Le cloud c'est le nouvel eldorado. C'est un peu la ruée vers l'or avec presque tous les hébergeurs historiques (y compris Orange Business Services) qui se (re)-convertissent à cet nouvelle façon de délivrer les services informatiques. Le cloud c'est plus souple, plus élastique, moins cher, enfin bref, c'est mieux quoi ! (A cet effet, on peut voir parfois des trucs assez tordus directement issus de certains cerveaux illuminés du coté marketing). Non, je ne donnerai pas de noms. :-)
Si les promesses du cloud computing sont si intéressantes pour des entreprises, qu'en est-il pour les cybercriminels ? Est-ce que ces derniers n'ont cure de cet effet de mode du cloud ? Il est vrai qu'ils possèdent depuis des années une certaine maitrise d'environnements "élastiques" connus sous le nom de botnets. :-)
Le temps de cet article, je vous propose de passer de l'autre coté du miroir afin d'explorer en quoi le cloud computing pourrait faire le bonheur des cybercriminels de tout poil.
Oui. Le cloud est très surement un eldorado aussi pour les cybercriminels
Le cloud c'est une nouvelle opportunité de mettre en place de nouveaux systèmes pour être encore plus efficaces, collecter encore plus d'informations personnelles, émettre encore plus de spam, .... tout cela pour augmenter encore leurs revenus... Pas de fausse surprise ici : Les cybercriminels ont très souvent une longueur d'avance quand il s'agit d'utiliser les technologies "émergentes" à des fins malhonnêtes.
Pour se lancer, nul besoin de grand chose
- Prendre le contrôle d'un quelconque serveur virtuel insuffisamment sécurisé
- Utiliser des services gratuits de type PaaS (par exemple un Google AppEngine).
- Suite à un vol d'identifiants de connexion d'une entreprise , l'attaquant prends le contrôle de de l'ensemble des serveurs virtuels
- Certains même iront jusqu'à ouvrir un compte sur une plateforme IaaS sous une identité et des coordonnées bancaires volées quelque part...
Quelques exemples/idées d'utilisation du cloud computing par des cybercriminels.
Vérifier qu'aucun antivirus ne détecte le dernier code malicieux
Au même titre de services comme le très pratique VirusTotal.com permettant de tester un fichier suspect via plus de 30 antivirus du commerce, les cybercriminels auraient mis en place des systèmes du même type mais sans interaction avec les éditeurs d'antivirus.
Un tel service leur permettrait ainsi de tester si la dernière souche de leur virus ou cheval de troie est effectivement indétectable pour les antivirus du marché. Au contraire des services légitimes, les fichiers testés via ce type de service "noir" resteraient inconnus des sociétés spécialisées dans les antivirus.
... en fait le même service que VirusTotal.com mais avec une "garantie" de confidentialité des données soumises.
Émettre du spam
Certains rétorqueront "pas besoin du cloud pour émettre du Spam avec les botnets que l'on connait"... Ils auront en partie raison : Emettre du Spam depuis des plateformes Cloud d'un fournisseur quelconque c'est bénéficier de la réputation IP de celui-ci, voir de celle de ses serveurs de relais.
C'est intéressant lorsque l'on sait que des mesures comme le blocage du port TCP/25 (SMTP) par les ISPs est une mesure qui gagne doucement du terrain ou que les adresses IP identifiées comme étant des lignes de type DSL sont de "moins bonne" réputation que celles appartenant à des hébergeurs.
Lancer des attaques de brute-force
Le brute-force depuis les services de tyoe cloud computing sont assez intéressantes : Ces plateformes ont des capacités CPU et des bandes passantes qui sont tout particulièrement appropriées pour le brute-force.
Cela pourrait être utilisé pour rechercher des identifiants de connexion à des comptes de VoIP SIP ou prendre le contrôle de machines dont l'accès SSH est insuffisamment sécurisé.
Le petit "plus" ce type d'attaque est quelles proviennent d'adresses IP"de "bonne réputation" et que les bloquer au niveau d'un firewall peut vouloir dire bloquer des sources ou destination de trafic intéressantes.
Héberger des sites hautement "bullet proof"
L'hébergement de sites illicites hautement disponibles et résistants aux assauts des forces de l'ordre est un classique. Pour ceux vivant dans un autre monde que le nôtre, je vous invite à faire quelques recherches sur le Russian Business Network (RBN).
Dans le cloud, il se pourrait que ce soit un peu la même chose lorsque des services de migration "live" verront le jour.
Le concept de base est assez simple : Une VM (par exemple) peut migrer dynamiquement d'une machine physique vers une autre sans s'arrêter ni perdre aucune données... c'est déjà possible dans des infrastructures à base de vmWare via la fonction vMotion.
Lorsque ce même mécanisme sera possible entre deux cloud opérés par des fournisseurs différents, ajouté à des techniques de type fast-flux ou double-fast-flux, il sera alors particulièrement compliqué, sinon impossible de stopper un site
Rajoutez à cela le fait que le système peut aussi faire exprès de changer de juridiction à chaque fois...
Une cible de choix pour les attaques en DDoS
L'utilisation croissante de services cloud par les entreprises va accroitre l'importance de maintenir ces plateformes toujours accessibles. Si ces plateformes deviennent encore plus importantes pour les entreprises, cela va donc surement augmenter l'intérêt des cybercriminels pour les perturber, que ce soit à des fins de chantage ou de racket.
Une attaque en DDoS dans un contexte et c'est l'effet "bombe nucléaire". Je m'explique. Si vous voulez détruire un batiment vous y collez une petite bombe nucléaire : Le batiment est effectivement réduit en poussière mais tout le quartier (voir la ville entière) est elle aussi dévastée... Donc un site attaqué dans un contexte cloud cela voudra très surement dire que les autres clients seront aussi impactés... à moins que fournisseur du service n'ai pris quelques précautions pour limiter la casse.
Le cloud, une poule aux œufs d'or
Dans les années à venir, de plus en plus d'entreprises vont adopter les services de cloud computing. La centralisation de grands volumes d'informations sensibles va attirer des nuées de cybercriminels de tout poil. La sécurité des plateformes de cloud va donc être l'objet de tests "grandeur nature" dans les années à venir.
Évolution naturelle des botnets ?
Avec le développement et l'évolution ds solutions de virtualisation, je pense que l'on verra peut-être dans un futur plus ou moins proche l'émergence de réseaux de zombies s'appuyant sur des techniques de virtualisation.
Les botnets ont évolués d'un modèle ou ils ne savaient faire qu'une seule et unique chose (par exemple : envoyer du spam ou participer à une attaques en DDoS) à un modèle ou leurs fonctionnement est modulable à distance. Donc le passage à la virtualisation (ou du moins à des modes de type PaaS) est vraisemblable.
Le mot de la fin
Oui, les services liés au cloud computing vont être/sont utilisés par les cybercriminels. Rien de bien surprenant il faut l'avouer : La sécurité des environnement cloud computing est en plein développement et des initiatives prometteuses existent pour encadrer et développer celle-ci.
Il convient de rester conscient des risques inhérents à tout service ou système informatique et de définir une approche de gestion des risques en accord avec le contexte actuel et de faire vivre celle-ci dans le temps.