đŸŒšïž Nouveau service de stockage Ă  froid chez OVH Cloud | Actus DevOps Mai 2023

Général Annonces
, , , ,
1

:globe_with_meridians: Quelles sont les derniÚres nouveautés dans le monde du cloud et du DevOps en ce mois de Mai ?

:newspaper_roll: Comme à notre habitude nous voilà de retour avec l’Actus DevOps mensuel, pour t’aider dans ta veille.

Aujourd’hui, je suis avec @RenĂ© et on parle de :
:cloud_with_snow: Un vague de froid dans le stockage OVH
:new: De nouvelles puces
:tokyo_tower: Paris sous l’eau
:potable_water: Fuite de données

#RadioDevOps est le podcast dédié à notre mouvement issu de la communauté des #CompagnonsDuDevOps. Radio DevOps est disponible dans toutes les applications de podcast.

N’hĂ©sites pas Ă  rĂ©agir Ă  ces nouvelles et Ă  donner ton point de vue en commentaire.

Article de blog : https://lydra.fr/nouveau-service-de-stockage-a-froid-chez-ovh-cloud-actus-devops-mai-2023

DĂ©couvre les podcasteurs :
:couch_and_lamp: https://lydra.fr/ea-3-le-podcasteur-christophe/
:couch_and_lamp: https://lydra.fr/ea-6-le-podcasteur-rene/

2
3

Concernant la fuite de donnĂ©es volontaire pour “sauvegarder la base de donnĂ©es” Ă©voquĂ©e dans ce podcast (Ă  42min41s) et le fait de prĂ©venir l’éditeur/dĂ©veloppeur du service de la prĂ©sence d’une faille.

Je comprends qu’un chercheur a besoin de pouvoir prouver Ă  l’éditeur/dĂ©veloppeur qu’il a accĂšs aux donnĂ©es (si c’est ce que permet la faille qu’il clame avoir dĂ©couvert) : une des façons est donc de faire un petit export et de l’envoyer aux dĂ©veloppeurs. Mais ce faisant il commet un dĂ©lit (crime ?).

Je propose de laisser dans vos bases de donnĂ©es un jeu de donnĂ©es dĂ©diĂ© uniquement Ă  pouvoir prouver qu’une fuite est possible, par exemple : un utilisateur bidon, dĂ©sactivĂ© et ayant une chaĂźne de texte alĂ©atoire dans un champ non visible publiquement (adresse e-mail, nom rĂ©el de la personne, notes, etc.).

L’attaquant qui veut prouver qu’il a rĂ©ussit Ă  accĂ©der la base de donnĂ©es a juste Ă  fournir cette chaĂźne, sans exfiltrer de vraies informations.

4

Je ne pense pas que l’on est besoin d’exfiltrer les donnĂ©es pour prouver que l’on est tombĂ© sur une fail de securitĂ©.

Le simple fait de décrire comment on à fait est plus important.
Non seulement le Dev peut tester le processus, mais en plus il peu le corrigé.

Pour le moment je ne vois pas de raison valable d’exfiltrer les donnĂ©es.

En fait tant que la faille n’est pas connu publiquement et que la BDD n’est pas exfiltrĂ© elle peut encore ĂȘtre considĂ©rĂ© comme sĂ»r.
Par contre si la BDD est exfiltrĂ© cela veux dire que l’éditeur n’a plus la main sur la copie et elle peut fuiter, ĂȘtre vendu etc. Donc elle n’est plus sĂ»r.