securite du cloud
Produits et Services PRODUITS & SERVICES

La sécurité du Cloud : n’attendez pas votre prochaine facture pour découvrir une cyberattaque !

L'équipe d'action sur la cybersécurité (Cybersecurity Action Team) de Google vient de publier la toute première édition d'un bulletin intitulé Cloud Threat Intelligence.
Texte écrit par
21 décembre 2021
Products & Services

Les principaux avertissements ne sont guère surprenants (les lecteurs réguliers de notre Blog Sophos ont pu les découvrir depuis des années maintenant) et se résument à deux faits majeurs.

Tout d’abord, les cybercriminels agissent rapidement : il leur faut parfois des jours pour trouver des instances Cloud nouvellement démarrées et non sécurisées et s’y introduire, mais Google a précisé que le temps de découverte-et-entrée-par-effraction était de l’ordre de “30 minutes”.

Dans une étude Sophos menée il y a deux ans, dans laquelle nous avions spécifiquement cherché à mesurer combien de temps s’était écoulé avant l’arrivée des premiers cybercriminels, nos honeypots ont été découverts 84 secondes (RDP) et 54 secondes (SSH) après leur mise en service.

Imaginez s’il ne fallait qu’une minute après avoir finalisé l’achat de votre nouvelle maison pour que les premiers voleurs se faufilent dans votre allée afin d’essayer d’y pénétrer par vos portes et fenêtres !

Ciblé par des attaques de toutes les façons

Il est important de noter que dans nos recherches, les instances Cloud que nous avons utilisées ne représentaient pas le type de serveur Cloud qu’une entreprise classique installerait, étant donné qu’elles n’ont jamais été nommées via le DNS, publiées, liées ou utilisées pour servir de véritables objectifs.

En d’autres termes, les premiers escrocs nous ont trouvés en une minute environ simplement parce que nous étions présents sur Internet : nous avons été attaqués et ce malgré nos efforts pour garder un profil minimal.

Ils n’ont pas eu besoin d’attendre que nous ayons nous-mêmes rendu public les serveurs, comme vous le feriez si vous lanciez un nouveau site Web, un blog ou un site de téléchargement.

De même, les cybercriminels n’ont pas eu besoin d’attendre que nous ayons défini les serveurs en tant que cibles d’API réseau standard (désignées dans le jargon, de manière légèrement ambiguë, par le terme endpoints) et que nous ayons commencé à générer nous-mêmes un trafic visible qui aurait pu être détecté à l’aide de ces services en ligne.

Dans la vraie vie, donc, la situation est probablement encore pire que dans nos recherches, étant donné que vous êtes véritablement une cible générique et automatique pour les cybercriminels qui se contentent de scanner, re-scanner et re-re-scanner Internet à la recherche de tout ce qui pourrait s’y trouver ; et vous pouvez également être une cible spécifique et intéressante pour les escrocs qui sont à l’affût non seulement de quiconque s’y trouverait, mais aussi de quelqu’un en particulier.

Ensuite, les mots de passe faibles sont toujours le principal moyen de pénétrer dans un système : Google a confirmé que les mots de passe faibles n’étaient pas seulement un moyen utilisé par les cybercriminels pour s’introduire dans le Cloud, mais bien le moyen par excellence d’y parvenir.

Techniquement, les mots de passe faibles (une catégorie qui, malheureusement, inclut aussi les cas où aucun mot de passe n’est défini) n’ont pas obtenu la majorité absolue sur la liste du “comment sont-ils entrés ?” de Google, mais avec 48%, le score était serré.

En particulier, les erreurs concernant la sécurité des mots de passe se positionnaient loin devant la prochaine technique d’entrée par effraction la plus probable, qui était le logiciel non corrigé.

Vous aviez probablement déjà deviné que l’installation de correctifs serait un problème, étant donné la fréquence à laquelle nous évoquons ce problème sur le blog Sophos : les logiciels vulnérables laissent entrer 26% des attaquants.

Fait amusant, et nous nous autorisons à esquisser un léger sourire ici, 4% des intrusions signalées par Google auraient été causées par des utilisateurs publiant accidentellement leurs propres mots de passe ou clés de sécurité en les uploadant par erreur lors de la publication d’éléments open source sur des sites tels que GitHub.

Ironiquement, le dernier avertissement de Sophos concernant les risques de ce que vous pourriez appeler “l’auto-incrimination en matière de cybersécurité” est tombé fin novembre.

Nous avons rapporté comment des enquêteurs au Royaume-Uni ont pu retrouver plus de 4 400 projets GitHub dans lesquels les propres fichiers de cookies Firefox de l’uploader s’étaient en quelque sorte retrouvés impliqués, une recherche qui a littéralement pris quelques secondes lorsque nous l’avons reproduite.

Et ce n’est qu’un type de fichier qui pourrait contenir des secrets d’API, d’une application spécifique, sur un service de partage Cloud particulier.

Nous ne savons pas si nous devons être soulagés de constater que l’auto-incrimination ne représente que 4 % des intrusions, ou plutôt consternés que cette technique d’entrée par effraction (nous ne sommes pas sûrs qu’elle soit suffisamment sophistiquée pour être qualifiée de “piratage”) figure bel et bien sur la liste.

Qu’en est-il des ransomwares ?

Nous savons ce que vous pensez.

 “Il y a fort à parier que les intrusions concernaient uniquement des ransomwares”, pourriez-vous dire, “car c’est vraiment le seul problème en matière de cybersécurité qui nous inquiète véritablement en ce moment”.

