Ce pourrait-être le titre coup de point d'un mauvais film, mais le scénario qui nous est proposé a de quoi faire frémir : le cloud pourrait remplacer avantageusement – pour les méchants pirates mafieux – les réseaux de botnet ou PC zombies !
La facilité d'accès au cloud pourrait sonner la fin du botnet, le réseaux de PC zombies qui sert de relai aux cyber-attaques, remplacé par le botnet dans le nuage, ou cloudbot. Telle est la conclusion de deux chercheurs en sécurité, Rob Ragan et Oscar Salazar, qui sont intervenus lors de la conférence Black Hat.
Les deux chercheurs ont formé un duo de hackers qui se sont fixé comme objectif d'exploiter les offres gratuites des cloud public pour créer une plateforme de cyber-attaque qui se substitue habilement et presque légalement aux réseaux de botnet !
Transformer un cloud public en réseau zombies
Les Amazon, Azure, Google, CloudBees, Cloud Foundry, et autres plateformes de cloud public sont autant de ressources dans lesquelles le développeur peut piocher gratuitement et avec une vraie réserve de puissance pour créer une service dans le nuage. La seule différence avec le développeur lambda, c'est que nos deux hackers ont créé un botnet dans le nuage.
Pour cela, ils ont développé une application qui génère des adresses uniques à la volée et les soumettent automatiquement aux services de cloud dans les catégories 'freemium' ou gratuites. Ils disposent ainsi d'un pool de serveurs totalement légaux. « Nous avons principalement construit un super-ordinateur gratuit », remarquent-ils.
Toute la puissance du cloud au service des hackers
Sauf que cette puissance, ils l'ont mise en simulation au service d'un projet mafieux, celui de créer un botnet - un réseau de PC sur lesquels est installé un malware, un logiciel pirate qui, à l'insu du propriétaire de la machine, transforme le PC en serveur de spam ou d'attaques. Avec une différence sensible, il ne s'agit pas ici d'ordinateurs PC, mais de serveurs puissants, puisqu'ils ont accès au compute à la demande des opérateurs de cloud.
Ils ont testé plus de 150 services de cloud disponibles dans le monde, et les deux tiers d'entre eux leurs ont permis d'ouvrir un compte gratuit sans aucune démarche de validation nécessitant une réponse extérieure, comme répondre à un mail, donner un numéro de téléphone, une coordonnée bancaire, ou encore de saisir le code d'un captcha.
Cachée sous une adresse Amazon ou Google
Cette nouvelle menace cache deux autres dérives. Tout d'abord, le vecteur de l'attaque se fait légal, puisqu'il ne s'agit plus d'un PC piraté mais d'un serveur de développement tout ce qu'il y a de plus légal. C'est l'usage qui en est fait qui est illégal. La violation n'est donc pas sur le serveur, un juge américain a ainsi rendu son verdict en affirmant que le non respect les règles du contrat d'un hébergeur ne constitue pas une fraude...
La seconde dérive pourrait également créer un phénomène dont les opérateurs de cloud se seraient bien passés. Il suffit d'imaginer une attaque par déni de service qui avancerait sous une adresse IP Google ou Amazon ? Il n'est pas interdit de penser que cela devienne possible ! Faut-il interdire les flux provenant des grands opérateurs de cloud ? La question ne se pose pas aujourd'hui mais demain ?
Voilà qui fait émerger de nouvelles inquiétudes pour les acteurs du cloud computing. Car si l'expérience est un sujet d'étude pour nos deux chercheurs, elle devrait rapidement se transformer en cas d'usage pour les hackers mafieux. Certains opérateurs américains ont déjà pris la mesure du risque et supprimé les offres 'freemium' de leur catalogue. Du pain sur la planche en perspective également pour les éditeurs de solutions de sécurité, et pour les avocats spécialisés. Et un nom à retenir : cloudbot. Nous pourrions en reparler très rapidement.