Mi-trou de sécurité, mi-caisse de résonance, l’exposition publique de quelques 14 millions d’enregistrements provenant des bases de données de Verizon fait les grands titres de la presse anglo-saxonne.
A l’origine de cette divulgation,un billet de Chris Vickery, d’Upguard, un expert en sécurité dont le fonds de commerce médiatique repose beaucoup sur la détection des erreurs de paramétrage et d’usage d’Amazon Web Services. Car c’est sur un serveur AWS, paradoxalement détenu par une autre entreprise de sécurité, l’Israélien Nice, qu’a été découvert cet empilement de fichiers. Noms, prénoms, code pin d’identification téléphonique délivré par l’opérateur… Vickery en profite au passage pour tailler un costume sur mesure à Nice, en rappelant que l’entreprise est également une sorte de « mini-Amesys » qui vend à qui veut bien des solutions-de-surveillance-des-citoyens-pédo-terroristo-trafiquants de drogue.
Verizon,pour sa part, minimise l’importance de l’affaire en précisant qu’une grande part des données n’étaient que des condensats non directement exploitables (l’article de Vickery laisse planer un doute sur la proportion de données réellement chiffrées) et que, jusqu’à présent, personne d’autre que les chercheurs d’Upguard n’ont eu accès à ce dépôt. Ce que conteste Wickery en précisant« nul ne sait combien de personnes ont pu fouiller dans ces fichiers avant que nous nous en apercevions ».
The Verge, CNN, ZDNet, Engadget, Cnbc, Threatpost, FoxNews, L.A.Times… chacun y va de son article plus ou moins alarmiste reflétant la « découverte » d’Upguard. Alarmisme parfaitement orchestré par un professionnel de la sécurité qui s’empressera un jour de dénoncer le traitement anxiogène de l’information par « un certain type de presse ». Pas de doute, le business de la sécurité des S.I. ne change pas une formule qui gagne : 80 % d’exagération, 20 % d’indignation.
1 commentaire