Cloud Computing : des chercheurs de Bochum ont découvert des failles de sécurité critiques
Le “Cloud computing” reste une source de controverses. Si certains ont salué l’énorme potentiel des serveurs externalisés en nuage virtuel, dans lesquels les logiciels et les données des entreprises ne sont plus locales mais traitées dans des infrastructures partagées, les autres mettent en garde contre ses risques. En effet, si Amazon et Google confiaient leurs serveurs de données clients à un prestataire privé, personne ne sait exactement ce que ces fournisseurs seraient en mesure d’entreprendre avec les informations récoltées. De plus, ces fournisseurs de “cloud” privé pourraient même présenter des lacunes flagrantes de sécurité.
Les scientifiques de l’Institut de sécurité des réseaux et des données de l’Université de la Ruhr à Bochum (Rhénanie-du-Nord-Westphalie) l’ont prouvé la semaine dernière : sur la plate-forme cloud “Eucalyptus”, les chercheurs ont pu contourner le système de sécurité et ainsi accéder à toutes les données et fonctionnalités dans le nuage, qui a été immédiatement fermé.
Plus de 25.000 “nuages” de données privées ont déjà été créés à travers le monde via la plateforme “Eucalyptus” ces trois dernières années, et selon une enquête, environ 40% des 100 plus grandes sociétés cotées dans le magazine américain “Fortune” utiliseraient cette plate-forme logicielle pour leurs activités. Cependant, lors d’un simple contrôle de sécurité, les chercheurs de Bochum Juraj Somorovsky, Jörg Schwenk, et un étudiant en sécurité IT ont découvert une lacune importante qui leur a servi de passerelle afin d’entrer dans la zone de données hébergées par le nuage. Un message XML valide a suffi. “Nous avons réussi à éviter l’interface de contrôle du nuage simplement avec un message XML caché dans la signature”, explique Jörg Schwenk. La technique utilisée est ainsi une signature XML cachée dans le message, et donnant à l’attaquant l’apparence d’un client du serveur officiellement enregistré. En envoyant des commandes sous une identité reconnue comme correcte, les scientifiques étaient capables d’accomplir toute fonction x dans le nuage. Le message caché pouvait même être utilisé indéfiniment pour se connecter.
“Par conséquent, il est impératif de reconnaître les vulnérabilités du cloud computing dès maintenant, afin d’éviter les attaques réelles”, a déclaré M. Schwenk. La lacune sécuritaire découverte à ce jour est l’une des nombreux cas potentiellement présents dans l’offre de Cloud et à laquelle les chercheurs de Bochum ont travaillé ces derniers temps.
Le ministère fédéral de l’économie et de la technologie (BMWI) subventionne ainsi le projet “Trusted Cloud” (“nuage de confiance”) dans lequel l’Université de la Ruhr contribuera également à améliorer la sécurité de l’interface des serveurs partagés.
Pour en savoir plus, contacts :
Département de sécurité des réseaux et des données de l’Université de la Ruhr : http://www.nds.ruhr-uni-bochum.de/
Source :
“Unsicheres Cloud Computing”, communiqué de presse de l’Université de la Ruhr, dépêche Diagramm – 05/06/2011 – http://www.diagramm.net/index.php?i=NuN&id=8305&d=a&nlu=6454
Rédacteur :
Charles Collet, charles.collet@diplomatie.gouv.fr – https://www.science-allemagne.fr