Des serveurs d’Accenture sur S3 ouverts à tout vent

Accenture a rapidement sécurisé 4 serveurs dans le Cloud d’AWS qui étaient accessibles sans mots de passe et contenaient des données sensibles.

Le cabinet a frisé la correctionnel en matière de protection des données. Selon nos confrères de ZDnet, Accenture a été alerté à la mi-septembre par un spécialiste de la sécurité, Chris Vickery, de la société UpGuard, de l’exposition de 4 serveurs de la société de conseil. Ces équipements sont hébergés sur Amazon S3 et ils étaient accessibles sans mot de passe.

Une pêche miraculeuse

Là où le bât blesse, c’est le contenu des dits serveurs. Une vraie caverne d’Ali Baba pour des gens malintentionnés ou comme le résume Chris Vickery, l’accès aux « clés du royaume ». Car, les serveurs contenaient des éléments d’authentification, des clés de signature, des certificats, des mots de passe pouvant être utilisés pour berner les clients d’Accenture, mais aussi déchiffrer le trafic entre les entreprises et la firme de consulting. Mieux encore, le spécialiste a déniché les clés-maîtres du gestionnaire de clés (KMS) sur AWS. Un sésame pour l’ensemble des données clients stockées sur la plateforme IaaS.

Dans sa pêche miraculeuse, l’expert a également découvert des éléments d’authentification pour Google Cloud Platform et Azure de Microsoft. Le serveur le plus conséquent comprenait 137 Go de données dont des bases de données comprenant des informations clients, ainsi que 40 000 mots de passe stockés en clair.

Accenture minimise l’affaire

Interrogé par nos confrères journalistes, Accenture a minimisé l’affaire en expliquant que les serveurs touchés ne représentaient que 0,5% de son activité Cloud. Par ailleurs, le groupe précise qu’aucune donnée client n’a été compromise. Les serveurs ont été depuis sécurisé et une enquête est en cours pour en savoir plus. La firme affirme que les mots de passe découverts datent de 2 ans et demi et qu’ils sont périmés.

Il n’empêche, selon Chris Vickery, Accenture a joué avec le feu et a mis en danger beaucoup de clients. Des pirates auraient pu provoquer « des dommages financiers incalculables », peut-on lire sur le blog d’Upguard. Au regard des prochaines échéances réglementaires en Europe par exemple avec le RGPD, Accenture aurait peut-être eu bien du mal à justifier l’absence de sécurité sur ces 4 serveurs. Avec à la clé, une potentielle amende.

Photo credit: via VisualHunt.com /  CC BY-NC-ND

 

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s