10 usages néfastes du cloud et comment les limiter

Il suffit qu'une plateforme de Cloud soit insuffisamment sécurisée ou trop peu surveillée et il y a de très fortes chances que ça parte en vrille. Elle sera rapidement envahie de personnes dont les motivations sont loin d'être louables voire quasiment illégales.
 

rien de nouveau à l'ouest du Cloud

Toute société ayant eu des activités d'hébergeur (serveurs dédiés, plateformes mutualisées) sait de quoi je parle.

Avec le Cloud c'est la même chose mais en puissance 2 :

  • Nombre de client plus important
  • Activation des services automatisée
  • Possibilité de souscrire pour une durée très courte (1 mois) et complètement en ligne
  • Bande passante très généreuse
  • etc ...
     

comment en arriver là ?

Comment un Cloud peut-il devenir un nid de vipères utilisé par une bande de mécréants de tout poil ?

Voici quelques-unes des grandes raisons expliquant pourquoi tout peut partir en vrille :

  • Des clauses contractuelles peu claires, absence de rappel de la netiquette
  • Des fonctions de "Try & Buy" trop permissives ou mises en place trop hâtivement
  • Absence d'une cellule opérationnelle pour "faire la police" et faire régner un "ordre relatif"
  • On ne pense qu'à la phase "répressive" et insuffisamment aux mesures préventives

 

10 usages néfastes du Cloud

Qu'est ce qui peut partir en vrille sur un Cloud de type IaaS ?

A titre d'illustration voici 10 usages néfastes d'un Cloud :

  1. Lancer des attaques en DDoS ("Je te tape dans les dents")
  2. Une seedbox pour télécharger à grande vitesse via Bittorrent ou Usenet ("qui court le plus vite")
  3. Envoyer du Spam à haut débit (un classique !)
  4. Mettre en place des sites de phishing de banques (un classique pour les sites web mutualisés LAMP)
  5. Héberger des serveurs Proxy HTTP anonymes (typiquement suite à une intrusion)
  6. Héberger des centres de contrôle (C&C) de botnet (en fast-flux s'il vous plait !)
  7. S’en servir comme point de rebond pour attaquer des sites gouvernementaux ou des portails web (préparer vos carnets de réquisitions)
  8. Attaquer le Cloud lui-même ("depuis l'interne c'est meilleur")
  9. Faciliter ses attaques en exploitation des relations de "confiance" entre plateformes d'un même service-provider.
  10. Proposer en téléchargement via un serveur FTP du contenu frelaté (films, jeux, logiciels, ….)
  11. (ouf, je m'arrête là)

 

mais qui sont ces fauteurs de trouble ?

Ceux qui utilisent le Cloud pour des usages néfastes (ou "contraires" à certaines règles) sont les mêmes qui sévissent par ailleurs :

  • Des cybercriminels souscrivant directement aux services (évidement avec des CB frelatées)
  • Des systèmes de clients "normaux" compromis et dont l'utilisation est détournée
  • Des clients "normaux" qui pensent qu'Internet est un Far-Ouest et que les règles et la loi sont pour d'autres.

 

les conséquences diverses et variées

Se laisser déborder par les usages néfastes c'est accepter de perdre en efficacité, en performance, en réputation et globalement c'est perdre de l'argent :

  • Les équipes en charge des plateformes qui passent leur temps à gérer les problèmes et plaintes
  • Des indisponibilités de service ou des dégradations de performance
  • Etre la cible d'attaques en DDoS (mesure de rétorsion suite à une attaque lancée depuis vos plateformes)
  • Baisse de la réputation de vos services de Cloud ("chez ce fournisseur de Cloud, il ne faut pas y aller, c'est le bronx")

 

3 conseils pour éviter le bronx sur votre plateforme de Cloud
 

  1. Anticiper en amont et analyser comment chacun des usages néfastes est pris en compte dans la stratégie de sécurité. Gérer les incidents ne s'improvise pas et il faut trouver un équilibre entre "prévention", "détection" et "répression". :-)
     
  2. Une équipe Abuse musclée qui n'a pas froid aux yeux, qui comprend ce qui se passe et sait agir rapidement et efficacement. Bref, une bonne équipe de Men-In-Black qui n’a pas oublié de travailler dans le respect des lois et de la déontologie.
     
  3. Des clauses contractuelles claires : ainsi tout client sait qu'il est responsable de ses actions et des ressources mises à sa disposition. Si la ligne jaune est franchie, alors le couperet tombera.
     

et vous ?

Vous avez d’autres bons exemples d’usage néfastes du Cloud ? D’autres recommandations ou techniques à faire pour prévenir ou limiter ce type de problèmes ? Dites-nous !

Jean-François Audenard (aka Jeff)

crédit photo : © maxkabakov - Fotolia.com

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens