Ces services Cloud qui accélèrent la propagation des malwares

Une propagation accélérée

« C’est assez significatif, parce que l’un des canaux auxquels on ne pense pas, le Cloud, peut avoir des effets sérieux sur la diffusion de logiciels malveillants », commente ainsi Krishna Narayanaswamy. Il suffit d’imaginer un code malveillant enregistré dans un dossier Box ou Dropbox partagé : « devinez quoi… ces dossiers sont configurés pour être synchronisés directement avec le Cloud. C’est que nous appelons l’effet de dispersion ».

Et Krishna Narayanaswamy d’évoquer le cas concret d’un client de Netskope victime de cet effet. Un recruteur s’est trouvé victime d’un rançongiciel caché dans un CV reçu par courriel. Mais le fichier a été déplacé dans un dossier automatiquement synchronisé avec une application Cloud qui s’est chargée de le distribuer à d’autres utilisateurs au sein de l’organisation. A chaque fois que le fichier a été ouvert, le ransomware s’est mis à chiffrer le contenu du poste de travail de sa victime.

« Dans ce cas, le mouvement latéral du logiciel malveillant se trouve automatisé [par la synchronisation Cloud. Sa diffusion peut s’étendre en l’espace de secondes », alerte Krishna Narayanaswamy.

Prévenir l’effet de dispersion

Si de nombreuses entreprises sont préoccupées par ce qui peut sortir de leur SI via des applications Cloud, Krishna Narayanaswamy estime donc qu’elles doivent aussi se méfier de ce qui y entre par ce biais.

Mais le sujet n’est pas totalement nouveau. Dès 2013, Jacob Williams tirait la sonnette d’alarme à l’occasion de l’édition européenne de la conférence Black Hat.

Dans son centre d’aide, Dropbox ne se cache pas de ce risque. L’éditeur explique « synchroniser tous les fichiers ajoutés. Ainsi, si quelqu’un synchronise un logiciel malveillant, il le sera synchronisé avec tous les ordinateurs associés au compte. Les comptes et ordinateurs d’autres utilisateurs peuvent également être affectés si le virus ou logiciel malveillant est dans un dossier partagé ». Les mécanismes de versioning intégrés peuvent toutefois aider à récupérer des fichiers chiffrés par un ransomware.

La recommandation la plus triviale consiste donc à s’assurer de disposer d’une solution robuste de protection du poste de travail. Mais d’autres alternatives existent, à commencer par les offres de CASB comme celle – sans surprise – de Netskope, ou encore de Ciphercloud, d’Elastica et de CloudLock. Certains spécialistes de la protection contre les logiciels malveillants s’intéressent également au sujet de façon à commencer par Trend Micro. Son offre Cloud App Security ne se contente pas de proposer une solution de prévention des fuites de données (DLP) appliquée aux services Cloud : elle supporte aussi l’analyse de code malveillant en bac à sable et la détection d’exploits cachés dans des documents – pour OneDrive, Box, Dropbox et Google Drive désormais, en plus d’Office 365.

Selon Netskope, OneDrive for Business est la troisième application cloud la plus utilisée en entreprise. Google Drive arrive en 6^e position, devant Dropbox (9^e) et Box (13^e).

Avec nos confrères de SearchCloudSecurity.