l'avenir des botnets est-il dans le Cloud ?

Alors que jusqu'ici la mise en oeuvre d'un botnet à des fins cybercriminelles nécessitait une bonne dose de savoir-faire technique et beaucoup de temps - le tout pour obtenir une infrastructure parfois limitée et relativement peu furtive - il semble bien que les offres de Cloud Computing puissent offrir de nouvelles opportunités aux esprits malveillants.

le petit botnet dans la prairie

Stratsec, une société de conseil en sécurité informatique, a récemment publiée sur son blog les résultats d'un travail d'étude de la "Stratsec IT Security Winter School 2012", initiative qui rassemble des talents universitaires autour de programme de recherche en sécurité informatique.

L'objet de recherche avait pour objectif d'étudier les avantages potentiels d'une infrastructure de services de Cloud Computing pour une entreprise malveillante, et de répondre plus particulièrement aux questions suivantes :

  1. quels sont les bénéfices pour un attaquant d'utiliser des services de Cloud Computing à des fins malveillantes ?
  2. des services de Cloud Computing peuvent-ils être utilisés pour réaliser des attaques, propager des malwares ou lancer des attaques en déni de service ?
  3. les fonctions de sécurité fournis par les services de Cloud Computing sont-ils suffisamment robustes en termes de détection et de prévention face à des usages malicieux ?

Les travaux menés devaient en outre analyser les résultats selon deux points de vue : l'efficacité face aux usages malveillants des services de Cloud Computing d'une part, et l'efficacité pour lancer des opérations malveillantes de tels services de Cloud Computing d'autre part.

présentation de "botCloud"

"botCloud", c'est le terme choisi par les chercheurs pour désigner l'ensemble des instances virtuelles qui seront pilotées par un serveur "Command & Control" et qui effectueront les actions dites malveillantes.

L'architecture d'attaque choisie s'avère relativement simple : souscription de services Cloud auprès de 5 fournisseurs puis déploiement de 10 machines virtuelles "attaquantes" sur chacun.

Même chose pour la cible : déploiements de machines virtuelles "victimes" en environnement contrôlé, puis installation de services Web, FTP et SMTP et mise en oeuvre de sondes de supervision et de capture de trafic sur le réseau "victime".

Ne restait plus qu'à définir quelques cas d'attaques, pris parmi les cas les plus connus des professionnels de la sécurité : trafic non conformes aux RFC, scans de port agressifs, déni de service par flooding, brute-force sur le service FTP, tentatives d'installation de malwares/shellcode, injection SQL, XSS et autres attaques web.

A des fins de vérification, un équipement de type IDS (Intrusion Detection System), paré de sa plus belle configuration par défaut, a été installé pour contrôler le trafic - reçu et renvoyé - et pour confirmer les attaques menées.

le scénario du film

L'expérience s'est déroulée en quatre actes, chacun simulant des contextes et des configurations plausibles en environnement réel. A noter que les attaquants ciblent tous la même victime en lançant les attaques citées plus haut.

  1. la victime étant sur un réseau IP public, il s'agit d'analyser le comportement du fournisseur de services Cloud face à du trafic sortant malicieux
  2. la victime étant une instance du service Cloud, il s'agit d'analyser le comportement du fournisseur de services Cloud face à du trafic malicieux transmis à l'intérieur de son infrastructure d'hébergement
  3. la victime étant une instance d'un service Cloud différent de celui des attaquants, il s'agit d'analyser le comportement du fournisseur de services Cloud face à du trafic malicieux reçu depuis un réseau externe
  4. reprise de l'acte 1 en allongeant sensiblement la durée des attaques (pratiquement 48 heures), il s'agit de déterminer si la durée des attaques et le volume de trafic généré influence le comportement du fournisseur de services Cloud

Vous l'aurez compris, à la fin du film, nous saurons si le propriétaire du manoir hanté s'est aperçu des différentes fiestas organisées par les zombies dans les étages et les jardins du domaine.

