Ces services Cloud qui accélèrent la propagation des malwares

Netskope a profité du sommet de la Cloud Security Alliance, en amont de RSA Conference, pour alerter sur la manière dont les services de synchronisation de fichiers peuvent contribuer à la propagation de logiciels malveillants au sein d’une entreprise.

Si les applications Cloud sont rarement victimes de brèches ou directement infectées par des logiciels malveillants, elles peuvent aider considérablement les pirates à diffuser leurs malwares auprès des utilisateurs en entreprise.

Krishna Narayanaswamy, directeur scientifique de Netskope, broker d’accès sécurisé aux services Cloud (CASB), s’est penché sur cette menace à l’occasion d’une intervention lors du sommet de la Cloud Security Alliance (CSA) en amont de l’édition 2016 de RSA Conference. Et de décrire un effet de dispersion suivant lequel le terminal d’un utilisateur se trouve infecté par un code malicieux qui profite des services de synchronisation et de partage de fichiers pour se propager sur le réseau.

Netskope s’est penché sur des centaines d’applications Cloud approuvées par les DSI de plus de 500 de ses clients – leurs employés utilisent en moyenne 917 applications et services Cloud ! – pour mesurer « la prévalence de logiciels malveillants dans les applications Cloud ». Son étude n’a permis d’identifier que 4,1 % d’entreprises où des logiciels malveillants s’avèrent présents sur les applications Cloud approuvées.

Mais pour Netskope, ceci ne représente qu’une petite part de la réalité : selon lui, les applications Cloud non validées représentent 95 % des applications Cloud utilisées en entreprise ; le périmètre de logiciels malveillants résidant sur des applications Cloud pourrait être bien plus étendu qu’il n’y paraît.

Une propagation accélérée

« C’est assez significatif, parce que l’un des canaux auxquels on ne pense pas, le Cloud, peut avoir des effets sérieux sur la diffusion de logiciels malveillants », commente ainsi Krishna Narayanaswamy. Il suffit d’imaginer un code malveillant enregistré dans un dossier Box ou Dropbox partagé : « devinez quoi… ces dossiers sont configurés pour être synchronisés directement avec le Cloud. C’est que nous appelons l’effet de dispersion ».

Et Krishna Narayanaswamy d’évoquer le cas concret d’un client de Netskope victime de cet effet. Un recruteur s’est trouvé victime d’un rançongiciel caché dans un CV reçu par courriel. Mais le fichier a été déplacé dans un dossier automatiquement synchronisé avec une application Cloud qui s’est chargée de le distribuer à d’autres utilisateurs au sein de l’organisation. A chaque fois que le fichier a été ouvert, le ransomware s’est mis à chiffrer le contenu du poste de travail de sa victime.

« Dans ce cas, le mouvement latéral du logiciel malveillant se trouve automatisé [par la synchronisation Cloud. Sa diffusion peut s’étendre en l’espace de secondes », alerte Krishna Narayanaswamy.

Prévenir l’effet de dispersion

Si de nombreuses entreprises sont préoccupées par ce qui peut sortir de leur SI via des applications Cloud, Krishna Narayanaswamy estime donc qu’elles doivent aussi se méfier de ce qui y entre par ce biais.

Mais le sujet n’est pas totalement nouveau. Dès 2013, Jacob Williams tirait la sonnette d’alarme à l’occasion de l’édition européenne de la conférence Black Hat.

Dans son centre d’aide, Dropbox ne se cache pas de ce risque. L’éditeur explique « synchroniser tous les fichiers ajoutés. Ainsi, si quelqu’un synchronise un logiciel malveillant, il le sera synchronisé avec tous les ordinateurs associés au compte. Les comptes et ordinateurs d’autres utilisateurs peuvent également être affectés si le virus ou logiciel malveillant est dans un dossier partagé ». Les mécanismes de versioning intégrés peuvent toutefois aider à récupérer des fichiers chiffrés par un ransomware.

La recommandation la plus triviale consiste donc à s’assurer de disposer d’une solution robuste de protection du poste de travail. Mais d’autres alternatives existent, à commencer par les offres de CASB comme celle – sans surprise – de Netskope, ou encore de Ciphercloud, d’Elastica et de CloudLock. Certains spécialistes de la protection contre les logiciels malveillants s’intéressent également au sujet de façon à commencer par Trend Micro. Son offre Cloud App Security ne se contente pas de proposer une solution de prévention des fuites de données (DLP) appliquée aux services Cloud : elle supporte aussi l’analyse de code malveillant en bac à sable et la détection d’exploits cachés dans des documents – pour OneDrive, Box, Dropbox et Google Drive désormais, en plus d’Office 365.

Selon Netskope, OneDrive for Business est la troisième application cloud la plus utilisée en entreprise. Google Drive arrive en 6e position, devant Dropbox (9e) et Box (13e).

Avec nos confrères de SearchCloudSecurity.

Pour approfondir sur Cloud

Close