Sécurité et cloud ne font pas bon ménage

La question de la sécurité des clouds est une nouvelle fois remise en cause suite aux informations dévoilées par des chercheurs allemands.

Des chercheurs allemands, qui affirment avoir trouvé des failles de sécurité dans Amazon Web Services, pensent que celles-ci se retrouvent dans de nombreuses architectures cloud. Selon eux, ces vulnérabilités permettraient aux attaquants de s'octroyer des droits d'administration et d'accéder à toutes les données utilisateur du service. Les chercheurs ont informé AWS de ces trous de sécurité et Amazon Web Services les a corrigés. Néanmoins, ceux-ci estiment que, « dans la mesure où l'architecture cloud standard rend incompatible la performance et la sécurité, » de mêmes types d'attaques pourraient réussir contre d'autres services cloud.

L'équipe de chercheurs de la Ruhr-Universität Bochum (RUB) a utilisé diverses attaques d'encapsulation de signature XML (XML signature-wrapping) pour gagner l'accès administrateur aux comptes clients. Ils ont pu ensuite créer de nouvelles instances cloud au nom du client, puis ajouter et supprimer les images virtuelles. Dans un exploit distinct, les chercheurs ont utilisé des attaques de type « cross-site scripting » ou XSS contre le framework Open Source du cloud privé Eucalyptus. Ils ont également constaté que le service d'Amazon était vulnérable aux attaques de type XSS. « Ce problème ne concerne pas que le service d'Amazon», a déclaré l'un des chercheurs, Juraj Somorovsky. « Ces attaques concernent les architectures cloud en général. Les clouds publics ne sont pas aussi sûrs qu'on le croit. Ces problèmes pourraient très bien se retrouver dans d'autres frameworks cloud, » a-t-il expliqué.

Renforcer la sécurité XML

Juraj Somorovsky a indiqué par ailleurs que les chercheurs travaillaient sur des bibliothèques haute-performance qui pourront être utilisées avec la sécurité XML pour supprimer la vulnérabilité exploitable par des attaques d'encapsulation de signature XML. Celles-ci devraient être prêtes l'année prochaine. Ces bibliothèques s'appuient sur le mécanisme d'attaques de type « signature-wrapping » mis en évidence par les chercheurs de la Ruhr-Universität Bochum dans l'Amazon Web Service qu'ils sont parvenus à corriger. « Aucun client n'a été affecté, » a déclaré par mail un porte-parole d'AWS. « Il est important de noter que cette vulnérabilité potentielle impliquait un très faible pourcentage de tous les appels API AWS authentifiés qui utilisent des points de terminaison non-SSL. Cette vulnérabilité n'est pas disséminée, comme cela a été rapporté. »

AWS a posté une liste des meilleures pratiques en matière de sécurité, laquelle, si elle est suivie, aurait protégé les clients contre les attaques imaginées par l'équipe de chercheurs de l'université allemande, et contre d'autres attaques également.



s'abonner
aux newsletters

suivez-nous

Publicité

Derniers Dossiers

Publicité