Un serveur de messagerie électronique gouvernemental a été connecté à Internet sans mot de passe.
Le ministère américain de la défense a sécurisé lundi un serveur exposé qui diffusait des courriels internes de l’armée américaine sur l’internet ouvert depuis deux semaines.
Le serveur exposé était hébergé sur le cloud gouvernemental Azure de Microsoft pour les clients du ministère de la défense, qui utilise des serveurs physiquement séparés des autres clients commerciaux et qui, en tant que tels, peuvent être utilisés pour partager des données gouvernementales sensibles mais non classifiées. Le serveur exposé faisait partie d’un système de boîtes aux lettres interne stockant environ trois téraoctets de courriels militaires internes, dont beaucoup se rapportaient à l’U.S. Special Operations Command, ou USSOCOM, l’unité militaire américaine chargée de mener des opérations militaires spéciales.
Mais une mauvaise configuration a laissé le serveur sans mot de passe, permettant à n’importe qui sur Internet d’accéder aux données sensibles des boîtes aux lettres à l’intérieur en utilisant seulement un navigateur Web, simplement en connaissant son adresse IP.
Anurag Sen, un chercheur en sécurité de bonne foi connu pour avoir découvert des données sensibles publiées en ligne par inadvertance, a trouvé le serveur exposé au cours du week-end et a fourni des détails afin d’alerter le gouvernement américain.
Le serveur était rempli de messages électroniques militaires internes, datant de plusieurs années, dont certains contenaient des informations personnelles sensibles. L’un des fichiers exposés comprenait un questionnaire SF-86 dûment rempli, qui est rempli par les employés fédéraux à la recherche d’une habilitation de sécurité et contient des informations personnelles et de santé très sensibles pour le contrôle des individus avant qu’ils ne soient autorisés à traiter des informations classifiées.
Ces questionnaires du personnel contiennent une quantité importante d’informations de base sur les titulaires d’une habilitation de sécurité, précieuses pour les adversaires étrangers. En 2015, des pirates informatiques chinois présumés ont volé des millions de fichiers de vérification d’antécédents sensibles d’employés du gouvernement qui cherchaient à obtenir une habilitation de sécurité dans le cadre d’une violation de données à l’Office of Personnel Management des États-Unis.
Aucune des données limitées vues ne semblait être classifiée, ce qui serait cohérent avec le réseau civil de l’USSOCOM, car les réseaux classifiés sont inaccessibles depuis Internet.
D’après une liste sur Shodan, un moteur de recherche qui explore le Web à la recherche de systèmes et de bases de données exposés, le serveur de messagerie a été détecté pour la première fois comme déversant des données le 8 février. La façon dont les données de la boîte aux lettres ont été exposées à l’Internet public n’est pas claire, mais elle est probablement due à une mauvaise configuration causée par une erreur humaine.
Contacté dimanche matin lors d’un WE férié aux Etats-Unis l’USSOCOM n’a sécurisé le serveur exposé que le lundi après-midi. Contacté par e-mail, un haut responsable du Pentagone a confirmé avoir transmis les détails du serveur exposé à l’USSOCOM. Le serveur a été inaccessible peu de temps après.
Le porte-parole de l’USSOCOM, Ken McGraw, a déclaré dans un courriel mardi qu’une enquête, qui a débuté lundi, est en cours. « Nous pouvons confirmer à ce stade que personne n’a piraté les systèmes d’information de l’U.S. Special Operations Command », précise Ken McGraw.
On ne sait pas si quelqu’un d’autre qu’Anurag Sen a trouvé les données exposées pendant la fenêtre de deux semaines où le serveur cloud était accessible depuis Internet. Le ministère de la Défense a été interrogé pour savoir s’il avait les moyens techniques, tels que des journaux, de détecter toute preuve d’accès inapproprié ou d’exfiltration de données de la base de données, mais le porte-parole n’a pas répondu.
https://techcrunch.com/2023/02/21/sensitive-united-states-military-emails-spill-online/