En complément, il est utile de préciser que les expériences ont été menées durant 21 jours, que toute la consommation de CPU et de bande passante a été mesurée sur chaque machine d'attaque, et que le trafic réseau généré a été capturé et enregistré.

l'Oscar du meilleur acteur est décerné à ...

Au terme de leurs expérimentations, les chercheurs qui s'attendaient à voir les fournisseurs de services de Cloud Computing réagir, ont dû se rendre - avec surprise - à l'évidence :

  • aucune des connections entrantes ou sortantes n'a été interrompue ou réinitialisée
  • aucune des connections intra-Cloud n'a été interrompue ou réinitialisée
  • aucun trafic n'a été bridé ou limité de quelque sorte qu'il soit
  • aucun email ou appel téléphonique n'a été reçu des fournisseurs de services
  • aucune suspension temporaire ou définitive de leurs souscriptions n'a été réalisée

En revanche, un fournisseur de services bloquait par défaut le trafic vers les services SSH, FTP et SMTP, mais cette restriction ne s'appliquait pas si les services utilisaient des ports autres que ceux par défaut.

Au vu de la faible efficacité des services de Cloud Computing testés, face aux usages malveillants (point de vue de la victime), les chercheurs notent de nombreux avantages de ces solutions pour lancer des opérations malveillantes (point de vue de l'attaquant) :

  1. facilité de déploiement du botCloud : à l'inverse des solutions "traditionnelles", les services de Cloud Computing épargnent aux attaquants la complexité des installations systèmes et réseaux
  2. gain de temps : la possibilité de cloner à volonté les machines attaquantes contraste fortement avec le temps nécessaire pour construire un botnet qui s'appuie généralement sur des environnements hétérogènes
  3. évolutivité et fiabilité : à la différence des machines zombies, les machines virtuelles utilisées ici sont redondées et l'expansion du botnet facilité par les services intrinsèques proposés dans le cadre du Cloud Computing
  4. puissance effective : toujours en comparaison avec un botnet classique, les ressources utilisables, que ce soit en CPU, mémoire ou réseau, sont contrôlées et homogènes
  5. faibles coûts : selon les chercheurs, ce projet leur a couté 7 dollars en raison de la faible consommation totale de CPU et de trafic réseau. Selon eux, quelques dollars suffisent donc pour disposer d'un botnet de centaines de machines

verdict de la critique

Si ce travail de recherche manque quelque peu de détails et reste cantonné à peu de fournisseurs de services de Cloud Computing - dont les noms ne sont pas révélés d'ailleurs, il permet néanmoins d'en déduire quelques éléments de bon sens.

Les offres d'hébergement en mode Cloud offrent par leur simplicité d'utilisation, leur flexibilité d'usage des ressources, leur robustesse et leur faible coût relatif, une solution qui saura plaire à qui souhaitent héberger des services malveillants. Ajouté à cela un faible niveau de services de sécurité intrinsèque – nous ne parlons même pas ici du cas particulier des hébergements « bulletproof », cela a des faux airs de paradis sur terre.

A contrario, cela impose à toute société qui souhaite franchir le pas vers le Cloud Computing, d'affronter le dossier avec transparence et de se poser quelques questions essentielles :

  • le niveau de protection contre des menaces connues est-il suffisant ?
  • le fournisseur informe-t-il de manière détaillée sur la sécurité du service ?
  • les conditions d'usage de l'offre me mettent-elles à l'abri de voisins malveillants ?
  • le fournisseur dispose-t-il de processus adaptés à la sécurité proposée ?
  • le service proposé est-il à la hauteur des bonnes pratiques de l'industrie ?

La liste ci-dessus pouvant être bien plus longue, je vous laisse réagir via les commentaires si vous souhaitez partager vos expériences ou échanger sur certains points cités ici.

Vincent

crédit photo : © Gunnar Assmy - Fotolia.com

Vincent Maurin

Chez Orange Business, je suis en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services. Mes expériences passées au cœur d'entités opérationnelles m'amènent à porter un regard particulier sur les difficultés de mise en œuvre des politiques et stratégies de sécurité pour les entreprises. Sécurité, efficacité et pragmatisme sont mes principaux axes de réflexion.