Gray Hat warfare : le moteur de recherche qui dénonce les clouds non sécurisés

Depuis plusieurs semaines un moteur de recherche, baptisé Gray Hat warfare, gagne du terrain dans le monde de la malveillance informatique. Sa mission, référencer les stockages cloud Amazon S3 mal configurés. Des milliards de données personnelles accessibles !

Mais qu’est-ce que ce Gray Hat Warfare (Le chapeau gris en guerre) ? Ce moteur de recherche pas comme les autres référence les espaces cloud du service de stockage Amazon S3 mal configurés. A la base, Amazon S3 permet aux sites web, serveurs, … de stocker des données (photos, vidéos, documents, etc.) qui se chargeront plus rapidement grâce à l’outil cloud du géant de l’Internet. Mais, mal configuré, Amazon S3 peut diffuser les informations qui ne devraient pas être accessibles. Bilan, ça fuite !

Des centaines d’entreprises Françaises concernées

Depuis quinze jours j’arpente ce moteur de recherche. L’idée, alerter les entreprises françaises concernées par ce type de fuite. J’ai pu référencer plus de 120 sociétés. Des PME, des associations, de grosses entreprises. Si pour certaines, seul le site web (et les codes sources) étaient rendus accessibles, pour d’autres, les portes de l’enfer s’ouvraient sur les données qu’elles sauvegardent. Des données personnelles qu’elles sont dans l’obligation de protéger. Dans les exemples qui vont suivre, les entreprises ont été alertées. Je rajouterai celles qui n’ont pas répondu. Dans l’ensemble des cas qui vont suivre, la CNIL a été alertée.

Pendant vos vacances, vos données numériques pillées !

Grey Hat warfare est donc un moteur pas comme les autres. Il permet d’accéder à 180 822 821 fichiers. Des fichiers référencés dans 48 621 buckets. Des compartiments Amazon S3. J’ai pu y trouver des milliers de CV, comme ceux de Talent View (12.000 CV). La direction a répondu en quelques heures. ; Des données appartenant à La Mutuelle Générale. L’équipe a répondu dans les quelques minutes du Protocole ZATAZ. Un site d’offres d’emplois destiné aux professionnels de l’audiovisuel et des médias que je ne citerai pas (encore), car rien n’est corrigé. Des milliers de CV, de lettres de motivations, de CNI, Passeports (Aucune réponde au Protocole d’alerte).

L’association La Ruche qui dit oui. Une structure commerciale mettant en relation petits producteurs et consommateurs de produits frais. Des documents (mails, téléphones, …) du Ministère de l’Agriculture, de l’Agroalimentaire et de la forêt d’identification d’établissement ou encore des Cartes Nationale d’Identité (CNI). La Ruche n’a jamais répondu à l’alerte… mais a corrigé !

En parlant de CNI. Des centaines de documents officiels d’identités, de passeports comme pour une plateforme 100% en ligne que je ne citerai pas (encore), aucune correction pour le moment. Elle permet d’investir dans l’immobilier locatif.

Bref, 1020 pages (20 buckets par page) de pièces d’identités, scannées, sauvegardées … et paumées définitivement sur les Internet. Il ne faut pas s’étonner, ensuite, que ces documents se retrouvent en vente dans le blackmarket ! Relisez mon article sur cette boutique qui vend plus de 600 000 français.

Les escrocs RGPD se servent de ce site

Lors de la découverte de cet espace web, en juin, j’avais eu vent par plusieurs entreprises Françaises de courriels envoyés par des internautes, demandant de l’argent contre des informations concernant leurs données. « Il va m’expliquer par mail pouvoir m’aider à corriger une fuite de données dans le cloud » m’explique le fondateur d’un portail web basé dans le Nord de la France. L’auteur de ce courriel contactera ZATAZ, en mode anonyme, pour dénoncer ladite entreprise. « Je n’ai pas donné suite, il a voulu se venger » confirme le patron nordiste.

Bref, vous voilà prévenu. Les fuites Amazon S3 ne concernent pas que les américains comme on a pu le lire dans la presse (Cisco, Verizon, …). Depuis le 25 mai 2018, mise en place définitive du Règlement Général des Données Personnelles, ZATAZ a pu découvrir et dénoncer plusieurs dizaines d’importantes fuites de données : Virgin Mobile, Fédération Française de Voile, SNCF … concernant plusieurs millions de Français.

A noter que j’ai mis en place un service de veille concernant les données des internautes souhaitant veiller sur leur identité et réputation numérique. Pour en savoir plus, c’est ici.

Mise à jour :

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Charles Reply

    Bonjour , comment accede-t-on à ce moteur de recherche ?

