La sécurité du cloud (encore) mise en cause
La question de la sécurité des clouds est une nouvelle fois remise en cause suite aux informations dévoilées par des chercheurs allemands.
Des chercheurs allemands, qui affirment avoir trouvé des failles de sécurité dans Amazon Web Services, pensent que celles-ci se retrouvent dans de nombreuses architectures cloud. Selon eux, ces vulnérabilités permettraient aux attaquants de s'octroyer des droits d'administration et d'accéder à toutes les données utilisateur du service. Les chercheurs ont informé AWS de ces trous de sécurité et Amazon Web Services les a corrigés. Néanmoins, ceux-ci estiment que, « dans la mesure où l'architecture cloud standard rend incompatible la performance et la sécurité, » de mêmes types d'attaques pourraient réussir contre d'autres services cloud.
L'équipe de chercheurs de la Ruhr-Universität Bochum (RUB) a utilisé diverses attaques d'encapsulation de signature XML (XML signature-wrapping) pour gagner l'accès administrateur aux comptes clients. Ils ont pu ensuite créer de nouvelles instances cloud au nom du client, puis ajouter et supprimer les images virtuelles. Dans un exploit distinct, les chercheurs ont utilisé des attaques de type « cross-site scripting » ou XSS contre le framework Open Source du cloud privé Eucalyptus. Ils ont également constaté que le service d'Amazon était vulnérable aux attaques de type XSS. « Ce problème ne concerne pas que le service d'Amazon», a déclaré l'un des chercheurs, Juraj Somorovsky. « Ces attaques concernent les architectures cloud en général. Les clouds publics ne sont pas aussi sûrs qu'on le croit. Ces problèmes pourraient très bien se retrouver dans d'autres frameworks cloud, » a-t-il expliqué.
Renforcer la sécurité XML
Juraj Somorovsky a indiqué par ailleurs que les chercheurs travaillaient sur des bibliothèques haute-performance qui pourront être utilisées avec la sécurité XML pour supprimer la vulnérabilité exploitable par des attaques d'encapsulation de signature XML. Celles-ci devraient être prêtes l'année prochaine. Ces bibliothèques s'appuient sur le mécanisme d'attaques de type « signature-wrapping » mis en évidence par les chercheurs de la Ruhr-Universität Bochum dans l'Amazon Web Service qu'ils sont parvenus à corriger. « Aucun client n'a été affecté, » a déclaré par mail un porte-parole d'AWS. « Il est important de noter que cette vulnérabilité potentielle impliquait un très faible pourcentage de tous les appels API AWS authentifiés qui utilisent des points de terminaison non-SSL. Cette vulnérabilité n'est pas disséminée, comme cela a été rapporté. »
AWS a posté une liste des meilleures pratiques en matière de sécurité, laquelle, si elle est suivie, aurait protégé les clients contre les attaques imaginées par l'équipe de chercheurs de l'université allemande, et contre d'autres attaques également.
A savoir
- N'utiliser que le point de terminaison sécurisé SSL/HTTPS pour tout service AWS et s'assurer que les utilitaires du client effectuent une validation du certificat pair à pair. Un très faible pourcentage de tous les appels API AWS authentifiés utilisent des points de terminaison non-SSL, et AWS prévoit de rendre obsolète les terminaisons API non-SSL dans un futur proche.
- Activer et utiliser le Multi-Factor Authentication (AMF) pour l'accès à l'AWS Management Console.
- Créer des comptes Identity and Access Management (IAM) avec des rôles et des responsabilités limitées, en restreignant par exemple l'accès aux seules ressources spécifiquement requises pour ces comptes.
- Limiter l'accès et l'interaction avec les API par une source IP, en mettant en place des politiques de restrictions sur la source IP dans les IAM.
- Effectuer des rotations régulières des références AWS, notamment les clés secrètes, les certificats X.509, et les couples « clé publique - clé privée ».
- Lors de l'utilisation de la console de gestion AWS, réduire ou éviter les interactions avec d'autres sites Web et s'en tenir à des pratiques sécurisées de navigation sur Internet, comme on le fait pour accéder à des comptes bancaires en ligne ou pour effectuer des actions critiques du même genre.
- Les clients AWS doit aussi considérer d'autres mécanismes que SOAP pour l'accès API, comme REST/Query.
