Accenture a rapidement sécurisé 4 serveurs dans le Cloud d’AWS qui étaient accessibles sans mots de passe et contenaient des données sensibles.
Le cabinet a frisé la correctionnel en matière de protection des données. Selon nos confrères de ZDnet, Accenture a été alerté à la mi-septembre par un spécialiste de la sécurité, Chris Vickery, de la société UpGuard, de l’exposition de 4 serveurs de la société de conseil. Ces équipements sont hébergés sur Amazon S3 et ils étaient accessibles sans mot de passe.
Une pêche miraculeuse
Là où le bât blesse, c’est le contenu des dits serveurs. Une vraie caverne d’Ali Baba pour des gens malintentionnés ou comme le résume Chris Vickery, l’accès aux « clés du royaume ». Car, les serveurs contenaient des éléments d’authentification, des clés de signature, des certificats, des mots de passe pouvant être utilisés pour berner les clients d’Accenture, mais aussi déchiffrer le trafic entre les entreprises et la firme de consulting. Mieux encore, le spécialiste a déniché les clés-maîtres du gestionnaire de clés (KMS) sur AWS. Un sésame pour l’ensemble des données clients stockées sur la plateforme IaaS.
Dans sa pêche miraculeuse, l’expert a également découvert des éléments d’authentification pour Google Cloud Platform et Azure de Microsoft. Le serveur le plus conséquent comprenait 137 Go de données dont des bases de données comprenant des informations clients, ainsi que 40 000 mots de passe stockés en clair.
Accenture minimise l’affaire
Interrogé par nos confrères journalistes, Accenture a minimisé l’affaire en expliquant que les serveurs touchés ne représentaient que 0,5% de son activité Cloud. Par ailleurs, le groupe précise qu’aucune donnée client n’a été compromise. Les serveurs ont été depuis sécurisé et une enquête est en cours pour en savoir plus. La firme affirme que les mots de passe découverts datent de 2 ans et demi et qu’ils sont périmés.
Il n’empêche, selon Chris Vickery, Accenture a joué avec le feu et a mis en danger beaucoup de clients. Des pirates auraient pu provoquer « des dommages financiers incalculables », peut-on lire sur le blog d’Upguard. Au regard des prochaines échéances réglementaires en Europe par exemple avec le RGPD, Accenture aurait peut-être eu bien du mal à justifier l’absence de sécurité sur ces 4 serveurs. Avec à la clé, une potentielle amende.
Photo credit: tö via VisualHunt.com / CC BY-NC-ND