    • Damien Bancal Reply

      Bonjour,
      Je n’ai pas donné l’url afin d’éviter que des personnes sans connaissances, ni autorisations, puissent s’y promener sans en comprendre les dangers, pour eux et les entreprises qu’ils pourraient y croiser. N’hésitez pas à m’envoyer un mail afin de vous confirmer, ou non, la présence de votre société. Il faut savoir que les entreprises Françaises concernées ont été alertées.

  2. on en parle que chez lui Reply

    si je résume:
    « bonjour je parle d’un truc que personne n’a vu et je veux pas vous donner l’url pcq voila c’est secret ». comment savoir s’il s’agit d’un article pour faire du buzz sur quelques choses qui existe pas? si Bancal avait une réputation à mettre en jeu pourquoi pas mais là …

    comment tu fais pour aimer être le « voici » de l’infosec sérieusement …

    • Damien Bancal Reply

      Bonjour,

      Je comprends votre frustration cher ami Belge, mais comme indiqué, il n’a jamais été dans la politique de ZATAZ de fournir URLs ou outils qui transformeraient un internaute en vulgaire pirate. A noter que si vous êtes intéressé, il suffit de m’envoyer un mail et je vous transmettrai l’url, comme j’ai déjà pu le faire une trentaine de fois aux professionnels (la Ruche qui dit oui, La Mutuelle générale, Barchen, Dividom …) qui m’en ont fait la demande.

      En ce qui concerne le fait que personne d’autre n’en parle. Et si vous vous posiez la question de savoir pourquoi les autres ne viennent pas me demander les infos (url, …), afin qu’ils puissent eux aussi en parler. Je me ferai un plaisir de leur fournir de quoi en faire un article dans leurs pages.

      Pour finir, et que vous évitiez de reprendre des terme que vous ne comprenez pas, comme ce titre de « Voici de l’Undergroud » que je m’étais amusé à m’affubler moi-même, voilà 25 ans, cinq liens [sur des milliers d’infos zataz] d’informations exclusives ZATAZ que personne n’a repris. Bizarrement, là aussi, le silence des « autres » cela ne semble pas vous étonner plus que ça :

      1 – Optical Center : https://www.zataz.com/cnil-colmater-une-fuite/
      2 – FFV : https://www.zataz.com/fuite-de-donnees-pour-la-federation-francaise-de-voile/
      3 – Selectour : https://www.zataz.com/fuite-de-donnees-personnelles-pour-le-voyagiste-selectour/
      4 – Démarchage trompeur RGPD : https://www.zataz.com/demarchages-trompeurs-rgpd/
      5 – NRJ Mobile : https://www.zataz.com/fuite-de-donnees-colmatee-nrj-mobile/

      Bref, comme l’écrivait Ronald Wright « Avec le temps, un mystère sans espoir de révélation devient une frustration. » et dans votre cas, je reprendrai Mourad Benharrats : « La seule gloire des gens malveillants est celle de nourrir leur frustration. »

      Cordialement

  3. Pierre-Etienne Reply

    Salut !
    Dis donc le frustré, en plus d’être un trouillard et fournir un pseudo à la con, tu crois vraiment que zataz donnerait des noms d’entreprises pour faire le buzz. Tu viens bouffer de la news ici, t’en servir et tu insultes. Ne vient pas parler d’infosec quand tu n’es même pas capable d’utiliser un moteur de recherche pour retrouver le site présenté.

  4. QC G1W Reply

    Hi !
    Je suis de Quebec et je confirme les informations de zataz.
    Tu es bien modeste zataz, tu aurais pour diffuser ta revue de presse qui affiche le travail que tu fournis, gratuitement, efficacement et pour un large public. Comme tu ne le fais pas, je le fais pour toi 😀
    https://www.zataz.com/revue-de-presse/#axzz4fpZqygkP
    See you L…

    • Damien Bancal Reply

      Rhooo! 🙂 Le lien est en bas du site. Le voit celui qui prend le temps de regarder.

  5. Championdumonde Reply

    J’ai aussi un proverbe pour – On en parle que chez lui – :
    « Le sage s’interroge lui-même, le sot interroge les autres. »

  6. Cece46 Reply

    Salut,

    Il y a même des accusés de « Déclaration de changement de domicile » du ministère de l’intérieur / Système d’immatriculation des véhicules …

    Eh beh

  7. Kl3m Reply

    Championdumonde:
    Ca me fait penser à du Sénèque, c’est bien son genre de discours ^^

    Désolé pour le hs et merci Damien pour tes infos :*

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.