Soupçons confirmés : le Cloud public recèle de nouvelles vulnérabilités

Héberger ses applications dans un nuage public, est-ce bien raisonnable ? Les travaux conjoints de chercheurs de l’Université de Californie à San Diego et du MIT laissent planer le doute. Tout du moins mettent-ils en évidence des vecteurs d’attaque sérieux dans le service EC2 d’Amazon, lequel a servi de terrain de jeu à leurs expériences.

Les entreprises frileuses à l’idée de confier leurs données et leurs applications à un tiers, dans un nuage façon Amazon EC2 ou Microsoft Azure, sortiront probablement confortées à la lecture des résultats de travaux menés par des chercheurs américains. Bien sûr, il y a toutes ces questions déjà bien connues : qui dispose des accès administrateur ? Quel recours en cas de faille de sécurité ? Les données peuvent-elles être altérées ? Peuvent-elles être tracées dans le nuage ? Le nuage peut-il être audité ?

Mais Thomas Ristenpart, Hovav Shacham et Stefan Savage, du département informatique de l’université de Californie à San Diego, ainsi que Eran Tromer, du MIT (Massachusetts Institute of Technology), se sont penchés sur d’autres questions : est-il possible de cartographier le nuage ? D'y implanter volontairement et de manière parfaitement ciblée une machine virtuelle sur le même serveur physique qu’une autre, celle dans laquelle on cherche à s’introduire ? Et si oui, une attaque peut-elle être effectivement conduite ? A ces questions, les quatre chercheurs répondent... par l’affirmative, après avoir conduit des tests sur le nuage d’Amazon, EC2.

EC2, Azure, Rackspace… : tous concernés

Une telle attaque se conduit donc en plusieurs étapes, la première consistant à réussir à positionner une machine virtuelle offensive sur le même serveur physique que la machine virtuelle visée. Dans leur rapport, les quatre chercheurs expliquent avoir découvert que « seulement quelques dollars investis dans le lancement de machines virtuelles permettent d’atteindre 40 % de chances de placer une machine virtuelle malicieuse sur le même serveur physique » que celui où s’exécute la machine virtuelle visée, dans le nuage EC2. Et de « démontrer l’existence de vérifications simples et peu consommatrices de ressources pour déterminer quand un positionnement aussi avantageux est obtenu. »

Plus inquiétant, selon les chercheurs, il ne faudrait pas voir là une spécificité d’EC2 : « nous pensons que des variantes de nos techniques peuvent être généralisées à d’autres services tels que Azure de Microsoft ou Rackspace de Mosso, dans la mesure où nous n’exploitons que des fonctionnalités accessibles aux clients [de ces services] en standard et que nous n’avons pas besoin que le prestataire de services fournisse des détails spécifiques à son infrastructure ou à ses stratégies d’affectation [des machines virtuelles]. » Pour autant, les chercheurs relèvent que « plusieurs fonctions de EC2 ont rendu sa cartographie significativement plus facile à établir. » Voilà pour la première partie de l’opération commando.

Cible suivante : le hardware

L’étape suivante consiste à attaquer la machine virtuelle visée. Les options sont nombreuses. La possibilité de faire passer un maliciel d’une machine virtuelle à l’autre via un hyperviseur a déjà fait l’objet de démonstrations. Comme le rappelaient en début d’année Julien Raeis et Nicolas Collignon, de Hervé Schauer Consultants, lors d’une présentation au Clusif, deux failles d’ESX Server (VMware) découvertes en 2008 permettent une sortie de l’isolation entre machines virtuelles. Et Xen n'est pas immunisé, loin s'en faut : l'hyperviseur Open Source recélant trois failles de ce type. Pour leurs expériences, les quatre chercheurs américains se concentrent sur « les fuites de données des machines virtuelles liées au partage de ressources physiques (i.e., les caches de données des processeurs). Dans les environnements multi-processus, il a été montré que de telles attaques peuvent permettre d’extraire des clés de cryptage RSA et AES. »

Sans aller jusqu’au bout de l’attaque, les chercheurs estiment que les résultats de leurs tests « indiquent qu’il existe des dangers tangibles lorsque l’on déploie des applications sensibles dans les nuages de tiers. »

Un appel à la vigilance

Plus qu’une démonstration clé en main pour pirates convertis au nuage, l’exercice auquel se sont livrés les quatre chercheurs américains vise à alerter les fournisseurs de services de Cloud Computing. Tout au long de leur rapport, les universitaires égrainent d’ailleurs non pas les recommandations, mais des suggestions de correctifs, indiquant par exemple comment Amazon, avec EC2, pourrait limiter les capacités de cartographie ou encore réduire la pertinence des résultats fournis par les tests mis en œuvre pour vérifier la co-résidence des machines virtuelles sur une même machine, un point clé du processus d’attaque.

De leur côté, les clients des services de Cloud Computing peuvent aussi se protéger, « en insistant pour n’utiliser que des machines physiques peuplées exclusivement de leurs machines virtuelles. » Mais au risque de voir s’envoler une partie de l’avantage économique lié au partage des ressources et à la maximisation de l'exploitation des machines…

Pour aller plus loin

Télécharger le rapport d’étude

Cloud Computing : l’inquiétude grandit autour de la sécurité

La Cloud Security Alliance milite pour un nuage sécurisé

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)

Close