Amazon alerte les utilisateurs de S3 trop souples

De nombreux utilisateurs assurent avoir reçu des e-mails d’Amazon pour les alerter du fait que leurs buckets S3 sont configurés pour être publiquement accessibles. Récemment, UpGuard a levé le voile sur des configurés trop lâches de buckets S3 utilisés par des organisations telles que Dow Jones, le comité national républicain des Etats-Unis, ou encore des sous-traitants de Verizon et du ministère américain de la Défense, ou encore d’Orange. Des erreurs humaines ont laissé les données stockées en mode Cloud exposées au risque de fuites.

Amazon semble donc avoir pris la décision d’agir en alertant ses utilisateurs dont les buckets S3 sont publiquement accessibles, et en leur suggérant de se pencher sur leurs politiques de confidentialité ainsi que sur les contenus de leurs buckets, afin d’éviter l’exposition de données sensibles. Uranium328, chercheur en sécurité et pentester freelance pour HackerOne, a partagé sur Twitter une copie du message envoyé par Amazon.

If everyone followed these emails 🤓 pic.twitter.com/Ef6XbOrWP0

— Uranium238 (@uraniumhacker) July 19, 2017

Dans celui-ci, on peut lire que “par défaut, les listes de contrôle d’accès des buckets S3 n’autorisent que le titulaire du compte à consulter le contenu du bucket ; mais ces listes de contrôle d’accès (ACL) peuvent être configurées pour donner accès au monde entier ». Amazon concède qu’il peut y avoir de bonnes raisons pour configurer ainsi le contrôle d’accès à un bucket, qu’il s’agisse « de sites Web publics ou de contenus publiquement téléchargeables ».

Las, le fournisseur d’infrastructure Cloud souligne aussi « qu’il y a eu récemment révélation publique par des tiers des contenus de buckets S3 qui avaient été configurés par inadvertance pour permettre un accès complet en lecture » alors même qu’il n’y avait pas d’intention de rendre ces contenus accessibles librement à tous. Dès lors, Amazon encourage à « examiner rapidement vos buckets S3 et leurs contenus pour vous assurer que vous ne rendez pas, par inadvertance, des contenus accessibles à des utilisateurs auxquels vous n’aviez pas l’intention » de donner un accès.

Le message d’Amazon renvoie plus loin aux documents de support d’AWS et souligne que les réglages donnant accès à « Tous les utilisateurs » ou « Tout utilisateur AWS authentifié » ouvrent potentiellement le contenu concerné au monde entier.

Pour Scott Petry, Pdg d’Authentic8, cette démarche est la bienvenue : « Amazon ne peut pas empêcher ses clients de se faire du mal eux-mêmes, mais il peut assurément renforcer leur niveau de conscience ». Et cela lui paraît d’autant plus important que « les récentes fuites étaient éminemment évitables ».