jeudi 1 novembre 2012

Le "botCloud" ou l'usage malveillant, facile et à moindre coût du Cloud

Le cloud, on le sait, a passé le statut de tendance pour devenir une réalité. 2012, et sans doute encore plus 2013, marque(ront) le changement de paradigme annoncé depuis trois ou quatre ans. S'il est indéniable pour une entreprise, même de taille modeste, que de disposer d'une puissance de calcul importante (donc de traitements) associée à des capacités de stockage quasi-illimitées tout en supprimant les coûts de possession possède un réel intérêt, autant les problématiques de sécurité intéressent les experts depuis l'émergence du phénomène. A juste titre, une fois encore, si l'on s'en réfère à l'intéressante étude disponible sur le security research blog de Stratsec, filiale australienne du groupe de défense et de sécurité britannique BAE Systems.

Cette étude, basée sur des expérimentations réelles, avait pour objectif d'explorer les possibilités d'utilisation malveillante de plateformes de cloud en regard descanismes de sécurité (détection et de prévention, par exemple) sensés être implémentés et efficaces. Pour ce faire, les chercheurs ont souscrit des abonnements auprès de cinq fournisseurs de cloud avec dix instances (machines virtuelles) par fournisseur. 
Les hôtes-cibles étaient positionnés dans un environnement réseau contrôlé et une adresse IP publique ainsi qu'un nom de DNS étaient associés à chacun des hôtes vers qui le trafic réseau "attaquant", strictement contrôlé et enregistré, pouvait être redirigé.
Chaque hôte-cible était équipé des services typiques des réseaux publics tels que les services Web, du FTP et le protocole SMTP. Enfin, la typologie d'attaque comprenait l'envoi de paquets malformés, du trafic de codes malveillants (vers/virus), des DoS, des attaques en force brute, l'utilisation de shellcodes et des attaques d'application web standard incluant des injections SQL, du cross-site scripting, ... bref, tout le bestiaire malveillant que l'on rencontre habituellement .

Passons rapidement le détail de la réalisation des expériences et des observations pour nous concentrer sur les conclusions, édifiantes. Tout d'abord, les chercheurs ont montré qu'il était facilement possible de créer puis de contrôler un groupe d'instances pour en faire un botCloud (sur le principe d'un botnet) permettant le lancement de puissantes attaques. Ensuite, qu'aucune des connexions n'a été réinitialisée ou résiliée lors de la transmission du trafic malveillant entrant et sortant. Enfin, qu'aucune alerte n'a été relevée et, par conséquent, aucune restriction n'a été placée sur les instances utilisées pour un usage malveillant

Cette étude a ainsi permis de démontrer qu'il était facile et qu'il fallait peu de temps pour installer un botCloud, considéré comme très fiable comparé à un botnet traditionnelle. En outre, la consommation de ressources pour l'exécution d'un botCloud a été jugée relativement basse et le budget réclamé ridiculement faible. Sans surprise, la conclusion des chercheurs ne surprendra pas les spécialistes. Un filtrage de dernière génération (FW NG / IDS), des audits de sécurité réguliers et de la conformité de type 27001 sont sans doute les gages à attendre d'un prestataire de cloud sérieux.

Note : à lire également sur le blog transalpin "Hackmaggedon" que je salue amicalement

Aucun commentaire: