L’insécurité du Cloud, c’est aussi à cause de ses utilisateurs

Selon Trend Micro, 43 % des décideurs IT ont déjà rencontré un problème de sécurité avec un fournisseur de services Cloud au cours des 12 derniers mois. Pour obtenir ce chiffre, l’éditeur a interrogé 1200 décideurs IT à travers le monde - dont au Royaume-Uni et en Allemagne, mais aucun en France. Et parmi les sondés, 10 % exploitent déjà des services Cloud en production; 50 % sont en phase pilote ou de déploiement. Selon l’enquête présentée par Trend Micro, le principal frein à l’adoption du Cloud computing est la sécurité des infrastructures des fournisseurs et des données (pour 50 % des sondés). Mais qui est vraiment responsable de l’insécurité du Cloud Computing ? Selon Trend Micro, 85 % des sondés utilisant des services Cloud chiffrent leurs données avant de les confier à leur fournisseur. Ce qui tendrait à les dédouaner. Les scientifiques du Center for Advanced Security (CASED) du département recherche de l’université technique de Darmstadt, ne semblent pas exactement partager ce point de vue. Selon eux, les utilisateurs de services Cloud sont à mettre en cause.

De nombreuses machines virtuelles vulnérables dans le nuage d’Amazon

Ces scientifiques ont développé un outil librement téléchargeable permettant d’analyser des images de machines virtuelles pour le nuage d’Amazon (AMI, Amazon Machine Image) et d’y chercher des vulnérabilités. Résultat : sur plus d’un millier d’images publiquement accessibles, 30 % présentent des vulnérabilités susceptibles d’être exploitées pour compromettre des services Web ou des infrastructures virtuelles.

Pour les scientifiques du Cased, «si les experts en sécurité se sont principalement concentrés sur la sécurité des infrastructures et des fournisseurs Cloud, il semble en pratique que les menaces créées par les clients de services Cloud lors de la construction de leurs services soient encore sous-estimées sinon ignorées». De fait, pour ces chercheurs, la principale source des vulnérabilités identifiées sur 30 % des images AMI publiquement accessibles, réside dans la manière dont les clients d’Amazon manipulent et déploient les AMI, «avec peu d’attention ou de manière propre à faire des erreurs ». Plus précisément, les chercheurs mettent en cause le non respect des recommandations de sécurité d’Amazon - pourtant détaillées.

Dans un communiqué, ils indiquent être parvenus à «extraire des données critiques telles que des mots de passe, des clés de chiffrement et des certificats» des machines virtuelles étudiées. Pour le professeur Admad-Reza Sadeghi, qui a dirigé le groupe de recherche du Cased, c’est clair : «le problème vient du manque de prise de conscience des clients et pas d’Amazon Web Services.» Les clients affectés ont été informés des vulnérabilités identifiées.