Tierney - stock.adobe.com
AWS continue ses efforts pour réduire les fuites de données depuis S3
Amazon dévoile de nouveaux paramètres pour aider les utilisateurs à éviter les fuites de données à partir de leurs buckets S3. Mais celui qui a découvert la plupart des cas doute que les changements mettront fin au problème.
Amazon tente une fois de plus d'offrir aux utilisateurs de nouveaux paramètres afin de limiter ces erreurs de configuration qui ont conduit à plusieurs de fuites de données AWS à partir de buckets S3.
Les nouveaux réglages permettent d’interdire l'accès public aux buckets S3 et la création de ces derniers, via des listes de contrôle d'accès (ACL) ou des politiques. Ces paramètres peuvent être ajustés par lots afin de réduire le risque de fuites de données accidentelles à partir de buckets existants.
Jeff Barr, évangéliste en chef d'AWS, estime que les nouveaux paramètres, appelés Amazon S3 Block Public Access, devraient « faciliter la protection des buckets et des objets ».
Dans un billet de blog, il explique que ce « nouveau niveau de protection […] fonctionne au niveau du compte et aussi sur les buckets individuels, y compris ceux que vous créerez à l'avenir. Vous avez la possibilité de bloquer l'accès public existant (qu'il ait été spécifié dans une ACL ou une politique) et de vous assurer que l'accès public n'est pas accordé aux éléments nouvellement créés. Si un compte AWS est utilisé pour héberger un lac de données ou une autre application métier, le blocage de l'accès public servira de protection au niveau du compte contre une exposition accidentelle des données. Notre but est de faire comprendre que l'accès public doit être utilisé pour l'hébergement web ».
Le problème des données de buckets S3 exposées à tous les vents a été mis mis en lumière en 2017 après que Chris Vickery, directeur de la recherche sur les cyber-risques chez UpGuard, ait commencé à trouver des buckets S3 du ministère américain de la Défense, du parti républicain, et de Verizon, entre autres, accessibles à tous, sans contrôle.
Ces changements constituent les derniers efforts d'Amazon pour limiter les erreurs de configuration susceptibles de conduire à des fuites de données à partir de S3. En novembre 2017, Amazon a fait notamment en sorte qu'il soit plus évident de savoir quels buckets étaient configurés en accès privé ou public.
Mais pour Chris Vickery, même si ces actions ont entraîné la disparition de nombreux buckets publics, « nous en avons également vu de nombreux persister, contenant des informations sensibles, et de nouveaux apparaître, toujours avec des données sensibles et accessibles à tous ».
Dès lors, selon Chris Vickery, « les nouveaux dispositifs de sécurité d'Amazon auront probablement le même effet que leurs efforts précédents : ils sécuriseront quelques buckets, mais le problème global persistera à une échelle massive. Parce que tant qu'il est possible de mal configurer un système, les gens le feront. […] Tant que les buckets S3 peuvent être configurés pour l'accès public, il y aura des expositions de données. Pour régler ce problème, il faudrait apporter des changements fondamentaux à la plateforme que nous n'avons pas encore vus ».