La faille, qui selon UpGuard, exposait des données d’API secrètes, des identifiants d'authentification, des certificats, des clés de décryptage, des informations clients et autres données a été mise à jour le 17 septembre dernier. C’est Chris Vickery, directeur de la recherche en cyber risques d’UpGuard, qui a découvert que quatre instances de stockage d’Amazon Web Services S3 avaient été configurés en accès public, et permettaient à toute personne tapant l’adresse web du seau dans son navigateur de télécharger des données. Les instances concernées s’intitulaient « acp-deployment », « acpcollector », « acp-software » et « acp-ssl ».

Ces données, qui auraient pu être utilisées pour attaquer aussi bien Accenture que ses clients, ont été sécurisées dès le lendemain de l'alerte adressée à l’entreprise internationale de conseil. Les quatre seaux S3 contenaient des données très sensibles sur la plateforme Accenture Cloud Platform, sur son fonctionnement interne et sur les clients d’Accenture utilisant la plate-forme. D’après l'annonce faite par UpGuard, l'instance dénommée « acp-deployment » servait essentiellement au stockage des clés d'accès internes et des identifiants utilisés par l'API Identity, apparemment dédiée à l’authentification des identifiants.

40 000 mots de passe en texte clair à l'air libre ?

Ce compartiment spécifique contenait un dossier intitulé « Secure Store » dans lequel il y avait non seulement des fichiers de configuration pour l'API Identity, mais aussi un document en texte clair avec la clé d'accès principale au compte détenu par Accenture auprès du service de gestion des clés Key Management d'AWS. Dans l'instance « acp-deployment », il y avait aussi plusieurs fichiers client.jks stockés parfois, d’après UpGuard, avec le mot de passe en clair nécessaire pour déchiffrer le fichier. « On ne sait pas exactement à quel type d’accès pouvaient servir les clés clients.jks. Les fichiers contenaient aussi des clés de signature privées. Mais cet outil critique aurait pu tomber dans les mains de n’importe qui », a déclaré UpGuard.

Selon l’entreprise de cyber-résilience, l'instance « acpcollector » contenait des données sur les magasins cloud d'Accenture et leur maintenance. En raison de sa grande taille - 137 Go - UpGuard pense que le seau S3 « acp.software » pouvait contenir des données mises au rebut. Il est possible qu’il y ait eu dans ces données des informations d'identification de certains clients d'Accenture. D'autres informations clés, en particulier 40 000 mots de passe en texte clair, se trouvaient peut-être dans ce seau. Celui-ci contenait également des données supprimées par le détecteur d'événements Zenoss utilisé par Accenture, comme des relevés d’incidents lors de l'ajout de nouveaux utilisateurs, l'enregistrement d'adresses IP et des ID JSession. Or, si ces sessions ne sont pas expirées, il est possible de les reconnecter aux cookies pour accéder aux portails d'authentification. L’audit d'UpGuard a montré qu’un certain nombre de clients d’Accenture avaient été enregistrés de cette manière. Selon UpGuard, « cette fuite au niveau des instances cloud montre que même les entreprises les plus avancées et les plus sécurisées peuvent exposer des données cruciales, avec de graves conséquences pour leur activité et leurs clients ».