Cloud Magazine vous présente ses meilleurs voeux

Cloud : Les risques de la séduction

Avec un marché estimé à 10 milliards d’euros en 2018[1], l’adoption des environnements Cloud est en pleine expansion. Les entreprises sont dorénavant de plus en plus dans une démarche de « cloud-first » afin d’y stocker leurs données. Cependant, parmi les limites à l’adoption du Cloud, quelques freins subsistent dont la question de la sécurité. Quels sont les menaces auxquels le Cloud fait fasse ? A qui incombe la sécurisation des données hébergées intégralement aux fournisseurs, à l’entreprise ou en partie aux deux entités ? Car, la question de sa sécurité est clé pour parvenir à éviter les fuites de données et pis l’exfiltration de données. Cette technique de hack, prisée par les pirates informatiques, sera de plus en plus utilisée pour mener des attaques dans le Cloud.

Le Cloud est certes un modèle qui séduit, mais à quel prix ?

Les données, qu’elles soient stockées « on premise » ou dans le Cloud, sont le cheval de bataille des acteurs malveillants. A l’image de Locky, NotPetya, Wannacry qui se sont fait un nom parmi les ransomwares les plus virulents jamais créés. Illustration de l’ingéniosité des hackers, la portée de ces attaques historiques est allée crescendo touchant plus de 28, puis plus de 100 et plus de 150 pays à elles seules[2]. Au-delà de l’impact sur les infrastructures informatiques, la perte financière d’un vol de données d’entreprise coûte chère ! En France, elle s’élève à 3,54 millions d’euros[3]. Face aux enjeux représentés et aux exigences réglementaires en vigueur, les entreprises ont bien pris la mesure de l’importance et de la nécessité criantes de sécuriser leurs données. Dans ce panorama, le Cloud et ses services, ne sont pas exemptés !

La duplicité des modèles Cloud et des risques

Au cours des deux dernières années, les entreprises ont largement adopté le modèle du Software-as-a-Service, comme Office 365, ainsi que les modèles d'infrastructure et de plateforme en tant que service (IaaS et PaaS), comme AWS et Azure. Avec de tels changements, beaucoup plus de données d'entreprise sont désormais stockées dans le Cloud. Face aux cybermenaces latentes, dont l’exfiltration des données, une augmentation significative des attaques traquant les données jusque dans le Cloud est à prévoir[4].

L'adoption accrue d'Office 365 nous a d’ailleurs révélé une recrudescence d'attaques sur le service, en particulier via des tentatives de compromission de courrier électronique. A l’image du botnet KnockKnock, qui ciblait les comptes système qui n'ont généralement pas d'authentification multifactorielle ou bien GhostWriter ciblant les infrastructure AWS non sécurisées. Parmi les attaques qui ciblent le Cloud, on relève aussi l'émergence d'exploits s’appuyant sur l’autorisation ouverte, modèle d’authentification le plus courant sur le web, pour duper les utilisateurs. L'un d'eux a notamment été lancé par le groupe russe de cyber-espionnage : Fancy Bear, qui hameçonne les internautes avec une fausse application de sécurité Google pour pouvoir accéder à leurs données.

Autre exemple de menaces avérées, les nombreuses atteintes à la protection des données attribuées à des buckets Amazon S3 mal configurés. Dans le cas présent, AWS n’est pas fautif, les pirates informatiques jouent sur la notion de responsabilité. En effet, sur la base du modèle de responsabilité partagée, le client est tenu de configurer correctement l'infrastructure IaaS/PaaS et de protéger efficacement ses données d'entreprise et ses accès utilisateurs. Pour compliquer les choses, bon nombre de ces buckets mal configurés appartiennent à des fournisseurs, plutôt qu'aux entreprises. Avec l'accès à des milliers de buckets ouverts et d’identifiants, les acteurs malveillants optent de plus en plus pour ces cibles faciles.

Aujourd’hui, 21 % des données hébergées dans le Cloud sont caractérisées comme étant sensibles, comme la propriété intellectuelle et les données personnelles et clients par exemple[5]. Avec une augmentation du nombre d'utilisateurs collaborant sur ces données au cours de l'année écoulée (+33 %), les cybercriminels ont de fait pris la mesure de nouvelles méthodes pour viser de nouvelles cibles.

  • Les attaques natives dans le Cloud ciblant des API faibles ou des API endpoints non gouvernées pour accéder aux données en mode SaaS ainsi que dans les environnements PaaS et sans serveur.
  • Une reconnaissance et une exfiltration étendues des données dans les bases de données Cloud (PaaS ou applications personnalisées déployées sous la forme d’IaaS) étendant le vecteur d’exfiltration S3 aux données structurées des bases de données ou des lacs de données (data lakes).
  • L’utilisation du Cloud comme tremplin pour les attaques natives au cloud de type man-in-the-middle pour lancer des attaques par ransomware ou de crypto-piratage dans d’autres variantes de ce type d’attaques (un exemple étant GhostWriter, qui exploite les compartiments S3 publiquement accessibles en écriture à cause d’une mauvaise configuration des clients).

Cette année encore, les cybercriminels auront tendance à se tourner vers l'utilisation de menaces intuitives, multiples et synergiques à destination du Cloud. Si les principaux fournisseurs de services Cloud sont conscients de l’importance de la sécurité de leur offre dans la réussite de leur activité, le débat de la sécurité des données reste latent quant à la responsabilité engagée. Dans ce débat, une approchée collaborative et unifiée de la sécurité devra rapidement s’imposer pour la sûreté numérique des entreprises. Car face à une menace cyber de plus en plus oppressante, il ne faut pas oublier qu’« il n’existe que deux types d’entreprises : celles qui ont été piratées et celles qui le seront »[6].

[1] https://itsocial.fr/enjeux/cloud-computing/cloud-public-prive-hybride/barometre-prestataires-cloud-computing-marche-de-10-milliards-e/
[2] https://www.continuum.net/blog/notpetya-wannacry-and-locky-named-among-nastiest-ransomware-of-2017
[3] https://www-03.ibm.com/press/fr/fr/pressrelease/54150.wss
[4] https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/mcafee-labs-2019-threats-predictions/#data
[5] McAfee Cloud Adoption and Risk Report
[6] https://archives.fbi.gov/archives/news/speeches/combating-threats-in-the-cyber-world-outsmarting-terrorists-hackers-and-spies

Laurent Maréchal, EMEA, Technology Architect – McAfee