Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le Cloud sous les feux du bug bounty

juillet 2015 par Marc Jacob

Lors des débats organisés par Cloud Confidence dans le cadre de la Cloud Week, Nicolas Grégoire d’Agarri a fait plusieurs démonstrations montrant les vulnérabilités du Cloud. Pour lui, les remèdes à ces vulnérabilités passent par le bug bounty, les tests de vulnérabilités, mais aussi les réactions rapides suite à la détection de failles.

Nicolas Grégoire d’Agarri a rappelé la définition du JO qui explique qu’avec la Cloud on ne sait pas où sont nos données. Pour la fondation européenne du logiciel libre on ne sait pas ce que c’est que la Cloud si ce n’est une informatique déportée. Il a rappelé les règles du « Bug bounty » qui permet de rechercher les Bugs dans les logiciels de façon légale. Les acteurs globaux en ce domaine sont Microsoft, Firefox, Google mais aussi eBay Western Union, Paypal… il existe aussi quelques acteurs européens comme Deutschepost, Deutsche Telecom, DenyAll, Qwant.... Le White market est un marché qui pour Google pèse environ 1,5millions de $ et a permis de mettre en avant 500 failles et 200 chercheurs et 700 failles et 300 chercheurs pour Facebook.

Dans le cloud des fonctionnalités sont nombreuses avec par exemple des Upload par URL, des partages de. Lien, de. La traduction de page Web... Le Cloud permet des auto-configurations de VM avec des adresses de serveur fixe. Tous les grands acteurs utilisent ce type d’auto configuration. Cela offre deux risques critiques le premier est de pouvoir accéder aussi métadonnées c’est a dire un accès aux codes sources...

Le deuxième problème s‘il n’y a pas d’auto-configuration on peut tout de même avoir un accès à l’interface locale, et au réseau interne grâce l’accès au réseau interne.

Il a cité deux exemples d’attaques le premier concerne une attaque sur Prezi l’impact de cette attaque permet un accès aux clés Privées utilisées et un accès à la configuration et une injection des VM de l’attaquant.

L’attaque sur Coinbase vise l’utilisation de la fonction de débuggage. Les impacts de cette attaque permet un accès au code sources et aux applications, mais aussi un accès aux identifiants Cloud AWS/Heroku et enfin de prendre un contrôle totale sur leur déploiement.

Il a aussi décrit une attaque sur Facebook avec une attaque sur l’offre d’hébergement de l’éditeur. Il avait une mauvaise configuration des règles de filtrage ce qui a des impacts entre autre sur l’administration des services locaux. Le même problème a été identifié sur Yahoo avec en plus un accès complet sur les fermes de Proxies sortant et des serveurs de surveillance. Il est devenu ainsi l’administrateur des serveurs.

En conclusion il affirmer que les risques sur le Cloud sont importants et à la portée de débutant.

Pour lui, pour remédier à ces problèmes il faut faire des tests unitaires à chacun des composants auxquels s’ajoute la nécessité d’avoir une approche globale. Il faut avoir une vision offensive avec donc l’obligation de faire des tests d’intrusion, d’où l’intérêt des Black Bounty. Il faut générer la confiance avec une approche de transparence totale. Il faut accepter voir encourager les signalements de failles par des tiers. Il est nécessaire d’avoir une capacité de réaction rapide et bien sûr, Il faut une remise en question permanente.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants