Pour stocker leurs données, les entreprises louent des espaces sur le cloud. Cependant, cette location d'espace de stockage pourrait menacer la confidentialité de leurs données, et peut-être des vôtres. Pourquoi ? À cause de « squatteurs » qui traînent sur le cloud et récupèrent les adresses IP.
Des chercheurs de l'Université de Penn State ont conclu que le stockage sur le cloud présente des failles majeures pour la sécurité des données. La plus grande menace serait la réutilisation d'adresses IP pour différents clients des services cloud. On vous explique.
"Louer" son espace cloud
Un grand nombre d'organisations et d'entreprises sous-traitent le stockage de leurs données. Au lieu d'utiliser des serveurs au sein de l'organisation, la plupart des entreprises louent de l'espace sur le cloud pour stocker leurs données. Il est plus simple pour un grand nombre d'entreprises d'utiliser ces services plutôt que d'avoir à acheter et entretenir des serveurs dans leurs propres locaux.
Les clients de ces services cloud reçoivent une adresse IP unique qui sert à les identifier et à les lier à leurs données. Le problème, c'est que lorsqu'une entité n'a plus besoin de son adresse IP, celle-ci est attribuée à un nouveau client. Dans l'idéal, l'adresse IP devrait être « nettoyée » de toute référence à l'ancien client, afin de protéger les données confidentielles de l'organisme. Malheureusement, ce n'est pas toujours le cas : sans le vouloir, des employés ou des clients de l'entreprise vont parfois continuer d'utiliser l'adresse IP et de lui envoyer des données.
Les squatteurs du cloud
Le problème survient lorsque l'adresse IP est transférée vers un nouveau client du service de stockage cloud. Ce nouveau client pourrait être mal-intentionné et décider de « squatter » l'adresse. Dans ce cas, ces fraudeurs n'ont plus qu'à attendre que des informations appartenant à l'ancien utilisateur de l'adresse arrivent sur leurs serveurs. Ces informations peuvent être récoltées et utilisées à mauvais escient : usurpation d'identité, espionnage industriel, ou encore transferts bancaires. Avant que l'entreprise d'origine ne se rende compte du problème, de nombreuses données sensibles peuvent fuiter.
Les chercheurs de Penn State pensent que plusieurs milliers d'entreprises de leur échantillon laissent les données de leurs propres clients fuiter par inadvertance. Ces données sont celles d'utilisateurs ordinaires d'applications qui récoltent des informations comme la géolocalisation ou l'identité. Pour nous utilisateurs, il est difficile de se protéger contre ces brèches de sécurité. La seule chose à faire est de rester attentif aux données que nous décidons de partager avec les applications que nous utilisons, afin de limiter la récolte d'informations sensibles.
Source : The Conversation
