La semaine dernière à la conférence du Black Hat qui se tenait à Las Vegas, de nombreux chercheurs en sécurité ont présenté de nouvelles façons d’attaquer les services du cloud computing. L’une des présentations les plus remarquables, « Clobbering the Cloud » a pointé du doigt les vulnérabilités de l’infrastructure Cloud d’Amazon, du service d’Apple MobileMe et de la plateforme cloud de Salesforce.com. Une autre présentation a montré comment Microsoft et Amazon utilisaient des procédures de récupération de mot de passe non sécurisées. Et enfin la dernière parmi les plus remarquables, a passé en revue les moyens de passer au travers du protocole (supposé) sécurisé SSL.

Mais la grande question qui a émergé de cette conférence ne concerne pas directement les Hackers, certes ils représentent un danger, mais ce n’est pas le seul lorsque l’on passe sur le cloud computing. La question du risque que représente pour nous et pour nos données le cloud computing, se fait de plus en plus pressante.

Danger n°1 du Cloud Computing : Nous mettons tous nos œufs dans un même panier

La présentation de Sensepost (téléchargeable ici) fait ce parallèle avec cette expression bien connue, ils notent que mettre en ligne l’ensemble de ses données sur un service de cloud computing est un pari assez risqué. L’exemple mis en avant est celui du service de Bookmarking social Ma.gnolia qui a dû fermer suite au crash d’un server, la perte des données étant très importante. Les utilisateurs ont perdu toutes les données stockées jusqu’ici, et ce de façon irrémédiable.

Bien sûr cet incident n’a pas de conséquences trop importantes, mais cela pourrait être bien plus grave et Sensepost fait appel à d’autres exemples qui impliquent notamment le service de stockage en ligne MediaMax ou Linkup. Ces derniers ont dû fermer boutique en raison d’une erreur dans le système d’administration, qui a supprimé les données des comptes d’utilisateurs actifs. On peut aussi noter les incidents de Salesforce.com, où les clients ne pouvaient accéder à leurs applications pendant une mise à niveau du service, et d’Ovi de Nokia, dont le crash a fait perdre aux utilisateurs une partie de leurs données par des suppressions de contacts notamment. Aucun de ces services n’avait mis en place un système de backup.

Ces incidents soulignent les problèmes encourus lorsque l’on met toute sa confiance dans un même service de cloud computing. Ces désagréments expliquent sans doute la réticence qu’on les entreprises à aller vers ce type de service, contrairement aux particuliers. C’est donc ce que l’on appelle en France le Minitel 2.0 qui est fustigé.

Danger n°2 du Cloud Computing : Trop de confiance ?

Toujours dans la présentation de Sensepost, ils ont fait un état des lieux des vulnérabilités des services web d’Amazon (utilisés par Twitter et Youtube notamment). Pour commencer ils ont détaillé les processus mis en œuvre lors de la création d’un nouveau compte sur leur service : Amazon’s Elastic Compute Cloud (EC2). La première des choses a faire est de créer une Amazon Machine Image (AMI) qui contient nos application, librairies, données, et fichiers de configuration. Toutefois, on peut, si ‘lon veut, utiliser une image-template pré-configurée pour aller plus vite.

Cela dit, il y a un problème : Amazon a fourni 47 AMI pré-configurée, mais il en reste 2721 qui ont été créées par des utilisateurs de EC2. La probabilité qu’il y en ai quelque uns qui ne soient pas créés de manière sécurisé est très grande ! Sensepost demande donc, si les gens dont simplement tourner des machines que d’autres ont mis en place, et la réponse est oui. Il y a donc une trop grande confiance, ou un défaut de méfiance et de vérification, car il est très simple d’entre dans un système via une « back-door » si celui-ci a été mal mis-en-place.

Danger n°3 du Cloud Computing : Fiabilité des mots de passe ?

Une autre question qui pose problème aux services de cloud computing, en dehors des barrières de protection mises en place pour la protection du service, c’est la qualité des mots de passes choisis par les utilisateurs. On en a eu il y a peu un exemple très parlant et très connu : le « Twittergate ». Les dirigeants de Twitter se sont fait hacker leurs comptes, et se sont fait voler des documents sensibles concernant la plateforme de microblogging. Ces documents étaient stockés sur un service Google (Google Documents) protégés par un simple mot de passe. Ils auraient dû être précieusement stockés et protégés derrière un fire wall.

