Des services cloud mal gérés mettent les données des utilisateurs en danger

serveur cloud

Crédit : domaine public CC0

L’incapacité des organisations à gérer correctement les serveurs qu’elles louent aux fournisseurs de services cloud peut permettre aux attaquants de recevoir des données privées, comme l’ont montré les recherches que mes collègues et moi avons menées.

Le cloud computing permet aux entreprises de louer des serveurs de la même manière qu’elles louent des espaces de bureau. Il est plus facile pour les entreprises de créer et de gérer des applications mobiles et des sites Web lorsqu’elles n’ont pas à se soucier de posséder et de gérer des serveurs. Mais cette manière d’héberger des services pose des problèmes de sécurité.

Chaque serveur cloud possède une adresse IP unique qui permet aux utilisateurs de se connecter et d’envoyer des données. Une fois qu’une organisation n’a plus besoin de cette adresse, elle est donnée à un autre client du fournisseur de services, peut-être avec une intention malveillante. Les adresses IP changent de mains aussi souvent que toutes les 30 minutes lorsque les organisations changent les services qu’elles utilisent.

Lorsque les organisations cessent d’utiliser un serveur cloud mais ne parviennent pas à supprimer les références à l’adresse IP de leurs systèmes, les utilisateurs peuvent continuer à envoyer des données à cette adresse, pensant qu’ils parlent au service d’origine. Parce qu’ils font confiance au service qui utilisait auparavant l’adresse, les appareils des utilisateurs envoient automatiquement des informations sensibles telles que la position GPS, les données financières et l’historique de navigation.

Un attaquant peut en profiter en « squattant » le cloud : réclamer des adresses IP pour tenter de recevoir du trafic destiné à d’autres organisations. Le renouvellement rapide des adresses IP laisse peu de temps pour identifier et corriger le problème avant que les attaquants ne commencent à recevoir des données. Une fois que l’attaquant contrôle l’adresse, il peut continuer à recevoir des données jusqu’à ce que l’organisation découvre et corrige le problème.

Notre étude d’une petite fraction des adresses IP cloud a révélé des milliers d’entreprises susceptibles de divulguer des données utilisateur, y compris des données provenant d’applications mobiles et de trackers publicitaires. Ces applications avaient initialement pour but de partager des données personnelles avec des entreprises et des annonceurs, mais ont plutôt divulgué des données à quiconque contrôlait l’adresse IP. Toute personne disposant d’un compte cloud pourrait collecter les mêmes données auprès d’organisations vulnérables.






Les services cloud mal gérés sont une autre opportunité pour les attaquants de voler des données. Crédit : Penn State

Pourquoi est-ce important

Les utilisateurs de smartphones partagent des données personnelles avec les entreprises via les applications qu’ils installent. Dans une enquête récente, les chercheurs ont découvert que la moitié des utilisateurs de smartphones étaient à l’aise de partager leur position via des applications pour smartphone. Mais les informations personnelles que les utilisateurs partagent via ces applications pourraient être utilisées pour voler leur identité ou nuire à leur réputation.

Les données personnelles ont connu une réglementation croissante ces dernières années, et les utilisateurs peuvent se contenter de faire confiance aux entreprises avec lesquelles ils interagissent pour suivre ces réglementations et respecter leur vie privée. Mais ces réglementations peuvent ne pas suffisamment protéger les utilisateurs. Nos recherches montrent que même lorsque les entreprises ont l’intention d’utiliser les données de manière responsable, de mauvaises pratiques de sécurité peuvent laisser ces données à la merci.

Les utilisateurs doivent savoir que lorsqu’ils partagent leurs données privées ou personnelles avec des entreprises, ils sont également exposés aux pratiques de sécurité de ces entreprises. Ils peuvent prendre des mesures pour réduire cette exposition en réduisant la quantité de données qu’ils partagent et avec combien d’organisations ils les partagent.

Quelles autres recherches sont en cours dans ce domaine

Les universitaires et l’industrie se concentrent sur la collecte responsable des données des utilisateurs. Une poussée récente de Google vise à réduire la collecte des données personnelles des utilisateurs par les publicités mobiles, en veillant à ce que leur sécurité et leur confidentialité soient protégées.

Dans le même temps, les chercheurs s’efforcent de mieux expliquer ce que font les applications avec les données qu’elles collectent. Ce travail vise à garantir que les données que les utilisateurs partagent avec les applications sont utilisées comme ils le souhaitent en faisant correspondre les invites d’autorisation avec le comportement réel des applications.

Et après

Nous menons des recherches sur les nouvelles technologies sur les smartphones et les appareils pour nous assurer qu’ils protègent les données des utilisateurs. Par exemple, une recherche menée par un de mes collègues décrit une approche pour protéger les données personnelles collectées par des caméras intelligentes. Notre point de vue sur le trafic dans le cloud public permet également de nouvelles études sur Internet dans son ensemble. Nous continuons à travailler avec les fournisseurs de cloud pour nous assurer que les données des utilisateurs stockées sur le cloud sont sécurisées et introduisons des techniques pour empêcher les entreprises et leurs clients d’être victimes sur le cloud.


La location de serveurs cloud peut laisser des données sensibles à saisir


Fourni par La Conversation

Cet article est republié de The Conversation sous une licence Creative Commons. Lire l’article d’origine.La conversation

Citation: Les services cloud mal gérés mettent les données des utilisateurs en danger (11 avril 2022) récupéré le 11 avril 2022 sur https://techxplore.com/news/2022-04-mismanaged-cloud-user.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.