Un sous-traitant de Google a abus dun accs administrateur pour visionner une vido prive sur le compte Youtube de Nintendo. Un internaute a ensuite confirm lavoir reue de son ami travaillant Google pendant que le contenu faisait dj lobjet de dbats sur les plateformes en ligne o il avait t diffus. Le tableau ravive le dbat sur les avantages et les inconvnients du cloud surtout aprs la prsume suppression accidentelle du compte Google Drive dUnisuper.
Tout part d’une copie d’une base de donnes interne qui retrace six annes de problmes potentiels de confidentialit et de scurit . La dclaration ultrieure de Google fournie 404Media implique que la base de donnes tait effectivement exacte.
Parmi des milliers d’autres incidents rpertoris au sein de cette dernire, un rapport indique qu’un employ de Google a accd des vidos prives sur le compte YouTube de Nintendo et a divulgu des informations avant les annonces prvues par Nintendo . Les donnes disposition permettent d’tablir un lien entre ce rapport et une fuite en 2017 sur un rseau social ddi aux fans de titres proposs par Nintendo.
Le post lui-mme met en avant une photo d’une page web sur laquelle on voit le prfixe admin sur la barre dadresse, indiquant que la page a t consulte sur les systmes internes de Google. Le jeu en question s’intitule Yoshi for the Nintendo Switch et sortira plus tard sous le nom de Yoshi’s Crafted World en 2019.
Le tableau renforce l’ide que de nombreux auteurs de fuites de jeux vido obtiennent leurs informations partir de vidos YouTube prives, qui ne sont pas accessibles moins d’tre responsable de la chane ou, bien entendu, d’tre salari de Google et de bnficier de certains.
{Tweet] From what I can gather, YouTube has investigated employees breaching their contractual agreements on two different occasions in the past 18 months due to employees accessing content on the backend. Following today (and presumably SGF), we’ll see a third investigation fairly— Tom Henderson (@_Tom_Henderson_) May 30, 2024 [/Tweet]
Une fuite qui fait suite la suppression la prsume suppression accidentelle du compte Google cloud dun fonds de pension de 125 milliards de dollars
Une mauvaise configuration de Google Cloud a entran la suppression du compte d’UniSuper mi-parcours du mois de mai, ce qui a perturb les activits de plus d’un demi-million de membres du prestataire de services financiers. Les services ont commenc tre rtablis pour les clients d’UniSuper jeudi, plus d’une semaine aprs que le systme a t mis hors ligne , selon des rapports en la matire. Cest un nouvel incident en lien avec ce type de services chez le gant technologique qui vient raviver le dbat sur les avantages et les inconvnients de linformatique en nuage.
Le PDG d’UniSuper, Peter Chun, a crit aux 620 000 membres du fonds, expliquant que la panne n’tait pas le rsultat d’une cyberattaque et qu’aucune donne personnelle n’avait t expose la suite de la panne. Il a dsign le service cloud de Google comme tant l’origine de la panne. Dans une dclaration commune conjointe avec le directeur gnral de Google Cloud, Thomas Kurian, les deux hommes se sont excuss auprs des membres pour la panne et ont dclar qu’elle avait t extrmement frustrante et dcevante . Ils ont dclar que la panne avait t cause par une mauvaise configuration qui a entran la suppression du compte cloud d’UniSuper, ce qui n’tait jamais arriv Google Cloud auparavant.
This is something Ive not year heard before. Australian trading service UniSuper is down for the second day because of Google Cloud.
Their outage was caused by a Google Cloud issue, as confirmed by the GC team.
GC meanwhile provides no details beyond were really sorry! pic.twitter.com/i4yuoSQQuQ
— Gergely Orosz (@GergelyOrosz) May 8, 2024
Cette situation chez UniSuper faisait suite des signalements des utilisateurs de Google Drive selon lesquels des fichiers disparaissent de faon subite du service. Certains internautes, sur les forums d’assistance du gant technologique, ont affirm que six mois de travail, voire plus, ont disparu sans crier gare au cours du mois de novembre de lanne prcdente.
Mes fichiers Google Drive ont disparu de faon soudaine. Les donnes de mai aujourd’hui ont disparu, et la structure des dossiers est revenue l’tat du mois de mai de lanne en cours. L’activit de Google Drive ne montre aucun changement. Seule l’activit du mois de mai est visible. Aucun fichier n’a t supprim de faon manuelle, donc aucun fichier dans la corbeille. Je n’ai jamais synchronis ou partag mes fichiers et mon disque avec qui que ce soit. Jen fais un usage local. J’ai suivi la procdure de rcupration indique par l’quipe d’assistance de Google (quipe de Core du Sud). Ils m’ont demand de sauvegarder et de restaurer le dossier DriveFS, mais rien n’a chang. J’ai remont la situation l’quipe d’assistance de Google, probablement aux tats-Unis, et ils m’ont demand de signaler le problme leur ingnieur. Mais l’ingnieur n’a pas rpondu et je ne peux pas savoir s’il est en train d’examiner mon problme. J’ai utilis le disque il y a quelques jours et ce problme horrible s’est produit le matin dernier. J’ai besoin d’aide pour le rsoudre , se plaiganait un utilisateur du service en ligne quoffre le gant technologique.
