Tout part d'une copie d'une « base de données interne qui retrace six années de problèmes potentiels de confidentialité et de sécurité ». La déclaration ultérieure de Google fournie à 404Media implique que la base de données était effectivement exacte.
Parmi des « milliers » d'autres incidents répertoriés au sein de cette dernière, un rapport indique qu'un « employé de Google a accédé à des vidéos privées sur le compte YouTube de Nintendo et a divulgué des informations avant les annonces prévues par Nintendo ». Les données à disposition permettent d'établir un lien entre ce rapport et une fuite en 2017 sur un réseau social dédié aux fans de titres proposés par Nintendo.
Le post lui-même met en avant une photo d'une page web sur laquelle on voit le préfixe « admin » sur la barre d’adresse, indiquant que la page a été consultée sur les systèmes internes de Google. Le jeu en question s'intitule « Yoshi for the Nintendo Switch » et sortira plus tard sous le nom de Yoshi's Crafted World en 2019.
Le tableau renforce l'idée que de nombreux auteurs de fuites de jeux vidéo obtiennent leurs informations à partir de vidéos YouTube privées, qui ne sont pas accessibles à moins d'être responsable de la chaîne ou, bien entendu, d'être salarié de Google et de bénéficier de certains.
{Tweet] <blockquote class="twitter-tweet"><p lang="en" dir="ltr">From what I can gather, YouTube has investigated employees breaching their contractual agreements on two different occasions in the past 18 months due to employees accessing content on the backend. <br><br>Following today (and presumably SGF), we'll see a third investigation fairly…</p>— Tom Henderson (@_Tom_Henderson_) <a href="https://twitter.com/_Tom_Henderson_/status/1796298547647635940?ref_src=twsrc%5Etfw">May 30, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/Tweet]
Une fuite qui fait suite à la suppression à la présumée suppression accidentelle du compte Google cloud d’un fonds de pension de 125 milliards de dollars
Une mauvaise configuration de Google Cloud a entraîné la suppression du compte d'UniSuper à mi-parcours du mois de mai, ce qui a perturbé les activités de plus d'un demi-million de membres du prestataire de services financiers. « Les services ont commencé à être rétablis pour les clients d'UniSuper jeudi, plus d'une semaine après que le système a été mis hors ligne », selon des rapports en la matière. C’est un nouvel incident en lien avec ce type de services chez le géant technologique qui vient raviver le débat sur les avantages et les inconvénients de l’informatique en nuage.
Le PDG d'UniSuper, Peter Chun, a écrit aux 620 000 membres du fonds, expliquant que la panne n'était pas le résultat d'une cyberattaque et qu'aucune donnée personnelle n'avait été exposée à la suite de la panne. Il a désigné le service cloud de Google comme étant à l'origine de la panne. Dans une déclaration commune conjointe avec le directeur général de Google Cloud, Thomas Kurian, les deux hommes se sont excusés auprès des membres pour la panne et ont déclaré qu'elle avait été « extrêmement frustrante et décevante ». Ils ont déclaré que la panne avait été causée par une mauvaise configuration qui a entraîné la suppression du compte cloud d'UniSuper, ce qui n'était jamais arrivé à Google Cloud auparavant.
[Tweet] <blockquote class="twitter-tweet"><p lang="en" dir="ltr">This is something I’ve not year heard before. Australian trading service UniSuper is down for the second day because of… Google Cloud.<br><br>Their outage was caused by a Google Cloud issue, as confirmed by the GC team.<br><br>GC meanwhile provides no details beyond “we’re really sorry!” <a href="https://t.co/i4yuoSQQuQ">pic.twitter.com/i4yuoSQQuQ</a></p>— Gergely Orosz (@GergelyOrosz) <a href="https://twitter.com/GergelyOrosz/status/1788027655637356608?ref_src=twsrc%5Etfw">May 8, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/Tweet]
Cette situation chez UniSuper faisait suite à des signalements des utilisateurs de Google Drive selon lesquels des fichiers disparaissent de façon subite du service. Certains internautes, sur les forums d'assistance du géant technologique, ont affirmé que six mois de travail, voire plus, ont disparu sans crier gare au cours du mois de novembre de l’année précédente.
« Mes fichiers Google Drive ont disparu de façon soudaine. Les données de mai à aujourd'hui ont disparu, et la structure des dossiers est revenue à l'état du mois de mai de l’année en cours. L'activité de Google Drive ne montre aucun changement. Seule l'activité du mois de mai est visible. Aucun fichier n'a été supprimé de façon manuelle, donc aucun fichier dans la corbeille. Je n'ai jamais synchronisé ou partagé mes fichiers et mon disque avec qui que ce soit. J’en fais un usage local. J'ai suivi la procédure de récupération indiquée par l'équipe d'assistance de Google (équipe de Corée du Sud). Ils m'ont demandé de sauvegarder et de restaurer le dossier DriveFS, mais rien n'a changé. J'ai remonté la situation à l'équipe d'assistance de Google, probablement aux États-Unis, et ils m'ont demandé de signaler le problème à leur ingénieur. Mais l'ingénieur n'a pas répondu et je ne peux pas savoir s'il est en train d'examiner mon problème. J'ai utilisé le disque il y a quelques jours et ce problème horrible s'est produit le matin dernier. J'ai besoin d'aide pour le résoudre », se plaiganait un utilisateur du service en ligne qu’offre le géant technologique.
Il peut même arriver que Google décide de mettre en place de façon inattendue une limite de fichiers, ce qui a pour conséquence d’empêcher les utilisateurs de son service de stockage dans le nuage de créer de nouveaux fichiers. C’est ce qui s’est vu au début du deuxième trimestre de l’année en cours. Google a discrètement plafonné le nombre de fichiers qu’il est possible de créer et stocker dans Google Drive.
Résultat : perte de contrôle des utilisateurs sur ce qui est en principe leur espace de stockage attribué par l’entreprise. Ce changement aurait été mis en place depuis le mois de février de l’année en cours, et ce, sans communication explicative de l’entreprise. C’est à la dure que les utilisateurs l’ont découvert. Ces situations ravivent le débat sur les avantages et les inconvénients du cloud computing.
Les avantages du cloud computing sont une évidence. Les plus notables sont : la réduction des coûts de maintenance d’une infrastructure informatique, la réduction de la consommation énergétique, la disposition rapide d'une plateforme prête à l'emploi pour le déploiement des applications, la disposition d'une solution de sauvegarde simple et accessible à tous, même aux non-informaticiens, etc. Cependant, devant toutes les possibilités offertes, il demeure des réticences dans son adoption. Ces réticences sont liées, pour la plupart, au facteur de sécurité, qui reste encore un véritable défi :
- la fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats, les smartcards, la technologie OTP et bien d’autres ;
- l’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;
- l’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;
- le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;
- une action malveillante lancée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;
- les menaces persistantes avancées qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaques difficile à détecter pour un fournisseur de services cloud ;
- la perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;
- les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;
- utilisation frauduleuse des technologies cloud en vue de cacher l'identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation (la plupart des FAI proposent 30 jours d’essai gratuits) ou des accès achetés frauduleusement ;
- le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;
- les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l'architecture externe d'interfaçage avec les utilisateurs.
Et vous ?
Que pensez-vous du cloud computing ? Votre entreprise s’appuie-t-elle sur une offre d’informatique dans le nuage ? Si oui, quels en sont les usages ? Quelles sont les précautions qu’elle préconise pour bénéficier des avantages de l’approche tout en minimisant l’impact des inconvénients ?
Voir aussi :
Le Danemark interdit les Chromebooks et Google Workspace dans les écoles en raison des risques de transfert de données, et ravive le débat sur les possibilités offertes par Linux et l'open source
L'Éducation nationale confirme la fin des offres gratuites Office365 et Google Workspace dans les écoles en raison du non-respect du RGPD, emboîtant le pas à l'Allemagne, au Danemark et aux Pays-Bas
L'armée américaine choisit Google Workspace pour une poignée de ses soldats qui n'ont pas besoin des capacités de collaboration complètes d'Army365, la solution cloud proposée par Microsoft 365
Google estime qu'il est temps de facturer les petites entreprises qui se servent de sa messagerie et d'autres applications, après plus d'une décennie d'utilisation gratuite