Cracker un mot de passe n’est pas la seule façon de pénétrer sur le compte d’autrui. En effet les systèmes de récupération des mots de passe peuvent eux aussi être très vulnérables. Comme je l’ai mentionné ci-dessus, une autre présentation a pointé du doigt les processus de récupération des mots de passe sur les services en ligne de Microsoft et d’Amazon. Ce type de processus sera toujours le maillon faible de la chaîne de sécurité des outils en ligne, tant que la sécurité passera après les enjeux esthétiques et ergonomiques.

Un autre problème de sécurité est posé par l’utilisateur lui-même, qui est bien incapable souvent de choisir des mots de passe suffisamment forts. Mais bon, la différence entre le particulier et les entreprises, institutions, c’est qu’il y a des administrateurs réseau qui renforcent la sécurité en mettant en place des politiques soit de renouvellement des mots de passe de façon régulière, soit des critères de difficulté pour les mots de passe. Alors que pour un particulier, le schéma de son mot de passe n’est quasiment jamais très complexe et il est peu probable qu’il soit changé ne serait-ce qu’une fois.

Certains services commencent seulement à renforcer leurs politiques de contrôle sur leur application, et à renforcer leurs politiques de création de mot de passe. Une solution d’ailleurs assez bonne est celle de l’attribution d’un mot de passe difficile  à craquer : en effet, la majorité des utilisateurs ne changent jamais leur mot de passe, alors autant que le premier qui soit créé soit déjà le moins facilement crackable.

Danger n°4 du Cloud Computing : Le cryptage des données sur cloud computing

Alex Stamos, un chercheur à iSec Partners a posé la question du cryptage des données, car il a noté que beaucoup de services cloud ne proposaient pas de cryptage pour leurs données. Il souligne que les machines virtuelles ont un accès assez limité à des nombres aléatoires, or c’est ce qui est nécessaire pour un bon cryptage des données, car les hackers peuvent d’autant plus facilement trouver les chiffres utilisés pour le cryptage que leur nombre est restreint. Même si actuellement ce problème n’est pas encore une priorité, il faut y consacrer du temps et y trouver des solutions.

Quid du cloud computing, est-ce sûr ?

Au vu de ce que nous venons de dire, vous devez certainement vous dire qu’il vaut mieux et penser à deux fois avant de se lancer à corps perdu dans cette innovation. Et si vous commencez à douter de la fiabilité de ce type de service, alors vous ferez peut être mieux de ne pas lire la déclaration de John Pescatore, analyste sécurité au cabinet Gartner : « La sécurité de ces infrastructures est similaire à celle de Windows en 1999. C’est pour le moment bien répandu et rien de grave n’est encore apparu. Mais on n’est encore que dans les premières phases de ce mouvements, et vous savez les problèmes seront bientôt au rendez-vous. »

Bon ok, il y a des problèmes de sécurité, mais le cloud computing est-il si mauvais que ça ? En tous cas il n’est pas pire que ce que nous avons déjà connu. Il est vrai que le cloud computing va générer de nouveaux défis et de nouvelles menaces qu’il faudra traiter, mais il s’agit des mêmes problèmes à chaque fois qu’une nouvelle technologie prend son essor et les menaces qui pèsent sur le données ne sont pas nécessairement pires que les précédentes.

Enfin il est très probable que suite à cette conférence, des services de cloud computing renforcent leur sécurité en musclant leurs politiques de sécurité, de mot de passe…, bref en faisant en sorte de diminuer le risque. Il se pourrait bien que ceux qui feront l’effort en soient récompensés, car plus de sécurité pourrait attirer sur leurs plateformes des entreprises ou institutions. Ce qui est sûr c’est que ceux qui laissent filer sans rien faire au niveau de la sécurité des données, vont tôt ou tard être poussés vers la sortie.

Il est certain qu’aujourd’hui les services de cloud computing ne sont pas aussi sûrs que ce qu’ils devraient être, mais cela ne va durer, ils seront même à termes aussi sûrs voire plus sûrs que les plateformes classiques. Mais jusqu’à là, il n’y a que la prudence à recommander dans l’utilisation de ces services : toujours s’assurer des capacités du service, faire des sauvegardes et toujours avoir en tête les risques potentiels auxquels sont soumises les données stockées.

[Source]