Défauts de configuration : les groupes Google ne sont pas épargnés
Les chercheurs de Kenna Security affirment que de tels défauts de configuration ont conduit à l’exposition de données sensibles de nombreuses organisations. Mais l’étendue du problème reste difficile à mesurer.
Selon Kenna Security, un nombre important d'utilisateurs de la G Suite ont mal configuré les paramètres des groupes Google et exposé des données sensibles. Et le phénomène serait "répandu".
Ce n’est pas la première affirmation de cette nature. L'année dernière, Redlock Cloud Security Intelligence assurait déjà que des défauts de configuration des groupes Google étaient responsable de l'exposition des données de centaines de comptes.
Kenna indique avoir échantillonné 2,5 millions de domaines et trouvé 9 637 groupes Google publics. Les chercheurs ont alors étudié 171 de ces groupes, pour déterminer que 31 % d'entre eux « exposent actuellement des courriers électroniques sensibles », avec un niveau de confiance de 90 %.
Dans un billet de blog, les chercheurs de Kenna expliquent qu’en « extrapolant à partir de l'échantillon original, il est raisonnable de supposer qu'au total, plus de 10 000 organisations exposent par inadvertance des informations sensibles » sur Internet. Et d’ajouter que l’on compte, par les organisations concernées, des entreprises qui figurent au classement Fortune 500, des hôpitaux, des universités, des médias, des prestataires de services financiers, et même des agences gouvernementales américaines.
On compte à ce jour plus de 3 millions de comptes G Suite payants et un nombre inconnu de comptes G Suite gratuits. Dans un échange par e-mail, Kenna reconnaît ne pas penser avoir « testé la grande majorité des domaines G Suite ». Mais Google indique de son côté que les groupes sont définis comme privés par défaut et qu'un administrateur doit activement choisir de rendre un groupe public ou autoriser d'autres utilisateurs à créer des groupes publics.
Il reste difficile à évaluer le nombre de groupes ainsi configurés comme ouverts à tous, mais une source proche du sujet assure que la grande majorité des groupes est privée. Google a en outre envoyé des messages aux utilisateurs susceptibles d'être affectés, avec des instructions sur la façon de résoudre la mauvaise configuration de leurs groupes.
Du particulier à l’extrapolation
Les travaux de Kenna Security rappellent le problème de configuration de buckets AWS S3, dont certains ont été accidentellement ouverts au public.
« En fin de compte, chaque organisation est responsable de la configuration de ses systèmes, mais des mesures peuvent être prises pour que les organisations puissent facilement faire la différence entre public/privé pour quelque chose d'aussi critique que le courrier électronique interne », relève un porte-parole de Kenna. Et de souligner que, « par exemple, à la suite des fuites de données sur les buckets S3, AWS a modifié son interface graphique, ajoutant un badge "Public" aux buckets concernés. Amazon a également communiqué proactivement auprès des propriétaires des buckets publics ».
Mais une différence majeure entre les travaux de Kenna et ceux d’UpGuard, dans la découverte de plusieurs buckets AWS publics, se cache dans les détails. Kenna extrapole à partir d'un échantillon pour affirmer que quelque 10 000 des 3 millions de groupes Google (0,3 %) sont mal configurés. Et de présenter des exemples d'e-mails révélant la possibilité d'attaques en hameçonnage ciblé, ou de fraude.
De son côté, UpGuard a spécifiquement attribué les données exposées, y compris les listes électorales du Comité national républicain pour 200 millions de personnes, des informations sur 14 millions de clients Verizon, des données extraites de LinkedIn et de Facebook, et des fichiers de la NSA détaillant des projets militaires.
Alex Calic, directeur stratégie de The Media Trust, estime que Google « fait le bon choix définissant les groupes comme privés par défaut ». Car pour lui, « en fin de compte, les entreprises sont responsables de collaborer avec leurs partenaires / fournisseurs numériques pour améliorer et maintenir leur posture de sécurité ».