La façon dont la montagne de données générées par les applications mobiles des entreprises est stockée sur les serveurs backend pose un vrai problème vis à vis de la protection des données, selon une nouvelle étude.
En mars, une entreprise appelée Appthority a trouvé une façon de scanner le stockage des données d’une manière automatisée, une technique semblable à la rotation d’une grande pierre froide pour compter toutes les bestioles se trouvant en dessous.
Cette technique a permis de découvrir des téraoctets de données potentiellement exposées au niveau des plateformes de base de données MongoDB, MySQL, CouchDB, Redis et Couchbase avant d’affiner l’outil de recherche de l’entreprise Elasticsearch, pour mieux gérer l’ampleur du problème.
L’équipe a travaillé à partir du stockage des données d’Elasticsearch non sécurisé pour retracer les applications qui les avaient créées, avant d’analyser un million d’applications d’entreprise Android et iOS pour voir si des données étaient envoyées à des emplacements non sécurisés.
Les résultats mènent au constat suivant en matière de protection des données : 43 To de données sur 21 000 serveurs générés par 1000 applications mobiles sont exposées.
Le sens exact du terme “exposées” n’est pas encore clair dans ce contexte, mais une analyse plus approfondie d’un sous-ensemble de 39 applications a permis d’identifier 163 Go de données perdues contenant 280 millions d’enregistrements, incluant une mine d’or d’informations personnelles identifiables (PII) et des données professionnelles sensibles.
Les catégories d’applications concernées couvrent les secteurs de l’accès mobile d’entreprise, l’agriculture, l’éducation, les voyages, la productivité au bureau et, inévitablement, les sites de rencontres et les jeux.
Dans plusieurs cas, les données exposées semblent avoir été trouvées et rançonnées par les cybercriminels. Une entreprise ciblée n’a même pas répondu à Appthority, et ce malgré le fait que les données soient toujours dans un état “exposées” lors de la publication du rapport.
Jusqu’à présent, la sécurité des applications mobiles portait sur le verrouillage des périphériques, la recherche de faiblesses dans les applications elles-mêmes, ou la limitation des privilèges des utilisateurs. Mais les serveurs backend non sécurisés sont une porte dérobée séparée permettant un accès au stockage de données des entreprises, dont les entreprises elles-mêmes ignorent peut être l’existence.
Appthority appelle ce problème “la blouse d’hôpital”, une métaphore appropriée inspirée par la façon dont ce vêtement couvre les corps des patients mais pas leur dos !
Afin de faire redescendre la pression : Étant donné que le danger se situe au niveau de l’environnement du fournisseur de l’application, les équipes sécurité et mobilité chargées d’assurer une mobilité sécurisée pour leurs entreprises, doivent trouver qu’ils ont très peu d’options directes pour se protéger contre l’exposition des données à la manière “blouse d’hôpital”.
Si les architectures big data mobiles échouent vraiment, la conséquence sera une vague de pertes de données et de demandes de rançon qui surprendra tous les internautes.
Sauf, bien sûr, que les cybercriminels courent déjà après les bases de données du cloud, comme en témoigne la récente vague d’attaques sur les serveurs MongoDB.
Si la “blouse d’hôpital” met en lumière une chose, c’est que beaucoup d’entreprises devraient craindre la mise en application du Règlement Général sur la Protection des Données de l’UE (GDPR), qui promet de lourdes retombées financières pour les entreprises rattrapées par leurs incapacités à mettre une protection des données efficace. Si cela se produit, les cybercriminels et les demandes de rançon ne seront que le début d’une longue souffrance.
Billet inspiré de Thousands of enterprise apps exposing data on back-end servers, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.