Plus de 2,3 milliards de fichiers ont été exposés en ligne par inadvertance au cours de la dernière année, selon un rapport de l'organisme d’informations sur les menaces Digital Shadows.
Le nouveau rapport, intutilé Too Much Information: The Sequel (ou Trop d’information : la série), fait suite à l'itération précédente de l'étude, qui avait trouvé 1,5 milliard de fichiers exposés entre avril 2017 et mars 2018. Les dernières données représentent un bond de 50 % par rapport au rapport précédent.
De plus, le géant de l'assurance immobilière First American a découvert, il y a quelques jours à peine, qu'il exposait 885 millions de dossiers! Mais revenons au rapport de Digital Shadows.
Comment?
Comme on aurait pu s'y attendre, toutes ces données trouvées par Digital Shadows étaient accessibles publiquement à cause de technologies de stockage et de partage de fichiers mal configurées ou non sécurisées et ainsi, pouvaient être accédées par quiconque, et que tout le monde pouvait trouver. Environ 46 % des fichiers ont été exposés par l'intermédiaire de partages de fichiers SMB (Server Message Block), leur nombre (1,07 milliard) doublant en fait sur une base annuelle. Le protocole de transfert de fichiers (FTP) et les serveurs rsync suivent sur 20 % et 16 %, respectivement.
Les espaces de stockage d’Amazon S3, qui représentent 8 % de l'exposition totale, constituent un cas intéressant. D'une part, il ne se passe guère un mois sans un reportage largement médiatisé sur une fuite de stockage d’Amazon S3 et selon Digital Shadows, le nombre de fichiers exposés via ce service cloud a augmenté d’une année à l’autre.
Mais c'est aussi là que le rapport n'est pas que de mauvaises nouvelles, car il note que le nombre de fichiers exposés est passé de millions à des milliers après qu'Amazon Web Services (AWS) a déployé la fonction « Block Public Access » (soit bloquer l’accès public) en novembre 2018.
Quoi?
Tout ceci ne se limite évidemment pas qu'à une question de chiffres. Quels types de fichiers peut finir par être exposé accidentellement? Ça dépend, ou, comme l’explique sans ambages l’entreprise, « [les fichiers exposés] ne sont pas tous manifestement sensibles, mais il y a beaucoup d'or à travers ces montagnes de données. »
En effet, l'analyse a détecté de nombreux fichiers contenant des informations très sensibles. Y comprends bien des données – dont celles qui apparaissent dans les scanners de passeports et les relevés bancaires - qui présentent un vrai cadeau aux voleurs d’identité. Près de 5 millions de dossiers médicaux, pour la plupart des dossiers d'imagerie tels que les radiographies et autres scanners médicaux, ont également été découverts.
Les fuites de données provenant de dépôts de fichiers publics mal configurés peuvent entraîner des vols de données et des fraudes et peuvent de plus constituer des infractions en vertu du Règlement général sur la protection des données (RGPD) de l'Union européenne.
En outre, les données peuvent également être victimes d'une attaque malveillante. En effet, plus de 17 millions de fichiers trouvés par Digital Shadows ont été chiffrés par un rançongiciel.