Rédigé par Antoine, le Vendredi 12 Mai 2023
Site internet existant depuis 2018, Grayhat Warfare est un moteur de recherche qui renifle des données accessible sans authentification, en libre accÚs donc depuis des serveurs Cloud mal configurés. Amazon S3, Azure, DigitalOcean et j'en passe. Il s'agit ici d'instances de clients, d'entreprises qui disposent de serveurs destinés au stockage de document de tout type tel que des images, des documents PDF, du code source...
Mais si jamais cette instance est mal configurée par l'administrateur, l'accÚs est ouvert sans contrÎle et cela présente alors de nombreux risques au sujet de la confidentialité ! De nombreuses entreprises utilisent des serveurs de stockage en Cloud... en passant de documents sans danger comme des documentations, des images de site internet.... mais aussi du code source de site Web, des base de données, des documents personnels de clients.... Bref, c'est inquiétant...
Cette démonstration a été réalisée dans un but éducatif, en aucun cas vous ne devez reproduire la procédure sur un environnement ne vous appartenant pas !
à titre d'exemple, nous voyons qu'il est possible de récupérer des informations sensibles...
Des documents accessibles, comme des scans d'une CNI, passeports par exemple :
Une facture d'un employé contenant des informations personnelles :
Du code source PHP d'un site internet. Logiquement, une page PHP exécute le code cÎté Backend (cÎté serveur) et non lire le code source directement...
Voir mĂȘme certains documents trĂšs confidentiels issus d'un gouvernement...
Bref, une catastrophe, des données qui sont hébergées sur des serveurs libre d'accÚs, des données maintenant dans la nature et des données qui peuvent se retrouver sur des BlackMarket...
Depuis 2018, le RÚglement Général des Données Personnelles (RGPD) est un texte réglementaire européen qui encadre le traitement des données de maniÚre égalitaire sur tout le territoire de l'Union européenne (UE). Si vous avez des données confidentielles vous appartenant, le premier moyen est de prendre contact avec l'entreprise, le groupe, le site Web.
Si jamais vous n'avez aucun retour ou que le site ne coopÚre pas, contactez directement la CNIL (Commission nationale de l'informatique et des libertés).
Il est important de garder protéger ses données personnelles mais protéger également les autres.
En savoir plus :
https://www.cnil.fr/fr/reglement-europeen-protection-donnees