La Cloud Security Alliance, organisme à but non lucratif, vient de publier un rapport qui décrit les principales menaces de sécurité pesant sur le cloud computing.
On appelle « le cloud computing » un type de système distribué dans lequel toutes les ressources informatiques sont fournies sous la forme de services Internet. Alors que cette technologie attire de plus en plus de monde, les délinquants s'en servent pour mieux atteindre leurs buts : nuire au plus grand nombre d'utilisateurs possible et éviter d'être repérés. Particuliers et professionnels doivent donc mieux comprendre les risques liés à l'adoption du cloud computing.

Les auteurs du rapport ont identifié les sept menaces suivantes :

1. Utilisation abusive et malveillante du cloud computing
Les fournisseurs d'IaaS (Infrastructure as a Service) font croire à leurs clients qu'ils disposeront d'une capacité de calcul, de réseau et de stockage illimitée et que le processus d'inscription simplifié permettra à toute personne munie d'une carte de crédit valide de s'inscrire et d'utiliser aussitôt les services du cloud computing. Certains fournisseurs proposent même des périodes d'essai limité gratuites. Forts de l'anonymat relatif qu'offrent ces modèles d'inscription et d'utilisation, les auteurs de spams, de code malveillant et autres délinquants peuvent agir en bénéficiant d'une certaine impunité.

2. Sécurisation insuffisante des interfaces de programmation des applications
Les fournisseurs de services du cloud proposent un ensemble d'API dont les clients se servent pour gérer et interagir avec les services en cloud. L'approvisionnement, la gestion, l'orchestration et le contrôle sont tous réalisés par le biais de ces interfaces. La sécurité et la disponibilité des services du cloud classiques dépendent de la sécurité de ces API de base.

3. Présence d'« espions »
Cette menace est plus sérieuse pour les consommateurs de services en cloud, à cause de la convergence des services informatiques et des clients dans un même domaine de gestion, et du manque général de transparence côté fournisseur.

4. Partage des vulnérabilités technologiques
Les fournisseurs de services du cloud partagent leur infrastructure pour proposer des fonctions « adaptables ». Or, les composants sous-jacents de l'infrastructure sont rarement conçus pour assurer un bon isolement dans une architecture mutualisée. Pour pallier ce défaut, un hyperviseur de virtualisation gère l'accès entre les systèmes d'exploitation et les ressources informatiques physiques. Toutefois, même les hyperviseurs présentent des défauts permettant aux systèmes d'exploitation d'obtenir un niveau de contrôle inadéquat sur la plateforme sous-jacente.

5. Perte de données/fuites
Le risque de perte de données augmente dans le cloud. ? titre d'exemple, on peut citer l'insuffisance de l'authentification, des contrôles d'autorisation ou d'audit, les problèmes d'exploitation et le manque de fiabilité du centre de données.

6. Piratage de compte, de service et de trafic
Les solutions cloud constituent un nouveau risque. Si un pirate parvient à accéder à vos informations d'authentification dans le cloud, il pourra manipuler vos données, espionner vos activités et vos transactions, renvoyer de fausses informations et renvoyer vos clients vers des sites illégitimes. Il pourra même se servir de vos instances de compte ou de service comme d'un nouveau tremplin et tirer parti de votre réputation pour lancer de nouvelles attaques.

7. Profil de risque inconnu
Le cloud computing vise, entre autres, à limiter la quantité de matériel et de logiciels à acheter et à entretenir pour donner aux entreprises la possibilité de se concentrer sur leur c?ur de métier. Si elle présente d'indéniables avantages financiers et opérationnels, ces derniers sont néanmoins à reconsidérer à la lumière des problèmes de sécurité, d'autant que les groupes les plus actifs, quant au développement du cloud computing, sont souvent susceptibles de négliger les questions de sécurité.

Source :