La sécurité du cloud (encore) mise en cause - Actualités RT Cloud / Virtualisation

La sécurité du cloud (encore) mise en cause

le 28/10/2011, par Jean Elyan / IDG News Service, Cloud / Virtualisation, 405 mots

La question de la sécurité des clouds est une nouvelle fois remise en cause suite aux informations dévoilées par des chercheurs allemands.

La sécurité du cloud (encore) mise en cause

Des chercheurs allemands, qui affirment avoir trouvé des failles de sécurité dans Amazon Web Services, pensent que celles-ci se retrouvent dans de nombreuses architectures cloud. Selon eux, ces vulnérabilités permettraient aux attaquants de s'octroyer des droits d'administration et d'accéder à toutes les données utilisateur du service. Les chercheurs ont informé AWS de ces trous de sécurité et Amazon Web Services les a corrigés. Néanmoins, ceux-ci estiment que, « dans la mesure où l'architecture cloud standard rend incompatible la performance et la sécurité, » de mêmes types d'attaques pourraient réussir contre d'autres services cloud.

L'équipe de chercheurs de la Ruhr-Universität Bochum (RUB) a utilisé diverses attaques d'encapsulation de signature XML (XML signature-wrapping) pour gagner l'accès administrateur aux comptes clients. Ils ont pu ensuite créer de nouvelles instances cloud au nom du client, puis ajouter et supprimer les images virtuelles. Dans un exploit distinct, les chercheurs ont utilisé des attaques de type « cross-site scripting » ou XSS contre le framework Open Source du cloud privé Eucalyptus. Ils ont également constaté que le service d'Amazon était vulnérable aux attaques de type XSS. « Ce problème ne concerne pas que le service d'Amazon», a déclaré l'un des chercheurs, Juraj Somorovsky. « Ces attaques concernent les architectures cloud en général. Les clouds publics ne sont pas aussi sûrs qu'on le croit. Ces problèmes pourraient très bien se retrouver dans d'autres frameworks cloud, » a-t-il expliqué.

Renforcer la sécurité XML

Juraj Somorovsky a indiqué par ailleurs que les chercheurs travaillaient sur des bibliothèques haute-performance qui pourront être utilisées avec la sécurité XML pour supprimer la vulnérabilité exploitable par des attaques d'encapsulation de signature XML. Celles-ci devraient être prêtes l'année prochaine. Ces bibliothèques s'appuient sur le mécanisme d'attaques de type « signature-wrapping » mis en évidence par les chercheurs de la Ruhr-Universität Bochum dans l'Amazon Web Service qu'ils sont parvenus à corriger. « Aucun client n'a été affecté, » a déclaré par mail un porte-parole d'AWS. « Il est important de noter que cette vulnérabilité potentielle impliquait un très faible pourcentage de tous les appels API AWS authentifiés qui utilisent des points de terminaison non-SSL. Cette vulnérabilité n'est pas disséminée, comme cela a été rapporté. »

AWS a posté une liste des meilleures pratiques en matière de sécurité, laquelle, si elle est suivie, aurait protégé les clients contre les attaques imaginées par l'équipe de chercheurs de l'université allemande, et contre d'autres attaques également.

A savoir

- N'utiliser que le point de terminaison sécurisé SSL/HTTPS pour tout service AWS et s'assurer que les utilitaires du client effectuent une validation du certificat pair à pair. Un très faible pourcentage de tous les appels API AWS authentifiés utilisent des points de terminaison non-SSL, et AWS prévoit de rendre obsolète les terminaisons API non-SSL dans un futur proche.

- Activer et utiliser le Multi-Factor Authentication (AMF) pour l'accès à l'AWS Management Console.

- Créer des comptes Identity and Access Management (IAM) avec des rôles et des responsabilités limitées, en restreignant par exemple l'accès aux seules ressources spécifiquement requises pour ces comptes.

- Limiter l'accès et l'interaction avec les API par une source IP, en mettant en place des politiques de restrictions sur la source IP dans les IAM.

- Effectuer des rotations régulières des références AWS, notamment les clés secrètes, les certificats X.509, et les couples « clé publique - clé privée ».

- Lors de l'utilisation de la console de gestion AWS, réduire ou éviter les interactions avec d'autres sites Web et s'en tenir à des pratiques sécurisées de navigation sur Internet, comme on le fait pour accéder à des comptes bancaires en ligne ou pour effectuer des actions critiques du même genre.

- Les clients AWS doit aussi considérer d'autres mécanismes que SOAP pour l'accès API, comme REST/Query.

Vodafone prépare un service de cloud privé virtuel pour les PME

Les PME qui veulent s'étendre à l'international veulent bénéficier de services de cloud dédiés capables de les suivre dans leur expansion. Des services qui soient accessibles en termes de prix et fiables en...

le 18/03/2016, par Peter Sayer / IDG News Service (adapté par Didier Barathon), 450 mots

Deutsche Telekom lance une offre de cloud public pour toute l'Europe

Comme prévu, l'opérateur historique allemand a lancé son offre de cloud public lors du Cebit, lundi. Cette offre vise ouvertement AWS, elle est réalisée en association avec Huawei qui fournit les serveurs....

le 15/03/2016, par Didier Barathon, 410 mots

euNetworks relie 240 datacenters en Europe et se développe en France

Les opérateurs d'infrastructure indépendants luttent pour leur indépendance face à la concurrence des grands opérateurs et aux tentatives de rachat dont ils sont l'objet. euNetworks est un opérateur de réseau...

le 08/02/2016, par Didier Barathon, 378 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »