Comment protéger son service Cloud des hackers
Tout le monde en convient, le cloud computing apporte des économies et une réduction des problèmes de fonctionnement pour les serveurs internes. Mais cette externalisation des données a de plus en plus de mal à convaincre de son imperméabilité aux hackers.
Le service d'hébergement cloud de codes, Code Space a disparu, suite à l'effacement des données de ses clients par des pirates. C'est un exemple des conséquences désastreuses d'une sécurité Cloud inadéquate. Les cybercriminels y sont parvenus après avoir pris la main sur le panneau de contrôle utilisé par Code Spaces pour gérer son infrastructure sur Amazon Elastic Compute Cloud (EC2). Ce puissant outil en main, les hackers ont effacé les données, les sauvegardes, même celles hors site, et la configuration des machines. Cette attaque, intervenue récemment, faisait suite à une tentative infructueuse des pirates d'extorquer de l'argent. Les détails techniques restent encore flous.
Les experts estiment que ce cas illustre parfaitement les risques lorsque les environnements Cloud et ce qu'ils contiennent sont insuffisamment protégés. Ainsi, estiment-ils que l'accès à Code Spaces n'aurait pas dû être aussi aisé depuis un panneau de contrôle. Des mesures de sécurité adéquates se devaient de comporter des plans de sauvegarde et de reprise d'activité pertinents, ainsi que des accès protégés aux outils de contrôle, mettant en oeuvre des restrictions sévères des accès privilégiés. «Ils se sont montrés bien naïfs quant aux précautions de sécurité de base et aux meilleures pratiques à intégrer, estime Adrian Sanabria, analyste sécurité chez 451 Research. Ils ont mis tous leurs oeufs dans le même panier». L'entreprise n'y survivra pas parce que plus personne ne voudra leur confier leurs codes, prévoit Adrian Sanabria. « Quelques clics auront suffi à la tuer », ajoute-t-il.
L'authentification à deux facteurs
Parmi les mesures que les responsables sécurité doivent prendre en compte pour éviter pareille mésaventure, lorsqu'ils utilisent des services Cloud, c'est la mise en oeuvre l'authentification à deux facteurs pour l'accès à des infrastructures critiques, conseille Tod Beardsley, directeur de l'ingénierie chez Rapid7. De plus, ajoute-t-il, les accès privilégiés devraient être limités uniquement à ceux qui en ont besoin. En outre, il faut disposer d'une sauvegarde locale de tout élément de propriété intellectuelle irremplaçable, ainsi qu'un plan interne de gestion des interruptions de service. Rapid7 a interrogé les responsables sécurité des fournisseurs de services Cloud qu'il utilise pour évaluer la pertinence de leurs solutions.
«En fait, vous devez croire ce que répondent les fournisseurs de services Cloud, estime Tod Beardsley. Cependant, vous pouvez vous faire une bonne idée de leur approche de la sécurité simplement en leur parlant. Si leurs propos sont évasifs sur la sécurité des procédures de reprise d'activité en place, mieux vaut aller voir ailleurs ». Ruihai Fang, spécialiste de la sécurité IT chez Bishop Fox propose quelques recommandations aux CSO :
. Ne jamais coder en dur les identifiants ou les clés d'accès où que ce soit.
. Mettre en oeuvre un changement des clés tous les 90 jours, ce que recommande Amazon.
. Prendre le temps nécessaire pour paramétrer correctement les permissions d'accès au système IAM (identity and access management) des comptes d'Amazon EC2. Ne pas utiliser les permissions fournies par défaut par Amazon.
. Élaborer une politique rigoureuse de mots de passe, ceux-ci devant comporter au moins 10 caractères.
(photo : Kace)
