Logo ETI Quitter la lecture facile

Décryptage

Cloud Computing : des chercheurs de Bochum ont découvert des failles de sécurité critiques

Posté le par La rédaction dans Informatique et Numérique

Des chercheurs ont pu contourner le système de sécurité de la plate-forme cloud "Eucalyptus", et ainsi accéder à toutes les données et fonctionnalités dans le nuage, qui a été immédiatement fermé.

Le « Cloud computing » reste une source de controverses. Si certains ont salué l’énorme potentiel des serveurs externalisés en nuage virtuel, dans lesquels les logiciels et les données des entreprises ne sont plus locales mais traitées dans des infrastructures partagées, les autres mettent en garde contre ses risques. En effet, si Amazon et Google confiaient leurs serveurs de données clients à un prestataire privé, personne ne sait exactement ce que ces fournisseurs seraient en mesure d’entreprendre avec les informations récoltées. De plus, ces fournisseurs de « cloud » privé pourraient même présenter des lacunes flagrantes de sécurité.

Les scientifiques de l’Institut de sécurité des réseaux et des données de l’Université de la Ruhr à Bochum (Rhénanie-du-Nord-Westphalie) l’ont prouvé la semaine dernière : sur la plate-forme cloud « Eucalyptus », les chercheurs ont pu contourner le système de sécurité et ainsi accéder à toutes les données et fonctionnalités dans le nuage, qui a été immédiatement fermé.

Plus de 25 000 « nuages » de données privées ont déjà été créés à travers le monde via la plateforme « Eucalyptus » ces trois dernières années, et selon une enquête, environ 40 % des 100 plus grandes sociétés cotées dans le magazine américain « Fortune » utiliseraient cette plate-forme logicielle pour leurs activités. Cependant, lors d’un simple contrôle de sécurité, les chercheurs de Bochum Juraj Somorovsky, Jörg Schwenk, et un étudiant en sécurité IT ont découvert une lacune importante qui leur a servi de passerelle afin d’entrer dans la zone de données hébergées par le nuage. Un message XML valide a suffi. « Nous avons réussi à éviter l’interface de contrôle du nuage simplement avec un message XML caché dans la signature », explique Jörg Schwenk. La technique utilisée est ainsi une signature XML cachée dans le message, et donnant à l’attaquant l’apparence d’un client du serveur officiellement enregistré. En envoyant des commandes sous une identité reconnue comme correcte, les scientifiques étaient capables d’accomplir toute fonction x dans le nuage. Le message caché pouvait même être utilisé indéfiniment pour se connecter.

« Par conséquent, il est impératif de reconnaître les vulnérabilités du cloud computing dès maintenant, afin d’éviter les attaques réelles », a déclaré M. Schwenk. La lacune sécuritaire découverte à ce jour est l’une des nombreux cas potentiellement présents dans l’offre de Cloud et à laquelle les chercheurs de Bochum ont travaillé ces derniers temps.

Le ministère fédéral de l’économie et de la technologie (BMWI) subventionne ainsi le projet « Trusted Cloud » (« nuage de confiance ») dans lequel l’Université de la Ruhr contribuera également à améliorer la sécurité de l’interface des serveurs partagés.

 

http://www.bulletins-electroniques.com/actualites/66982.htm

 

À lire aussi :

Le Cloud Computing au service du plus grand télescope du monde

Qu’est-ce que le Cloud Computing va changer pour vous ?

La sécurisation du Cloud computing est possible et mesurable

Posté le par La rédaction


Réagissez à cet article

Commentaire sans connexion

Pour déposer un commentaire en mode invité (sans créer de compte ou sans vous connecter), c’est ici.

Captcha

Connectez-vous

Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.

INSCRIVEZ-VOUS
AUX NEWSLETTERS GRATUITES !