Le cloud, c’est sacrément sécurisé, ça c’est sûr (mantra)

Amoureux des nuages, ne lisez surtout pas l’étude de l’Université de Darmstadt et de l’Institut Fraunhofer portant sur les pratiques parfois fantaisistes non pas des opérateurs Cloud, mais des auteurs d’applications qui, eux, ne respectent pas les recommandations desdits opérateurs. Et ce particulièrement en matière de sauvegarde des données et synchronisation des équipements mobiles. Et en ne respectant pas ces mécanismes, lesdits développeurs d’applications dans le nuage donnent libre accès au contenu de leurs clients. Une analyse des services Facebook Parse et Amazon AWS aurait dévoilé l’existence de plus de 56 millions de « jeux de données » directement exposés et exploitables. A l’origine de ce défaut, un mésusage des services BaaS (Backend as a service), employé parfois pour y stocker, outre les fichiers habituels, des données strictement confidentielles, et plus particulièrement les clefs d’accès, mots de passe et autres noms réels d’utilisateurs, adresses email, carnets d’adresse, photographies etc. La sécurité d’un service BaaS, expliquent les chercheurs de l’Institut, ne repose généralement que sur un token d’API qui peut être volé au fil d’une session légitime, donnant à l’intercepteur un droit de lecture sur l’espace de stockage. Si cet espace contient des informations confidentielles… vae victis.