Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Le cloud de Google est-il vulnérable ?

Suite aux intrusions chinoises répétées sur Gmail, Google et les partisans du « cloud computing » se sont empressés d’expliquer que cet incident ne devrait pas soulever de questions sur la sécurité inhérente du cloud proposé par le géant de l’Internet. Ces intrusions alimentent une nouvelle fois le débat sur la sécurité des données stockées dans les datacenters accessibles depuis Internet.

Suite aux attaques ayant visé les comptes d’utilisateurs chinois de Gmail (opération désormais connue sous le nom d’Aurora), Google a déclaré que "ce n’était pas une agression sur le cloud computing de la firme ». Juste après ces attaques, le fondateur d’Elastic Vapor, Reuven Cohen, a doctement expliqué que "le hack de Google prouve que le cloud est plus sûr que les logiciels de bureau traditionnels, pas moins", apparemment parce que les systèmes ont été « compromis à travers des intrusions de type phishing ou à l’aide de programmes malveillants, et non via des failles dans l’infrastructure informatique de Google ». D’autres contestent toutefois cette idée. Danny Sullivan, l’éditeur du site Search Engine Land, se demande si la brèche de sécurité "ne restera pas comme un revers majeur pour le développement du du cloud computing ».

Analyste principal au Pund-IT, Charles King a tenu à mettre en garde les acteurs du marché. Nous ne connaissons pas encore tous les détails de la violation, mais elle soulève des inquiétudes quant à la sécurité des services proposés par le cloud computing. Tous les systèmes, que ce soit dans un cloud ou non, ont quelques défauts inhérents, mais « depuis fort longtemps les datacenters sont reliés à l’Internet public, il y a toujours eu la possibilité qu’ils puissent être piratés d’un certain nombre de façons », souligne-t-il. « Chaque système a une faille inhérente ou des faiblesses. Certaines personnes arrivent à pénétrer jusqu’à la salle des coffres de banques prétendument imprenables, en perçant un tunnel par exemple. Aucune maison n’est à l’épreuve effractions, c’est la même chose pour un datacenter. La vérité est qu’un certain nombre de personnes ont fait la promotion du cloud en expliquant que c’était l’avenir de l’informatique ce qui était vraiment exagéré. Je pense que nous allons continuer à voir des événements du type Google Hack en Chine ou exploitation de la faille des Sidekick (sur le réseau T-Mobile NDLR) "

Mardi dernier, Google expliquait qu’il avait subi « une attaque très sophistiquée et ciblée sur l’infrastructure de la société en provenance de la Chine. Cette attaque a entraîné le vol de la propriété intellectuelle de Google ». Les agresseurs ont apparemment tenté d’accéder aux comptes Gmail de militants chinois des droits de l’homme, et également lancé des attaques contre plus de 30 autres sociétés. Plus tard dans la semaine, il a été signalé qu’une faille dans Internet Explorer a été exploitée pour pirater les réseaux d’entreprise de Google. Un problème de gestion d’erreur permettant le téléchargement et l’installation d’un ou plusieurs malwares. Ainsi, les hackers ont pu mettre en place une backdoor indétectable dans certains ordinateurs et accéder à distance à l’intranet de entreprise. Microsoft a indiqué qu’il travaillait sur un patch et, qu’en attendant, il recommandait de placer sur élevé le niveau de sécurité de IE.

Sur Twitter et dans les blogs spécialisés, les observateurs du secteur ont débattu pour savoir si l’attaque était la preuve de problèmes de sécurité spécifiques au cloud computing. "Ce n’était pas une agression contre le cloud computing", affirme Google sur son blog officiel. "C’était une attaque contre les infrastructures technologiques de grandes entreprises dans des secteurs aussi divers que la finance, les médias, et la chimie. La voie que les agresseurs ont utilisée repose sur un logiciel malveillant qui a servi à infecter des ordinateurs personnels. N’importe quel PC relié à Internet peut être victime de telles attaques. Alors que certains éléments de la propriété intellectuelle liés à notre réseau d’entreprise ont été compromis, nous croyons que notre cloud et les données en ligne de nos clients sont restés sécurisés. "

Si l’activité principale de Google reste la diffusion de publicités liées aux résultats de recherche, la société est également devenue un fournisseur de services Web à destination des entreprises avec des solutions comme Google Apps, qui se pose en alternative à Microsoft Exchange. Il est donc important pour la firme californienne de convaincre les entreprises que ses capacités de stockage de données sont parfaitement sécurisées , malgré les événements du mois dernier. Sur son blog, Danny Sullivan indique qu’il stocke de plus en plus de données sur les serveurs de Google, mais qu’il pourrait revoir sa position si la sécurité de la compagnie était compromise. Il critique en outre l’insistance de Google à expliquer que cette attaque n’était pas une agression orchestrée contre le cloud de l’entreprise. « Nonobstant ce que Google explique sur son blog, il s’agit bien d’une attaque orchestrée contre sa plate-forme cloud" écrit Danny Sullivan . "Les hackers en avaient certes après les comptes Gmail, et pas seulement en utilisant des logiciels malveillants installés sur les ordinateurs des victimes. Ils ciblaient directement Google comme nous l’explique le message sur le blog de la société".

Reuven Cohen n’est toutefois pas d’accord avec cette assertion. Il explique sur son propre blog que cette attaque ne révèle aucune anomalie dans la sécurité des clouds, car les pirates ont utilisé des techniques d’ingénierie sociale pour accéder aux réseaux privés. « Qu’est-ce hack prouve vraiment ? Que les gens sont plus faciles à pirater que les réseaux", écrit encore Reuven Cohen. "Les maillons faibles sont bien les personnes qui sont assez stupides pour ouvrir une pièce jointe, qu’ils n’identifient pas, et qui semble provenir d’un interlocuteur de confiance. C’est toute la beauté du hack fondé sur l’ingénierie sociale. Le courriel semble provenir de votre mère, de votre père, d’un ami ou d’un collègue. La leçon est que nous devons apprendre à ne pas ouvrir les pièces jointes que nous sommes incapables de reconnaître. "

Indépendamment de la façon dont l’attaque a été exécutée, elle s’est bien produite et les clients de services web reposant des clouds devraient garder en mémoire qu’il y a toujours des risques lorsque des données sont stockées chez un tiers, rappelle Charles King. "Ce n’est pas parce que vous utilisez un service cloud que vous supprimez la nécessité de sauvegarder les données sur un disque dur local," souligne Charles Kings. « Comme n’importe quelle solution, les sauvegardes en ligne ne sont pas infaillibles, et il est essentiel pour les consommateurs comme pour les entreprises de protéger leurs données de multiples façons."

Edition du 19/01/2010 - par Serge Leblal avec IDG NS

Source :LeMondeInformatique