Piratage des Google Apps utilisées par l'équipe de Twitter
Est-il sûr de stocker ses documents chez Google et les autres fournisseurs de Cloud ? Ces questions reviennent sur le devant de la scène à la suite d'un piratage touchant des documents confidentiels de l'équipe de Twitter hébergés dans les Google Apps. Un pirate a obtenu et redistribué plus de 300 documents confidentiels se rapportant aux affaires de Twitter, le réseau social de micro blogging, et qui étaient stockés sur les Google Apps. Une sécurisation insuffisante des mots de passe a été évoquée à l'origine de cette attaque, mais les analystes débattent de qui, de Google ou de Twitter, est fautif ? « Je ne sais pas au jour d'aujourd'hui si c'est une mauvaise note pour Google ou pour Twitter », s'interroge Charles King, analyste chez Pund-IT. On peut indiquer d'ailleurs, que l'équipementier automobile Valeo qui fait la une de la presse IT en déployant les Google Apps auprès de plusieurs milliers d'utilisateurs dans le monde, utiliserait pour sa part, un système de sécurité supplémentaire, de type carte à puce, car supérieur au simple couple login/password, jugé insuffisant. Ceci dit, peu de temps après que le vol de données ait été signalé, le PDG de Twitter, Evan Williams, a utilisé son propre compte Twitter pour écrire qu'il avait passé « une mauvaise nuit ». Alors à qui la faute ? Google a renforcé la sécurité de ses outils de bureautique, par exemple début 2009 en ajoutant une fonction qui permet aux administrateurs de définir une longueur de mot de passe et d'avoir un indicateur de la sécurité de ces mots de passe. L'analyste Gartner John Pescatore explique cependant que les clients doivent se souvenir que « Twitter et la plupart des Google Apps étaient conçues, jusqu'à il y a environ 18 mois, comme des services à destination du grand public pour partager de l'information très largement et très facilement, et non pas pour la protéger et l'éviter de circuler. » Twitter décharge les Google Apps de toute responsabilité Twitter, de son côté, a déchargé les Google Apps de toute responsabilité dans un message mercredi sur le blog du co-fondateur de Twitter, Biz Stone. Plutôt que de parler d'une quelconque vulnérabilité au sein du service Google, il considère que l'incident révèle l'importance de choisir des mots de passe forts. Un compte mail piraté « Il y a un peu plus d'un mois, une employée administratif ici chez Twitter a été victime d'un piratage de son compte mail. Depuis ce compte personnel, nous pensons que le pirate a été en mesure de récupérer des informations qui lui ont donné accès au compte Google Apps de cet employé. Il a ainsi pu accéder aux applications 'Documents' et 'Calendrier' qu'utilise Twitter pour partager des notes, feuilles de calcul, idées, détails financiers et autres informations de la compagnie. Depuis, nous avons fait un audit de la sécurité et rappelé à tous les lignes directrices de sécurité personnelle », a écrit Biz Stone. « Cette attaque n'a rien à voir avec une quelconque vulnérabilité dans les Google Apps que nous continuons à utiliser », poursuit-il.« C'est juste que Twitter est assez connu pour que ses employés deviennent des cibles potentielles. En fait, plus ou moins à la même période, le mail personnel de la femme d'Evan Williams a été piraté, et le pirate a pu avoir accès à certains des comptes personnels de celui-ci (Amazon et Paypal entre autres), mais pas à son mail. Il ne s'agit pas de faille dans les applications Web, mais de l'importance d'un bon choix des mots de passe et d'une bonne sécurité. » Google a publié une déclaration en réponse à nos confrères de NetworkWorld, mais n'a pas spécifiquement commenté la faille des sécurité de Twitter. « Nous sommes extrêmement conscients de l'importance des données de nos utilisateurs, et nous avons mis en place des politiques et des procédures pour fournir des niveaux importants de protection des données », a répondu Google. « Nous n'avons reçu aucune communication de nos clients à propos de ce problème, et ne pouvons donc ni confirmer ni commenter dans les détails à l'heure actuelle. » De nombreuses préoccupations soulevées Plusieurs observateurs ont soulevé des préoccupations suite à la faille Twitter quant au stockage d'informations sensibles sur des services de Cloud, y compris les plates-formes de Google telles que Gmail et les Google Docs. Albert Wenger, partenaire à 'Union Square Ventures', défend l'idée que des mesures d'authentification plus solides sont nécessaires pour éviter des brèches de sécurité. La société de capital-risque a investi dans Twitter, ainsi que dans de nombreux autres services Web. « La menace d'un accès par une tierce partie augmente exponentiellement avec la migration vers le Cloud, car les machines qui contiennent les documents et les liens vers ces documents sont accessibles depuis internet en général. N'importe qui avec une connexion internet peut potentiellement y accéder, un schéma utilisateur/mot de passe est clairement insuffisant pour l'authentification. C'est particulièrement vrai avec les mécanismes de récupération de mots de passe basés sur des questions enregistrées et des réponses faciles à deviner. », écrit Albert Wenger dans un message blog. Utiliser des systèmes de sécurité à deux-facteurs Albert Wenger poursuit en suggérant un système de sécurité à deux facteurs (T-FA pour two-factor authentification), dans lequel un utilisateur recevrait un texte avec un code secret après avoir entré son nom d'utilisateur et son mot de passe. « J'espère qu'il n'arrivera rien de pire que la faille Twitter d'ici à ce que des fournisseurs comme Google et Microsoft offrent la possibilité d'une meilleure authentification », conclut-il. Un autre capital-risqueur, Michael Eisenberg de Benchmark Capital, estime que les utilisateurs doivent se méfier de Google pour stocker leurs documents critiques.« De nombreuses start-up et un nombre croissant d'entreprises plus importantes utilisent les Google Apps pour leurs documents critiques. La plupart d'entre elles pensent qu'elles sont en sécurité. Ce n'est pas le cas. », écrit-il. Impression fausse de sécurité Il avertit les clients quant à l'importance d'examiner les procédures de sécurité et les politiques de stockage des documents des fournisseurs de Clouds. « Twitter pensait être en sécurité et qu'ils avaient externalisé leur sécurité chez Google. En réalité, ils courraient un risque », écrit-il. La faille Twitter a été rendue publique le mardi 14 juillet alors que TechCrunch a annoncé avoir reçu un fichier zip contenant 310 documents Twitter confidentiels, notamment « les notes de réunion, les accords de partenaires, les projections financières, les calendrier et les historiques téléphoniques de divers employés Twitter. » TechCrunch a déclaré que les documents venaient d'un pirate nommé 'Hacker Croll'. Ce pirate aurait aussi compromis les comptes de célébrités telles que Britney Spears, Ashton Kutcher, et le PDG de Twitter Evan Williams. Les vendeurs doivent mettre au point de meilleurs systèmes d'authentification Au final, les utilisateurs doivent être responsables de la force de leurs propres mots de passe, explique Charles King. Mais les vendeurs doivent jouer un rôle en mettant au point de meilleurs systèmes d'authentification, estime-t-il. « Pour leur défense, je pense que certains vendeurs ont insisté auprès de leurs utilisateurs afin qu'ils utilisent de meilleurs mots de passe que leur nom épelé à l'envers, leur date de naissance, ABC ou 123. », continue-t-il. Dan Blum, analyste Burton Group, estime que les utilisateurs devraient se méfier des services de Cloud qui ne s'appuient que sur des mots de passe sans aucun autre contrôle, tels que des identifications du matériel, ou le blocage des utilisateurs qui rentrent de mauvais mots de passe plusieurs fois à la suite. La même sécurité en externe qu'en interne « Je ne stockerais pas de documents sensibles dans un service Cloud sauf à avoir une grande confiance dans le service en question », explique Dan Blum. « J'en attendrais les mêmes sécurités que pour mes propres applications internes. Si je veux que mes applications internes soient accessibles au travers d'une authentification à deux facteurs, alors le Cloud doit être au moins aussi protégé. »