début de ces accès. Que ces données puissent être accessibles sans aucune authentification, ni d’identification, cela ne devrait tout simplement pas être imaginable. L’authentification/identificaction des personnes ayant accès devrait être l’élément essentiel conformément aux commandements « Connais tes utilisateurs », « Connais leurs droits » …

Si aucune authentification n’a été fournie, le premier commandement n’a pas été respecté. Au lieu de protéger le périmètre par le biais de l’identité, on finit par devoir vérifier les traces post-mortem des intrus pour peut-être, avoir une idée de ce qu’ils ont fait et de qui ils étaient et à quel moment ils ont atteint le système…

About Author

Julien Cassignol

Ingénieur Avant-Vente, One Identity

Leave A Reply