Malheureusement, en vous concentrant sur un seul ransomware, en le plaçant seul en tête de liste pour qu’il soit traité individuellement en reléguant tout le reste au second plan, alors votre vision en matière de cybersécurité serait bien trop restrictive.

Le problème avec les ransomwares, c’est qu’il est presque toujours considéré comme la dernière phase pour les cybercriminels présents au sein de votre réseau, car l’idée même des ransomwares est d’attirer le maximum d’attention sur lui.

Comme nous l’a rapporté l’équipe Sophos Rapid Response, les attaquants utilisant des ransomwares font clairement comprendre à leurs victimes qu’ils sont présents partout dans leur vie numérique.

Les demandes de rançon actuelles des ransomware ne se contentent plus simplement d’afficher des têtes de mort enflammées sur tous les bureaux Windows en exigeant ensuite de l’argent par cette méthode.

Nous avons vu des cybercriminels imprimer des demandes de rançon sur chaque imprimante de l’entreprise (y compris des terminaux de point de vente, afin que même les clients sachent ce qui venait de se passer) et menacer des employés individuellement en utilisant des données volées hautement personnelles telles que des numéros de sécurité sociale.

Nous les avons même entendus laisser des messages vocaux glaçants et laconiques expliquant avec des détails impitoyables comment ils envisageaient de ruiner votre entreprise si vous ne vous montriez pas coopératif :

Que s’est-il réellement passé ensuite ?

Eh bien, dans le rapport de Google, tous les éléments de la liste “actions après compromission”, sauf un, impliquaient des cybercriminels qui utilisaient votre instance Cloud pour nuire à un tiers, notamment via :

  • La recherche de nouvelles victimes à partir de votre compte.
  • L’attaque d’autres serveurs à partir de votre compte.
  • L’envoi de malwares à d’autres personnes en utilisant vos serveurs.
  • Le lancement d’attaques DDoS (Distributed Denial of Service).
  • L’envoi de spam pour que vous soyez blacklisté, mais pas les escrocs.

Mais en tête de liste, apparemment dans 86% des compromissions réussies, se trouvait le cryptomining.

C’est là que les cybercriminels utilisent votre puissance de traitement, votre espace disque et votre mémoire allouée. En termes simples, ils volent votre argent, pour miner la cryptomonnaie qu’ils gardent ensuite pour eux.

N’oubliez pas que les cybercriminels n’utiliseront pas de ransomwares si votre serveur Cloud est nouvellement configuré que vous ne l’avez pas encore utilisé pleinement, car il n’y aura certainement rien sur le serveur que de potentiels escrocs pourraient utiliser pour vous faire chanter.

Les serveurs sous-utilisés sont inhabituels dans les réseaux classiques, car vous ne pouvez pas vous permettre de les laisser inactifs après les avoir achetés.

Mais le Cloud ne fonctionne pas ainsi : vous pouvez payer une somme modique pour disposer d’une capacité de serveur lorsque vous en avez besoin, sans avoir à investir massivement au départ pour pouvoir lancer le service.

Vous ne commencez à véritablement payer que si vous utilisez massivement les ressources qui vous sont allouées : un serveur inactif est un serveur bon marché ; ce n’est que lorsque votre serveur est pleinement utilisé que les coûts commencent vraiment à augmenter.

Si vous avez bien fait vos calculs financiers, vous vous attendez à être gagnant, étant donné qu’une augmentation de la charge côté serveur doit correspondre à une augmentation de l’activité côté client, de sorte que vos surcoûts sont automatiquement couverts par des revenus supplémentaires.

Mais cet équilibre financier est rompu si les cybercriminels s’acharnent sur vos serveurs, censés être inactifs, pour générer leurs propres gains financiers.

Ainsi, au lieu de payer quelques euros par jour pour disposer d’une puissance de serveur quand vous en aurez besoin, vous payez des milliers d’euros par jour pour une puissance de serveur qui vous rapportera zéro euro.

Quoi faire ?

  • Choisissez des mots de passe appropriés : visionnez notre vidéo sur la technique pour en choisir un bon et découvrez nos conseils sur les gestionnaires de mots de passe.
  • Utilisez le 2FA où et quand vous le pouvez : si vous utilisez un gestionnaire de mots de passe, configurez le 2FA pour vous aider à sécuriser votre base de données de mots de passe.
  • Patchez tôt, patchez souvent : ne vous focalisez pas uniquement sur les fameuses vulnérabilités zero-day que les cybercriminels connaissent déjà. Les correctifs pour les failles de sécurité font systématiquement l’objet d’un reverse engineering pour déterminer comment les exploiter, souvent par des experts en sécurité qui rendent ensuite ces exploits publics, soi-disant pour informer tout le monde des risques. Tout le monde, bien sûr, mais aussi le cyberunderworld.
  • Investissez dans une Sécurité du Cloud proactive : n’attendez pas que votre prochaine facture Cloud arrive (ou bien que votre banque ne vous mette en garde !) avant de découvrir que des cybercriminels font tourner le compteur et lancent des attaques à vos frais.

Adoptez l’approche suivante qui consiste à : faire preuve d’altruisme en s’occupant de la sécurité du Cloud.

Vous devez vous en occuper de toutes les façons, pour vous protéger, mais aussi protéger tous ceux qui, sinon, seraient victimes d’attaques DDoS, spammés, sondés, piratés ou infectés à partir de votre compte.

Billet inspiré de Cloud Security: Don’t wait until your next bill to find out about an attack!, sur Sophos nakedsecurity.

À propos de l’auteur

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too.

Follow him on Twitter: @duckblog

Lire des articles similaires

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *