rvlsoft - Fotolia
Amazon S3 chiffre désormais les objets par défaut
Les nouvelles données stockées dans Amazon S3 seront désormais chiffrées par défaut, un changement qui aligne l’hyperscaler sur les politiques de ses concurrents.
Amazon S3, l’un des services de stockage objet les plus populaires, utilise un chiffrement côté serveur propriétaire appelé SSE-S3, qui chiffre chaque objet avec une clé AES 256 bits unique, puis chiffre la clé elle-même. Auparavant, les clients devaient activer manuellement SSE-S3. Désormais, c'est automatique. Le chiffrement par défaut n'entraîne aucun coût supplémentaire pour les clients et est disponible depuis le 5 janvier dans toutes les régions AWS, y compris celles d'AWS GovCloud et d'AWS China, selon un billet de blog AWS.
Sauf intervention rétroactive des utilisateurs, le statut de chiffrement des quelque 280 000 milliards objets existants ne changera pas, selon le fournisseur de cloud computing.
Ainsi, AWS se met au diapason de Microsoft Azure et de Google Cloud, qui utilisent par défaut le chiffrement au repos depuis plusieurs années. D’autres fournisseurs, dont Oracle Cloud Infrastructure, ont également standardisé cette pratique.
Selon Dave Raffo, analyste principal chez Evaluator Group, il s'agit d'une mesure positive pour protéger les données des clients. Les clients s'attendent à un chiffrement des données par défaut, qui est devenue une norme industrielle tacite. Certains pouvaient supposer à tort que S3 assurait automatiquement ledit service.
« Vous bénéficiez de cet avantage sans avoir à effectuer de mise à jour ou payer un supplément... Les utilisateurs s'y attendent et le réclament. La sécurité est un sujet important de nos jours », insiste Dave Raffo.
Plusieurs options de chiffrement côté serveur
En réalité, les clients d’AWS peuvent utiliser le chiffrement des objets dans S3 depuis 2011. Le protocole SSE-S3 rend les données hébergées dans un système de stockage généralement illisibles et inutilisables pour les humains, à moins qu'elles ne soient traduites avec une clé de chiffrement. Elle place la gestion du chiffrement des données des objets et les clés d'accès à ces données sous la responsabilité d'AWS.
Les clients disposent de deux autres options pour chiffrer les données dans les buckets, notamment la possibilité de gérer eux-mêmes les clés (SSE-C) et d’utiliser AWS KMS (SSE-KMS) pour obtenir une couche de permission et une piste d’audit supplémentaires. Une fonctionnalité côté client est également disponible depuis plus longtemps.
« Nous avons entendu très tôt [que] les clients voulaient vraiment permettre le chiffrement au repos », déclare Kevin Miller, vice-président et directeur général d'Amazon S3. Il remarque que la plupart des objets créés dans le service tirent généralement parti des fonctions de chiffrement.
Mais faire du chiffrement au repos la valeur par défaut a nécessité des tests supplémentaires pour s'assurer qu'aucune application existante ne serait interrompue par ce changement, selon Kevin Miller.
« Lorsque nous apportons des changements de ce type, nous sommes super paranoïaques, chaque application client doit fonctionner normalement », déclare-t-il. « Nous n'avons jamais modifié les valeurs par défaut des buckets. C'est la première fois que nous le faisons ».
Une once de prévention
La transition d'AWS vers le chiffrement par défaut a probablement été dictée par l'avancée des lois et des politiques de protection de données au niveau mondial, selon Marc Staimer, président de Dragon Slayer Consulting. En Europe, le fournisseur présente cette technique comme le principal rempart aux enjeux de souveraineté.
Si le chiffrement peut protéger les données, il ne constitue pas en soi une stratégie de sécurité complète, prévient Marc Staimer. Les données chiffrées au repos, au moment de leur écriture sur les disques dur situés dans les centres de données d’AWS. Les données sont déchiffrées au moment de leur accès par l’utilisateur. Cela signifie que les données sont toujours vulnérables à l'exposition si quelqu'un obtient les informations d'accès par le biais de programmes tels que les enregistreurs de frappe (keylogger) ou les efforts d'ingénierie sociale.
« La plupart des accès ne se font pas directement sur le stockage. Il se fait par l'application », affirme Marc Staimer. « Chaque fois que vous présentez une bonne défense, les méchants trouvent un moyen de la contourner ».
Au cours des dernières années, AWS a concentré son discours sur la nécessité de s'assurer que les clients comprennent non seulement comment ils peuvent protéger les données dans AWS, mais aussi comment le modèle de responsabilité partagée de l'hyperscaler concernant la sécurité nécessite une intervention proactive de leur part. Cela inclut les changements apportés à la sécurité des buckets S3 à partir d'avril 2023.
Ces changements modifieront deux paramètres par défaut pour les buckets S3 nouvellement créés afin de bloquer tout accès public et de verrouiller la propriété des objets au propriétaire du bucket en désactivant les listes de contrôle d'accès par défaut. Pour modifier l'un ou l'autre de ces paramètres, il faudra effectuer une configuration manuelle.
Dans le billet de blog, AWS précise que ces deux changements sont déjà des paramètres par défaut lors de l'utilisation de la console AWS pour la création de buckets S3 et sont considérés comme de bonnes pratiques de sécurité.
Ce ne sera pas la dernière fois qu'AWS pourrait adopter une approche plus pratique pour renforcer la sécurité des données. Kevin Miller assure que l'hyperscaler continue de chercher des moyens de protéger les données des clients et de mettre en œuvre des paramètres par défaut pour encourager de meilleures pratiques.
« Vous nous verrez apporter des modifications aux paramètres par défaut là où nous pouvons augmenter la sécurité prête à l'emploi », avance-t-il.