{"id":2816,"date":"2021-07-26T11:45:24","date_gmt":"2021-07-26T09:45:24","guid":{"rendered":"https:\/\/www.digdeo.fr\/articles\/?p=2816"},"modified":"2022-09-30T00:57:17","modified_gmt":"2022-09-29T22:57:17","slug":"micode-et-le-disque-dur-vole-sur-leboncoin","status":"publish","type":"post","link":"https:\/\/www.digdeo.fr\/articles\/actualite\/micode-et-le-disque-dur-vole-sur-leboncoin","title":{"rendered":"Micode et le disque dur vol\u00e9 sur LeBonCoin"},"content":{"rendered":"\n

R\u00e9cemment le youtuber Micode a voulu se rendre compte \u00e0 quel point la revente de disques durs sur Internet pouvait r\u00e9v\u00e9ler beaucoup de donn\u00e9es personnelles. Il n’a pas \u00e9t\u00e9 d\u00e9\u00e7u puisqu\u2019il est tomb\u00e9 sur un disque dur vol\u00e9 aupr\u00e8s d’un h\u00e9bergeur Cloud fran\u00e7ais.<\/p>\n\n\n\n\n\n\n\n

D\u00e9montrer la perte d’informations priv\u00e9es des vendeurs de mat\u00e9riel<\/h2>\n\n\n\n

Micode a voulu d\u00e9montrer, en achetant des disques durs aupr\u00e8s de particuliers sur Internet, la n\u00e9gligence des personnes quant \u00e0 leurs donn\u00e9es encore pr\u00e9sentes sur le mat\u00e9riel. En effet un simple formatage ne permet pas de supprimer d\u00e9finitivement toutes les donn\u00e9es d’un disque dur, il faut imp\u00e9rativement faire un formatage bas niveau au moins deux fois sur un disque SSD et plusieurs dizaines de fois sur un disque \u00e0 plateaux pour b\u00e9n\u00e9ficier d’une relative tranquillit\u00e9 sur les donn\u00e9es pr\u00e9sentes.<\/p>\n\n\n\n

Le youtuber voulait simplement prouver que le grand public ne fait pratiquement jamais cette action et qu’il en r\u00e9sulte la perte d’informations personnelles voire sensibles.<\/p>\n\n\n\n

Un disque dur d’un serveur d’infrastructure Cloud<\/h2>\n\n\n\n

D\u00e8s le d\u00e9but de ses recherches sur un disque dur ssd en particulier il a constat\u00e9 qu’un syst\u00e8me Linux \u00e9tait pr\u00e9sent. C’est un fait assez rare de trouver un disque dur d’ordinateur avec un Linux install\u00e9 sur un ordinateur grand public vu les parts de march\u00e9 de Windows et MacOS. Mais rapidement on constate que le disque dur n’est pas un Linux \u00e0 destination d’un ordinateur pour un utilisateur mais qu’il s’agit d’un disque dur d’un serveur Linux faisant tourner des serveurs virtuels.<\/p>\n\n\n\n

Si des informaticiens ou des passionn\u00e9s font souvent des tests et du d\u00e9veloppement avec des machines virtuelles, les preuves mettent en \u00e9vidence qu’il s’agit d’un serveur d’un h\u00e9bergeur Cloud.<\/p>\n\n\n\n

En tant normal un h\u00e9bergeur lorsqu’il d\u00e9-commissionne un serveur, il applique une proc\u00e9dure d’effacement des donn\u00e9es, par logiciel si le disque dur est encore utilisable ou physique par d\u00e9-magn\u00e9tisation \/ mise au pilon ou broyage.<\/p>\n\n\n

\n
\"Destruction
Destruction m\u00e9canique d’un disque dur<\/figcaption><\/figure><\/div>\n\n\n

Vuln\u00e9rabilit\u00e9s des serveurs virtuels dans le Cloud<\/h2>\n\n\n\n

Quelle confiance peut-on avoir dans un h\u00e9bergement Cloud?<\/h3>\n\n\n\n

Apr\u00e8s quelques recherches, il arrive \u00e0 monter les images disques des serveurs virtuels qui tournaient gr\u00e2ce \u00e0 ce disque dur et il constate qu’il s’agit bien de serveurs de clients qui n’ont rien \u00e0 voir avec le syst\u00e8me h\u00f4te. Il profite de l’acc\u00e8s \u00e0 un de ces serveurs pour essayer de comprendre l’usage qu’en faisait le client, il trouve un logiciel de scrapping web permettant de d\u00e9terminer la r\u00e9putation d’\u00e9tablissements touristiques. Le client italien sera content d’apprendre que son application, ses clefs API, ses clefs SSH ainsi que quelques mots de passes qu’il pensait en s\u00e9curit\u00e9 dans son h\u00e9bergement Cloud<\/a>, se baladent librement sur LeBonCoin.<\/p>\n\n\n\n

