Docker Hub : nouvel exemple des menaces sur la chaîne logistique du logiciel

Une véritable rampe de lancement pour conteneurs cachant un maliciel de minage de crypto-deniers : c’est ainsi que les chercheurs de Kromtech décrivent l'entrepôt docker123321 qui est resté ouvert un an, jusqu’à sa fermeture le 10 mai dernier. Durant cette période, il a ainsi abrité plusieurs séries d’images Docker malicieuses, malgré les alertes de Fortinet et Sysdig – un spécialiste de la sécurité et de la supervision des conteneurs –, notamment. Les cyber-délinquants à l’origine de ces images auraient réussi à générer ainsi près de 545 Monero.

Des solutions de sécurité pour les conteneurs existent. Mais que ce soit celui tout juste annoncé par Qualys, ou le service Security Scanning de Docker, ils visent plus la recherche de vulnérabilités connues que celle de code malveillant, du moins avant exécution. Certes, des outils de surveillance de l’environnement sont susceptibles d’apporter la visibilité nécessaire à la détection du code de minage de crypto-deniers, mais encore faut-il assurer cette supervision.

En fait, la question soulevée par les équipes de Kromtech renvoie plus qu’autre chose à celle de la sécurité de la chaîne logistique du logicielle, comme lorsque des développeurs réutilisent du code partagé sur GitHub, par exemple.

Gartner recommande d’ailleurs d’analyser les conteneurs au cours de leur développement pour « détecter les problèmes de configuration et de vulnérabilité », avant le transfert dans l’environnement de production, ainsi que de contrôler les processus s’exécutant dans les conteneurs par des listes blanches.

Les observations des équipes de Kromtech laissent à penser que ce type de mesure n’a rien de superflu. Et cela d’autant plus que les attaques touchant à la chaîne logistique du logiciel n’ont cessé, récemment, de se multiplier.