Récemment le youtuber Micode a voulu se rendre compte à quel point la revente de disques durs sur Internet pouvait révéler beaucoup de données personnelles. Il n’a pas été déçu puisqu’il est tombé sur un disque dur volé auprès d’un hébergeur Cloud français.
Démontrer la perte d’informations privées des vendeurs de matériel
Micode a voulu démontrer, en achetant des disques durs auprès de particuliers sur Internet, la négligence des personnes quant à leurs données encore présentes sur le matériel. En effet un simple formatage ne permet pas de supprimer définitivement toutes les données d’un disque dur, il faut impérativement faire un formatage bas niveau au moins deux fois sur un disque SSD et plusieurs dizaines de fois sur un disque à plateaux pour bénéficier d’une relative tranquillité sur les données présentes.
Le youtuber voulait simplement prouver que le grand public ne fait pratiquement jamais cette action et qu’il en résulte la perte d’informations personnelles voire sensibles.
Un disque dur d’un serveur d’infrastructure Cloud
Dès le début de ses recherches sur un disque dur ssd en particulier il a constaté qu’un système Linux était présent. C’est un fait assez rare de trouver un disque dur d’ordinateur avec un Linux installé sur un ordinateur grand public vu les parts de marché de Windows et MacOS. Mais rapidement on constate que le disque dur n’est pas un Linux à destination d’un ordinateur pour un utilisateur mais qu’il s’agit d’un disque dur d’un serveur Linux faisant tourner des serveurs virtuels.
Si des informaticiens ou des passionnés font souvent des tests et du développement avec des machines virtuelles, les preuves mettent en évidence qu’il s’agit d’un serveur d’un hébergeur Cloud.
En tant normal un hébergeur lorsqu’il dé-commissionne un serveur, il applique une procédure d’effacement des données, par logiciel si le disque dur est encore utilisable ou physique par dé-magnétisation / mise au pilon ou broyage.
Vulnérabilités des serveurs virtuels dans le Cloud
Quelle confiance peut-on avoir dans un hébergement Cloud?
Après quelques recherches, il arrive à monter les images disques des serveurs virtuels qui tournaient grâce à ce disque dur et il constate qu’il s’agit bien de serveurs de clients qui n’ont rien à voir avec le système hôte. Il profite de l’accès à un de ces serveurs pour essayer de comprendre l’usage qu’en faisait le client, il trouve un logiciel de scrapping web permettant de déterminer la réputation d’établissements touristiques. Le client italien sera content d’apprendre que son application, ses clefs API, ses clefs SSH ainsi que quelques mots de passes qu’il pensait en sécurité dans son hébergement Cloud, se baladent librement sur LeBonCoin.
La sécurité de vos données ne saurait reposer sur la confiance dans un hébergement Cloud.
Quelles solutions pour un hébergement Cloud sécurisé?
La démonstration laisse malheureusement quelques indices sur l’hébergeur Cloud concerné, il est français et important, c’est Scaleway. Mais tout cela aurait pu se produire chez Amazon AWS, Azur, GCP ou OVH ou tout autre hébergeur à taille plus modeste. Loin de nous l’idée de blâmer Scaleway en particulier, il y a eu un problème avec ce disque dur, à priori un vol physiquement sans doute en fin de vie du serveur lors du dé-commissionement. Ils sauront améliorer la sécurité lors de cette étape, je n’ai aucun doute là-dessus.
MAJ : Scaleway a posté un article pour expliquer l’incident, cela est survenu lors du transport des disques : https://blog.scaleway.com/incident-securitaire-video-youtube/
Les Clouds ne sont que des ordinateurs qui ne vous appartiennent pas. La confiance seule ne suffit pas.
Mais alors comment en tant que client se prémunir contre toute fuite de données dans un cas pareil? La réponse est simple le chiffrement des disques durs. Micode le montre et l’explique assez bien dans sa première vidéo lorsqu’il analyse des Macs, par défaut depuis quelques années les disques des MacOS sont chiffrés. Ce chiffrement de base apporte un premier rempart décourageant toute analyse plus poussée comme une porte blindée décourage les voleurs. Le but que le contournement consomme trop de temps. Néanmoins si votre ordinateur comporte des données intéressantes pour un concurrent ou un Etat, eux pourront mettre d’autres moyens plus conséquents pour déchiffrer les disques durs.
Le chiffrement des disques durs, la meilleure solution?
Il pourrait être intéressant de chiffrer tous les disques de tous les serveurs, mais cela ralentie le traitement des données et consomme du temps processeur. Autres inconvénients, l’augmentation des espaces disques est plus complexe et nécessite une maintenance et enfin à chaque redémarrage prévu ou accidentel de votre serveur virtuel, il faut entrer le mot de passe de déchiffrement des disques. Oui nous préférons entrer manuellement les mots de passe par un canal sécurisé que de chiffrer et laisser le mot de passe dans la partition de démarrage qui n’est pas chiffrée ce qui revient à laisser la clef sous le paillasson.
Ensuite il faut déterminer s’il est important de chiffrer les données. Est-ce qu’un serveur hébergeant un site Internet a besoin d’être chiffré par rapport à une base de donnée ou un serveur de fichiers d’entreprises?
Aussi chez DigDeo, le chiffrement des disques est proposé sur les serveurs dédiés physiques, les serveurs virtuels ou les instances Cloud dès que des données sensibles vont être hébergées sur le serveur.
Et cela ne nous empêche pas de chiffrer aussi le contenu dans le serveur aux disques durs chiffrés, comme le chiffrement des emails ou des fichiers dans le cas de Cloud de fichiers.
La probabilité que Micode tombe sur un disque dur aussi sensible est nous l’espérons relativement faible, néanmoins cela montre à quel point les données circulent et sont hors de contrôle du client italien après les avoir déposées sur un Cloud.
Vous pourrez retrouver les vidéos de cette histoire ci-dessous :
