Sécurité du Cloud

Toute la vérité sur la sécurité

Des attaques retentissantes ont jeté un doute sur l’invulnérabilité présumée des plates-formes d’informatique en ligne. Les professionnels ont dû admettre qu’il leur fallait relever le niveau de sécurité.

Jan 2023
Par Thierry Bienfait

Le phénomène fait froid dans le dos. Alors que les cyberattaques font de plus en plus de ravages dans le cloud, la plupart des organisations du secteur privé et du secteur public qui y hébergent leur infrastructure, leurs logiciels ou leurs données sont encore bercées par un sentiment de fausse sécurité.

Pour le comprendre, il suffit de relire l’Étude des menaces cloud 2021 écrite par les chercheurs d’Unit 42 pour Palo Alto Networks. Un rapport instructif qui pointe notamment de fréquents défauts de sécurisation des données pour les entreprises et administrations utilisatrices de l’informatique dans le Nuage. Le constat dressé par les experts durant la période 2020-2021 fait en effet état de quelque 2 100 instances cloud non sécurisées aisément accessibles.

Pis, le Panorama de la menace informatique 2021 publié par l’Agence nationale de la sécurité des systèmes d’information bat en brèche l’idée reçue selon laquelle les plates-formes de cloud computing permettraient de mieux faire face aux risques de cyberattaques. L’étude indique même le contraire. D’une part, le travail hybride a fortement renforcé le recours au cloud, en particulier pour le stockage des données, entraînant mécaniquement une augmentation du niveau de menace pesant sur ses utilisateurs. D’autre part, « les attaquants trouvent un intérêt dans la puissance de calcul du cloud, qu’ils cherchent à détourner à leur profit, par exemple pour du minage de cryptomonnaies ».

41 %
des cyberattaques dans le cloud exploitent les failles des accès protégés par des identifiants

Source : Elastic

Enfin, l’informatique dématérialisée attire également les hackers parce qu’elle leur offre des moyens de propagation sans recourir à un code malveillant au sein des S.I. ciblés et donc sans être détectés. « Tout d’abord, de nombreux services de partage de documents ou de travail collaboratif permettent une reconnexion facile des utilisateurs sur leurs services, après une authentification initiale. Ensuite, le même jeton d’authentification peut être employé pour tous les matériels d’un utilisateur. Une menace grandissante concerne donc l’accès à ces jetons d’authentification », expliquent les cybergendarmes de l’Anssi.

Les attaquants tentent de les récupérer par ingénierie sociale. Intercepté et copié, le jeton est utilisable depuis un autre appareil sans être détecté. Une technique de vol de jeton différente consiste à installer sur le système de fichier de la cible un jeton connecté à un compte contrôlé par l’attaquant. Lorsque la victime procède à la synchronisation automatique de son dossier dans le cloud, elle le fait avec le dossier du hacker et non avec le sien. Le pirate récupère ainsi le jeton authentique et s’en sert à distance en toute discrétion.

En outre, l’attaque contre Kaseya et son logiciel VSA en 2021 a montré de manière édifiante qu’aucune technologie n’est infaillible, surtout lorsque les attaquants sont compétents. « Dans le cloud, on trouve des centaines de moyens de voler des données en utilisant les services légitimes des plates-formes », prévient Paul-Arthur Jonville, CEO de Mindflow.

On ajoutera à ces exemples les erreurs techniques qui ont fait dernièrement les gros titres de la presse, comme le changement de configuration effectué par Verizon sur le cloud d’Amazon, et qui a causé la fuite des données de six millions d’abonnés. Une mauvaise publicité qui pousse les fournisseurs de cloud à investir dans la protection des données et des logiciels hébergés, à l’image d’un Google qui a racheté à prix d’or Mandiant en 2022.

Dans un secteur de l’informatique en ligne où la compétition est plus acharnée que jamais, le début des grandes emplettes semble avoir sonné, afin de réinspirer confiance.