L'adresse email, principale faille des services de stockage dans le cloud

Publié le 11 juillet 2012 par Pnordey @latelier

Les services de stockage dans les nuages ne seraient pas assez méfiants vis-à-vis des fausses adresses email utilisées dans un but frauduleux.

La plus grande faille actuelle concernant la sécurité des services de stockage de données
dans le cloud résiderait dans le peu de moyens mis en œuvre par ceux-ci pour détecter les
faux utilisateurs utilisant des adresses mail frauduleuses. En effet, une étude, réalisée par
des chercheurs du département de la sécurité des technologies de l'information de l'Institut
Fraunhofer
, dévoile que cette erreur serait commune à sept des services de stockage gratuits
les plus usités actuellement. Une information plutôt inquiétante quand on sait que parmi ces
sept, trois ont marqué l'année 2011 par une augmentation considérable de leurs utilisateurs :
Dropbox ayant atteint les 25 millions d'abonnés, Ubunto One et Mozy dépassant chacun les 1
million d'utilisateurs. A ces trois noms s'ajoutent également CloudMe, CrashPlan, TeamDrive,
et Wuala, tous choisis par les chercheurs en fonction d'offres de services similaires.

Diffusion de malware ou exploitation de données

Et pour chacun d'entre eux les chercheurs ont non seulement analysé les méthodes
d'inscription, mais également les protocoles utilisés pour la sécurisation des flux de données,
le chiffrage, ainsi que les mesures de sécurité concernant le partage de données et la
déduplication. En ressort évidemment des niveaux de sécurité différents d'un service à un
autre, avec une attention toute particulière à CloudMe qui semble cumuler les risques de
failles et à Ubunto One qui au contraire semble être le plus sécurisé. Mais surtout on retrouve
une généralisation entre les différents services de la non-vérification des adresses e-mail lors
de l’inscription d'un nouvel utilisateur. Pour les chercheurs, si l'on combine un tel manque
de contrôles aux fonctions de partages ou de notifications, cela laisse place à la possibilité
d'attaques comme la mise en circulation de logiciels malveillants ou l'espionnage de données
confidentielles.

Services et utilisateurs, indifféremment concernés

Et pourtant, ces failles pourraient être résolues, rappelle l'étude, avec des méthodes simples
comme par exemple l'envoi d'un mail de confirmation avec un lien d'activation. Ce qui ne
semble pas vraiment intéresser tous les services concernés. En effet, les chercheurs ont
contacté différents services de stockage dans les nuages, à la fois ceux analysés et d'autres,
pour leur faire part des résultats de l'étude et seuls cinq ont réagit : Dropbox, HiDrive,
SugarSync, Syncplicity et Wuala. Le rapport conseille donc, cette fois aux utilisateurs et non
aux services eux-mêmes, de prendre des précautions également très simples concernant le
service qu'ils choisissent. Et en particulier, il est conseillé lorsqu'ils reçoivent une demande de
téléchargement de données d'envoyer un courriel à l'expéditeur pour s'assurer que la demande
provient bien de celui-ci.