Un organisme de surveillance du gouvernement américain a volé plus de 1 Go de données personnelles apparemment sensibles dans les systèmes cloud du ministère américain de l’Intérieur. La bonne nouvelle : les données étaient fausses et faisaient partie d’une série de tests visant à vérifier si l’infrastructure cloud du ministère était sécurisée.
L’expérience est détaillée dans un nouveau rapport du Bureau de l’Inspecteur général (OIG) du ministère de l’Intérieur, publié la semaine dernière.
L’objectif du rapport était de tester la sécurité de l’infrastructure cloud du ministère de l’Intérieur, ainsi que de sa « solution de prévention des pertes de données », un logiciel censé protéger les données les plus sensibles du ministère contre les pirates malveillants. Les tests ont été réalisés entre mars 2022 et juin 2023, écrit le BIG dans le rapport.
Le ministère de l’Intérieur gère le territoire fédéral du pays, les parcs nationaux et un budget de plusieurs milliards de dollars, et héberge une quantité importante de données dans le cloud.
Selon le rapport, afin de tester si l’infrastructure cloud du ministère de l’Intérieur était sécurisée, le BIG a utilisé un outil en ligne appelé Mockaroo pour créer de fausses données personnelles qui « sembleraient valides aux yeux des outils de sécurité du ministère ».
L’équipe du BIG a ensuite utilisé une machine virtuelle dans l’environnement cloud du Département pour imiter « un acteur malveillant sophistiqué » au sein de son réseau, et a ensuite utilisé « des techniques bien connues et largement documentées pour exfiltrer des données ».
« Nous avons utilisé la machine virtuelle telle quelle et n’avons installé aucun outil, logiciel ou logiciel malveillant qui faciliterait l’exfiltration des données du système en question », indique le rapport.
Le BIG a déclaré avoir effectué plus de 100 tests en une semaine, surveillant les « journaux informatiques et les systèmes de suivi des incidents en temps réel » du ministère, et qu’aucun de ses tests n’a été détecté ni empêché par les défenses de cybersécurité du ministère.
« Nos tests ont réussi parce que le Département n’a pas réussi à mettre en œuvre des mesures de sécurité capables de prévenir ou de détecter les techniques bien connues et largement utilisées utilisées par des acteurs malveillants pour voler des données sensibles », indique le rapport du BIG. « Au cours des années où le système a été hébergé dans un cloud, le ministère n’a jamais effectué les tests réguliers requis des contrôles du système pour protéger les données sensibles contre tout accès non autorisé. »
C’est la mauvaise nouvelle : les faiblesses des systèmes et des pratiques du Ministère « mettent en péril les [personal information] pour des dizaines de milliers d’employés fédéraux menacés d’accès non autorisé », lit-on dans le rapport. Le BIG a également admis qu’il pourrait être impossible d’empêcher « un adversaire disposant de ressources suffisantes » de s’introduire par effraction, mais qu’avec quelques améliorations, il pourrait être possible d’empêcher cet adversaire d’exfiltrer les données sensibles.
Ce test de « violation de données » a été réalisé dans un environnement contrôlé par le BIG, et non par un groupe de piratage gouvernemental sophistiqué de Chine ou de Russie. Cela donne au ministère de l’Intérieur une chance d’améliorer ses systèmes et ses défenses, suite à une série de recommandations énumérées dans le rapport.
L’année dernière, l’OIG du ministère de l’Intérieur a construit une plate-forme personnalisée de piratage de mots de passe d’une valeur de 15 000 dollars dans le cadre d’un effort visant à tester les mots de passe de milliers d’employés du ministère.