L’authentification multifacteurs clé de la sécurité dans le Cloud

Mi-juin, Code Spaces a été la cible d’une attaque en déni de service distribué. Une de plus selon une déclaration officielle de l’hébergeur de code source. Mais un attaquant a parallèlement eu accès aux éléments d’authentification d’un employé du service auprès de l’interface d’administration d’Amazon EC2 de Code Spaces. Il y aurait publié un message, demandant une rançon en échange de l’arrêt de l’attaque.

Après avoir vérifié que l’attaquant ne pouvait pas accéder à ses machines virtuelles, Code Spaces a tenté de reprendre le contrôle de son interface d’administration en changeant les identifiants de ses utilisateurs. Mais l’attaquant s’en est aperçu et a méticuleusement commencé à effacer les snapshots EBS, les espaces S3, et les images des machines virtuelles. Face un tel sabotage, Code Spaces s’est déclaré contraint de cesser ses activités.

Pour Jeff Schilling, RSSI de l’hébergeur FireHost, l’acteur malveillant qui a visé Code Spaces a probablement réussi à s’infiltrer dans le réseau de l’éditeur de service via une campagne classique d’hameçonnage et, de là, à glaner les éléments d’authentification nécessaires à l’accès à l’interface d’administration d’Amazon Web Services. Plus préoccupant encore, Schilling estime que Code Spaces n’a probablement pas été ciblé volontairement, et n’est finalement qu’un victime d’opportunité : « Code Spaces a probablement eu un sentiment de sécurité erroné, pensant que, parmi des milliers de clients d’AWS, personne ne les trouverait. Mais l’attaquant pêchait à la dynamite. Ce que nous apprend Code Spaces, c’est que tout le monde est une cible. »

Pourquoi l’authentification multifacteurs n’était pas implémentée

Rachel Dines, responsable marketing produit senior de Riverbed, retire plusieurs leçons de l’attaque dont Code Spaces a été victime, des leçons que de nombreuses entreprises doivent encore apprendre. Et en particulier qu’aucun n’utilisateur ne devrait concentrer, entre ses mains, trop de pouvoir sur l’environnement Cloud utilisé, qu’un plan de continuité de l’activité devrait être en place avant toute attaque, et que s’appuyer sur un seul fournisseur de service Cloud est une mauvaise idée.

Mais, surtout, pour de nombreux observateurs, la fermeture de Code Spaces ne serait pas survenue s’il avait implémenté l’authentification multifacteurs pour l’accès à son interface d’administration AWS - une erreur décrite comme bien trop commune dans le provisionnement des accès à des services Cloud.

Et Schilling d’expliquer que son entreprise encourage fortement ses clients à recourir à l’authentification multifacteurs. Mais tous ne l’acceptent pas, arguant d’une complexité supplémentaire. Et selon lui, l’industrie toute entière, à commencer par les fournisseurs de services Cloud, ne pousse pas assez à son adoption, préférant avant tout vendre les services : « j’appelle toujours cela la concurrence Wal-Mart-Target… la question est de voir qui peut proposer le prix le plus bas tout en maintenant un bon niveau de service. C’est la sécurité qui y perd », estime Schilling. Et de relever que de nombreuses petites organisations, telles que Code Spaces, ont tendance à ne pas même disposer d’un professionnel dédié à la sécurité. Ce qui signifie qu’elles mesurent pas complètement l’importance de l’authentification multifacteurs, voire ne demandent pas à leurs fournisseurs s’ils la proposent.

Plus simple qu’il n’y paraît

Si l’authentification multifacteurs peut être difficile à déployer au niveau de l’infrastructure, cela reste, selon Schilling, relativement simple pour les clients des principaux fournisseurs de services Cloud. Comme contrôle de sécurité, elle offre une barrière qui décourage la plupart des attaquants : « c’est plutôt facile à implémenter pour le client, mais [les fournisseurs de services Cloud] n’ont personne le lui expliquer ». Critique, il souligne que « la sécurité est une option à activer par les clients chez la plupart des hébergeurs. Au final, la décision revient au client. Mais je pense qu’il faudrait quelqu’un, chez l’hébergeur, pour vendre la valeur ajoutée de la sécurité ».

Mark Stanislav, évangéliste sécurité chez Ann Arbor, un spécialiste de l’authentification multifacteurs, abonde dans le même sens. Et de souligner, en référence à l’incident Code Spaces, qu’AWS propose peut-être le meilleur ensemble d’options en la matière. Parmi ses concurrents, Microsoft a acquis un spécialiste du domaine, PhoneFactor, en 2012, et en fait désormais profiter ses clients Azure. Rackspace s’appuie quant à lui sur la solution Symantec VIP. Mais AWS propose à ses clients d’utiliser gratuitement le standard TOTP avec leurs smartphones et leurs tablettes.  

Mais pourquoi l’authentification multifacteurs n’est-elle pas plus répandue ? Pour Stanislav, de nombreux vétérans de l’IT connaissent surtout cette technologie à travers SecurID, de RSA, un système dont le déploiement peut être coûteux et complexe, notamment du fait de la distribution des clés physiques. Et puis, selon lui également, les fournisseurs de services Cloud ne font pas assez pour sensibiliser leurs clients quant à la nécessité de déployer l’authentification multifacteurs. Certes, celle-ci est de plus en plus répandue dans le domaine des services financiers, pour les applications concernant le grand public. Dans le monde B2B, d’importants efforts sont encore nécessaires.

« A moins que vous ne soyez très concerné par la sécurité, vous ne savez probablement pas que vous pouvez activer l’authentifcation à deux facteurs », relève Stanislav. « Et est-ce que cela serait vraiment compliqué pour AWS d’afficher un bandeau, lors de la première ouverture de session, le suggérant ? Je pense, au contraire, que cela serait simple à faire et que cela ferait progresser rapidement le taux d’adoption. »

Adapté de l’anglais par la rédaction.