Capital One 2019

En juillet 2019, Capital One annonce qu’un acteur extérieur a obtenu les informations personnelles d’environ cent six millions de personnes ayant postulé pour une de ses cartes de crédit — numéros de sécurité sociale, adresses, revenus, fragments d’historique de crédit.

Le pare-feu applicatif mal configuré

Le chemin de l’intrusion est inhabituellement traçable. Un WAF ModSecurity mal configuré, placé devant une application web de Capital One, permet une server-side request forgery : un attaquant peut persuader l’instance WAF de faire des requêtes vers le service de métadonnées d’instance AWS, récolter les identifiants IAM associés au rôle sous lequel cette instance tourne, puis utiliser ces identifiants pour énumérer et télécharger des données depuis les buckets S3 que le rôle peut lire.

L’attaquante, identifiée comme Paige Thompson, est une ancienne ingénieure d’Amazon Web Services. Elle avait posté à propos de la compromission sur des serveurs de chat de type Slack et un Gist GitHub. Un informateur voit les posts et écrit à Capital One. Le FBI est à sa porte en quelques jours.

Une amende calibrée pour l’ère du cloud

Capital One transige avec les régulateurs américains pour 80 millions de dollars en 2020, puis avec les clients concernés pour 190 millions supplémentaires en 2022. Plus durablement, l’affaire devient un classique des formations à la sécurité cloud. L’expression « risque IMDSv1 » devient soudain compréhensible pour les dirigeants.

Ce que la chronique retient

Capital One est l’étude de cas canonique de l’enchaînement SSRF → métadonnées cloud. AWS a livré IMDSv2 l’année suivante précisément pour rendre cette classe d’attaques plus difficile. La leçon — qu’un seul équipement de périmètre mal configuré, doté d’un rôle IAM surpuissant, peut remplacer toute une chaîne d’intrusion — a façonné les recommandations de sécurité cloud depuis.