Il peut mme arriver que Google dcide de mettre en place de faon inattendue une limite de fichiers, ce qui a pour consquence dempcher les utilisateurs de son service de stockage dans le nuage de crer de nouveaux fichiers. Cest ce qui sest vu au dbut du deuxime trimestre de lanne en cours. Google a discrtement plafonn le nombre de fichiers quil est possible de crer et stocker dans Google Drive.
Rsultat : perte de contrle des utilisateurs sur ce qui est en principe leur espace de stockage attribu par lentreprise. Ce changement aurait t mis en place depuis le mois de fvrier de lanne en cours, et ce, sans communication explicative de lentreprise. Cest la dure que les utilisateurs lont dcouvert. Ces situations ravivent le dbat sur les avantages et les inconvnients du cloud computing.
Les avantages du cloud computing sont une vidence. Les plus notables sont : la rduction des cots de maintenance dune infrastructure informatique, la rduction de la consommation nergtique, la disposition rapide d’une plateforme prte l’emploi pour le dploiement des applications, la disposition d’une solution de sauvegarde simple et accessible tous, mme aux non-informaticiens, etc. Cependant, devant toutes les possibilits offertes, il demeure des rticences dans son adoption. Ces rticences sont lies, pour la plupart, au facteur de scurit, qui reste encore un vritable dfi :
- la fragilit dans la gestion des accs et des identits, bien que certains fournisseurs renforcent les interfaces dauthentification avec dautres moyens tels que les certificats, les smartcards, la technologie OTP et bien dautres ;
- lutilisation dAPI non scurises pour lintgration des applications avec les services cloud ;
- lexploit de vulnrabilits des systmes dexploitation sur les serveurs du cloud et mme sur les applications hberges ;
- le piratage de compte, qui est un vieux type dattaque informatique, vient avec une forte recrudescence depuis lavnement dInternet et encore celui du cloud computing ;
- une action malveillante lance en interne dans les effectifs du fournisseur. Une personne malveillante dans lquipe de gestion du Datacenter peut facilement nuire la confidentialit et lintgrit des environnements hbergs ;
- les menaces persistantes avances qui consistent en une forme dattaque o le hacker russit installer dune faon ou dune autre un dispositif dans le rseau interne de lorganisation, partir duquel il peut extirper des donnes importantes ou confidentielles. Cest une forme dattaques difficile dtecter pour un fournisseur de services cloud ;
- la perte de donnes qui peut tre cause par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou mme simplement un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la socit ;
- les insuffisances dans les stratgies internes dadoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de scurit lis leur fonctionnement avant de souscrire un service cloud. Certaines ngligences, tant au niveau du dveloppement dapplication quau niveau de lutilisation basique, leur sont parfois fatales ;
- utilisation frauduleuse des technologies cloud en vue de cacher l’identit et de perptrer des attaques grande chelle. Gnralement, il sagit de comptes crs pendant les priodes dvaluation (la plupart des FAI proposent 30 jours dessai gratuits) ou des accs achets frauduleusement ;
- le dni de service qui est une attaque qui consiste rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mmoire ou le rseau. Lide, pour le pirate, cest de russir surcharger les ressources du Datacenter en vue dempcher dautres utilisateurs de profiter des services ;
- les failles lies lhtrognit des technologies imbriques dans larchitecture interne du cloud, et l’architecture externe d’interfaage avec les utilisateurs.
Et vous ?
Que pensez-vous du cloud computing ? Votre entreprise sappuie-t-elle sur une offre dinformatique dans le nuage ? Si oui, quels en sont les usages ? Quelles sont les prcautions quelle prconise pour bnficier des avantages de lapproche tout en minimisant limpact des inconvnients ?
Voir aussi :
Le Danemark interdit les Chromebooks et Google Workspace dans les coles en raison des risques de transfert de donnes, et ravive le dbat sur les possibilits offertes par Linux et l’open source
L’ducation nationale confirme la fin des offres gratuites Office365 et Google Workspace dans les coles en raison du non-respect du RGPD, embotant le pas l’Allemagne, au Danemark et aux Pays-Bas
L’arme amricaine choisit Google Workspace pour une poigne de ses soldats qui n’ont pas besoin des capacits de collaboration compltes d’Army365, la solution cloud propose par Microsoft 365
Google estime qu’il est temps de facturer les petites entreprises qui se servent de sa messagerie et d’autres applications, aprs plus d’une dcennie d’utilisation gratuite