Alors que des dizaines de geeks impétueux s’attaquaient aux machines à voter durant toute la durée de la DefconXXV, c’est une fuite d’un tout autre genre (mais trouvant son origine précisément chez un fournisseur desdites machines) qui défraye les chroniques de l’Illinois. 1,8 million de données personnelles étaient accessibles sur un service Cloud Amazon mal configuré : une fois n’est pas coutume, ce n’est pas l’urne électronique qui était en cause, mais le « backoffice » du système électoral, explique Chris Vickery au fil de ses gazouillis sociaux. La presse locale ne pouvait trouver sujet plus croustillant. Nulle information n’aurait été divulguée de manière publique, le patron de la cellule de recherche d’Upguard ayant prévenu à temps le spécialiste du vote presse-bouton.
Il faut dire que Vickery s’est taillé une certaine réputation dans le domaine de la recherche du SGBD bancale et du dépôt Cloud poreux. Rob Pegoraro, de Yahoo Finance, dresse l’impressionnant palmarès de ce chercheur : 13 millions d’identifiants accessibles sur un service Kromtech, 6 millions de profils dégoulinants des banques de données Verizon , 87 millions de données personnelles provenant des registres de vote Mexicains. De quoi occuper les manchettes des journaux et réaliser de la publicité à pas trop chère pour le compte d’Upguard.
Pourtant, ce stakhanovisme de l’analyse des données Shodan et autres opérations de Google hacking peut inspirer des moins doués, avec les conséquences désastreuses que l’on devine. Ainsi cette fuite très hypothétique que prétend avoir découvert l’équipe de Direct Defense en analysant les services d’une autre entreprise du secteur InfoSec, Carbon Black. De manière très schématique, le service d’analyse virale « à la demande » de Carbon Black Response, qui utilise VirusTotal de Google, risquerait de dévoiler le contenu des données soumises à analyse. Accès indiscret réservé uniquement au personnel ayant un droit de regard sur les mécanismes internes de l’application et aux transactions entre C.B. Response et VirusTotal… agents Fédéraux, employés des entreprises, prestataires de services etc. Rien n’est en revanche exploitable depuis le réseau public.
Cette querelle d’experts provoque diverses réactions auprès des confrères et néanmoins concurrents de Carbon Black, certains rappelant que ce genre de pratique est assez courant et que bon nombre d’entreprises vont jusqu’à expédier non pas de simples condensats à VirusTotal, mais des exécutables en entier.
Brian Krebs renchérit et publie un article assez mordant condamnant… non pas cette guéguerre stérile entre professionnels de la sécurité, mais nos confrères de Guizmodo qui ont joué les caisses de résonance en faveur de Direct Defense, sans contre-enquête manifestement auprès de l’entreprise concurrente visée. D’un point de vue déontologique, l’ancien journaliste du Washington Post qu’est Krebs a entièrement raison. Il est cependant évident que le « manque de sérieux » et le « sensationnalisme » de toute cette affaire a pour origine, une fois de plus, un professionnel de la sécurité des S.I. .