Le cloud computing n'est évidemment pas exempt de failles : Amazon en aurait rencontré récemment. Pour s'en prémunir, la meilleure solution est la prévention et la réactivité.
Revenir sur les failles du cloud fait partie des sujets de prédilection des sceptiques de l'hébergement dans les nuages. Reste que pour une bonne application de cette démarche, il est important de prendre en compte les différentes difficultés auxquelles une entreprise peut être possiblement confrontée. C'est ce qu'a fait une équipe de l'université de la Ruhr, à Bochum, après avoir détecté des failles de sécurité dans les offres cloud d'Amazon (AWS), hébergeant notamment des services comme Twitter, Second Life ou Foursquare. En utilisant différents types d'attaques comme le "cross-site scripting" ou le "signature wrapping", les scientifiques annoncent qu'ils ont réussi à percer les défenses du système.
Des services vulnérables à plusieurs sortes d'attaques
Grâce à des falsifications de signature XML, les scientifiques ont réussi à obtenir les droits d'administration de certains comptes, leur permettant de créer de nouvelles instances, d'ajouter ou de supprimer des fichiers. Le service d'Amazon aurait également été vulnérable à l'introduction illicite de scripts exécutables directement dans l'interface d'achat. Les pirates pouvaient ainsi récupérer des données clients, logins et mots de passe inclus. Le recours à des services de cloud privé comme les solutions Eucalytpus dans les entreprises ne serait également pas totalement satisfaisant puisque des failles de sécurité similaires y seraient présentes.
Sécurité contre performance
"Pour l'instant, plus l'hébergement cloud est performant, rapide et simple d'utilisation et moins il est sûr. Nous devons travailler sur des solutions qui remplissent parfaitement ces deux critères", conclut Jörg Schwenk, co-auteur de l'étude. Les sociétés devront sans doute faire des concessions mais également être réactives pour combler les brèches au fur et à mesure qu'elles sont signalées. La meilleure solution de prévention restant là encore dans la sensibilisation. A noter que, selon les chercheurs, la faille de sécurité a été corrigée par Amazon après réception de l'alerte par l'équipe. Pour information également : les firmes européennes vont doubler leurs investissements en services sur le cloud dans les prochaines années (de 68 milliards d'euros en 2010 à 148 milliards en 2014).
Aucun commentaire:
Enregistrer un commentaire