La s\u00e9curit\u00e9 de vos donn\u00e9es ne saurait reposer sur la confiance dans un h\u00e9bergement Cloud.<\/p><\/blockquote>\n\n\n\n

Quelles solutions pour un h\u00e9bergement Cloud s\u00e9curis\u00e9?<\/h3>\n\n\n\n

La d\u00e9monstration laisse malheureusement quelques indices sur l’h\u00e9bergeur Cloud concern\u00e9, il est fran\u00e7ais et important, c’est Scaleway. Mais tout cela aurait pu se produire chez Amazon AWS, Azur, GCP ou OVH ou tout autre h\u00e9bergeur \u00e0 taille plus modeste. Loin de nous l’id\u00e9e de bl\u00e2mer Scaleway en particulier, il y a eu un probl\u00e8me avec ce disque dur, \u00e0 priori un vol physiquement sans doute en fin de vie du serveur lors du d\u00e9-commissionement. Ils sauront am\u00e9liorer la s\u00e9curit\u00e9 lors de cette \u00e9tape, je n’ai aucun doute l\u00e0-dessus.

MAJ : Scaleway a post\u00e9 un article pour expliquer l’incident, cela est survenu lors du transport des disques : https:\/\/blog.scaleway.com\/incident-securitaire-video-youtube\/<\/a><\/p>\n\n\n\n

Les Clouds ne sont que des ordinateurs qui ne vous appartiennent pas. La confiance seule ne suffit pas.<\/p><\/blockquote><\/figure>\n\n\n\n

Mais alors comment en tant que client se pr\u00e9munir contre toute fuite de donn\u00e9es dans un cas pareil? La r\u00e9ponse est simple le chiffrement des disques durs.<\/strong> Micode le montre et l’explique assez bien dans sa premi\u00e8re vid\u00e9o lorsqu’il analyse des Macs, par d\u00e9faut depuis quelques ann\u00e9es les disques des MacOS sont chiffr\u00e9s. Ce chiffrement de base apporte un premier rempart d\u00e9courageant toute analyse plus pouss\u00e9e comme une porte blind\u00e9e d\u00e9courage les voleurs. Le but que le contournement consomme trop de temps. N\u00e9anmoins si votre ordinateur comporte des donn\u00e9es int\u00e9ressantes pour un concurrent ou un Etat, eux pourront mettre d’autres moyens plus cons\u00e9quents pour d\u00e9chiffrer les disques durs.<\/p>\n\n\n\n

Le chiffrement des disques durs, la meilleure solution?<\/h2>\n\n\n\n

Il pourrait \u00eatre int\u00e9ressant de chiffrer tous les disques de tous les serveurs, mais cela ralentie le traitement des donn\u00e9es et consomme du temps processeur. Autres inconv\u00e9nients, l’augmentation des espaces disques est plus complexe et n\u00e9cessite une maintenance et enfin \u00e0 chaque red\u00e9marrage pr\u00e9vu ou accidentel de votre serveur virtuel, il faut entrer le mot de passe de d\u00e9chiffrement des disques. Oui nous pr\u00e9f\u00e9rons entrer manuellement les mots de passe par un canal s\u00e9curis\u00e9 que de chiffrer et laisser le mot de passe dans la partition de d\u00e9marrage qui n’est pas chiffr\u00e9e ce qui revient \u00e0 laisser la clef sous le paillasson.<\/p>\n\n\n\n

Ensuite il faut d\u00e9terminer s’il est important de chiffrer les donn\u00e9es. Est-ce qu’un serveur h\u00e9bergeant un site Internet a besoin d’\u00eatre chiffr\u00e9 par rapport \u00e0 une base de donn\u00e9e ou un serveur de fichiers d’entreprises?<\/p>\n\n\n\n

Aussi chez DigDeo, le chiffrement des disques est propos\u00e9 sur les serveurs d\u00e9di\u00e9s physiques, les serveurs virtuels ou les instances Cloud d\u00e8s que des donn\u00e9es sensibles vont \u00eatre h\u00e9berg\u00e9es sur le serveur.<\/p>\n\n\n\n

Et cela ne nous emp\u00eache pas de chiffrer aussi le contenu dans le serveur aux disques durs chiffr\u00e9s, comme le chiffrement des emails ou des fichiers dans le cas de Cloud de fichiers.<\/p>\n\n\n\n

La probabilit\u00e9 que Micode tombe sur un disque dur aussi sensible est nous l’esp\u00e9rons relativement faible, n\u00e9anmoins cela montre \u00e0 quel point les donn\u00e9es circulent et sont hors de contr\u00f4le du client italien apr\u00e8s les avoir d\u00e9pos\u00e9es sur un Cloud.<\/p>\n\n\n\n

Vous pourrez retrouver les vid\u00e9os de cette histoire ci-dessous :<\/p>\n\n\n\n

\n