cloud computing : un nouvel eldorado pour les cybercriminels ?

L'offre autour du cloud computing se structure, elle évolue, s'adapte à la demande et aux nouveaux usages. De la même façon, le niveau des sociétés et des professionnels proposant des services pour le cloud computing est aussi en plein "boom".

Le cloud c'est le nouvel eldorado. C'est un peu la ruée vers l'or avec presque tous les hébergeurs historiques (y compris Orange Business) qui se (re)-convertissent à cet nouvelle façon de délivrer les services  informatiques. Le cloud c'est plus souple, plus élastique, moins cher, enfin bref, c'est mieux quoi ! (A cet effet, on peut voir parfois des trucs assez tordus directement issus de certains cerveaux illuminés du coté marketing). Non, je ne donnerai pas de noms. :-)

Si les promesses du cloud computing sont si intéressantes pour des entreprises, qu'en est-il pour les cybercriminels ? Est-ce que ces derniers n'ont cure de cet effet de mode du cloud ? Il est vrai qu'ils possèdent depuis des années une certaine maîtrise d'environnements "élastiques" connus sous le nom de botnets. :-)

Le temps de cet article, je vous propose de passer de l'autre coté du miroir afin d'explorer en quoi le cloud computing pourrait faire le bonheur des cybercriminels de tout poil.

oui, le cloud est très surement un eldorado pour les cybercriminels

Le cloud c'est une nouvelle  opportunité de mettre en place de nouveaux systèmes pour être encore plus efficaces, collecter encore plus d'informations personnelles, émettre encore plus de spam... tout cela pour augmenter leurs revenus. Pas de fausse surprise ici : les cybercriminels ont très souvent une longueur d'avance quand il s'agit d'utiliser les technologies "émergentes" à des fins malhonnêtes.

pour se lancer, nul besoin de grand chose

  • prendre le contrôle d'un quelconque serveur virtuel insuffisamment sécurisé
  • utiliser des services gratuits de type PaaS (par exemple un Google AppEngine).
  • suite à un vol d'identifiants de connexion d'une entreprise , l'attaquant prends le contrôle de l'ensemble des serveurs virtuels
  • certains même iront jusqu'à ouvrir un compte sur une plateforme IaaS sous une identité et des coordonnées bancaires volées quelque part...

Quelques exemples/idées d'utilisation du cloud computing par des cybercriminels :

vérifier qu'aucun antivirus ne détecte le dernier code malicieux

Au même titre que les services tels que VirusTotal.com qui permet de tester un fichier suspect via plus de 30 antivirus du commerce, les cybercriminels auraient mis en place des systèmes du même type mais sans interaction avec les éditeurs d'antivirus.

Un tel service leur permettrait ainsi de tester si la dernière souche de leur virus ou cheval de troie est effectivement indétectable pour les antivirus du marché. Au contraire des services légitimes, les fichiers testés via ce type de services "noirs" resteraient inconnus des sociétés spécialisées dans les antivirus.

... en fait le même service que VirusTotal.com mais avec une "garantie" de confidentialité des données soumises.

émettre du spam

Certains rétorqueront "pas besoin du cloud pour émettre du spam avec les botnets que l'on connait"... Ils auront en partie raison : émettre du spam depuis des plateformes Cloud d'un fournisseur quelconque c'est bénéficier de la réputation IP de celui-ci, voire de celle de ses serveurs de relais.

C'est intéressant lorsque l'on sait que des mesures comme le blocage du port TCP/25 (SMTP) par les ISPs est une mesure qui gagne doucement du terrain ou que les adresses IP identifiées comme étant des lignes de type DSL sont de "moins bonne" réputation que celles appartenant à des hébergeurs.

lancer des attaques de brute-force

La brute-force depuis les services de type cloud computing est assez intéressante : ces plateformes ont des capacités CPU et des bandes passantes qui sont tout particulièrement appropriées pour la brute-force.

Cela pourrait être utilisé pour rechercher des identifiants de connexion à des comptes de VoIP SIP ou prendre le contrôle de machines dont l'accès SSH est insuffisamment sécurisé.

Le petit "plus" ce type d'attaque est qu'elles proviennent d'adresses IP de "bonne réputation" et que les bloquer au niveau d'un firewall peut vouloir dire bloquer des sources ou destination de trafic intéressantes.

héberger des sites hautement "bullet proof"

L'hébergement de sites illicites hautement disponibles et résistants aux assauts des forces de l'ordre est un classique. Pour ceux vivant dans un autre monde que le nôtre, je vous invite à faire quelques recherches sur le Russian Business Network (RBN).
Dans le cloud, il se pourrait que ce soit un peu la même chose lorsque des services de migration "live" verront le jour.

Le concept de base est assez simple : une VM (par exemple) peut migrer dynamiquement d'une machine physique vers une autre sans s'arrêter ni perdre aucune données... c'est déjà possible dans des infrastructures à base de vmWare via la fonction vMotion.
Lorsque ce même mécanisme sera possible entre deux cloud opérés par des fournisseurs différents, ajouté à des techniques de type fast-flux ou double-fast-flux, il sera alors particulièrement compliqué, sinon impossible de stopper un site.

Rajoutez à cela le fait que le système peut aussi faire exprès de changer de juridiction à chaque fois...

une cible de choix pour les attaques en DDoS

L'utilisation croissante de services cloud par les entreprises va accroître l'importance de maintenir ces plateformes toujours accessibles. Si ces plateformes deviennent encore plus importantes pour les entreprises, cela va donc surement augmenter l'intérêt des cybercriminels pour les perturber, que ce soit à des fins de chantage ou de racket.

Une attaque en DDoS dans un contexte et c'est l'effet "bombe nucléaire". Je m'explique. Si vous voulez détruire un bâtiment vous y collez une petite bombe nucléaire : le bâtiment est effectivement réduit en poussière mais tout le quartier (voire la ville entière) est elle aussi dévastée... Donc un site attaqué dans un contexte cloud cela voudra très surement dire que les autres clients seront aussi impactés... à moins que fournisseur du service n'ai pris quelques précautions pour limiter la casse.

le cloud, une poule aux œufs d'or

Dans les années à venir, de plus en plus d'entreprises vont adopter les services de cloud computing. La centralisation de grands volumes d'informations sensibles va attirer des nuées de cybercriminels de tout poil. La sécurité des plateformes de cloud va donc être l'objet de tests "grandeur nature" dans les années à venir.

évolution naturelle des botnets ?

Avec le développement et l'évolution des solutions de virtualisation, je pense que l'on verra dans un futur plus ou moins proche l'émergence de réseaux de zombies s'appuyant sur des techniques de virtualisation.

Les botnets ont évolué d'un modèle où ils ne savaient faire qu'une seule et unique chose (par exemple : envoyer du spam ou participer à une attaques en DDoS) à un modèle ou leurs fonctionnement est modulable à distance. Donc le passage à la virtualisation (ou du moins à des modes de type PaaS) est vraisemblable.

le mot de la fin

Oui, les services liés au cloud computing vont être/sont utilisés par les cybercriminels. Rien de bien surprenant, il faut l'avouer : la sécurité des environnements cloud computing est en plein développement et des initiatives prometteuses existent pour encadrer et développer celle-ci.

Il convient de rester conscient des risques inhérents à tout service ou système informatique et de définir une approche de gestion des risques en accord avec le contexte actuel et de faire vivre celle-ci dans le temps.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens