La question peut surprendre… cependant, en encourageant l’usage des microservices, DevOps place le SI dans une situation proche de celle qui a permis l’attaque massive sur le serveur de DNS de Dyn.
Petit retour sur l’attaque massive DDoS qui a défrayé la chronique en fin de semaine dernière (lire notre article «
L’Internet a subit une cyber-attaque majeure »). Une partie de l’attaque est venue d’un grand nombre d’objets connectés victimes du malware Mirai qui compromet l’Internet des Objets (IoT).
Comment cela a-t-il été rendu possible ?
Les dispositifs IoT sont si nombreux qu’il est difficile de mettre en place une stratégie individuelle de cybersécurité. Ce qui se traduit par l’usage quasi systématique des informations d’identification par défaut. Ceux-là même qui sont paramétrés en usine et que l’on laisse lorsque l’on déballe les équipements.
Le niveau de sécurité en sortie de boîte est faible, les données d’identifications sont connues, elles reposent sur quelques dizaines de mots clés simples. Fournisseur et installateurs conservent les informations d’identification en place. Ce qui simplifie également le travail des cyberpirates.
Bis repetita avec DevOps
Sous DevOps, toute l'équipe de livraison des logiciels est censée avoir accès à toutes les plates-formes et toutes les ressources qui font partie de la chaîne de livraison. Pour disposer d'un accès plus large, la tentation est forte de prendre la voie de la facilité en utilisant les connexions par défaut, ou plus simplement en prenant le risque de partager les informations de connexion, même si ce ne sont pas celle par défaut.
Notons que dans le cas d’un développement en cascade, les développeurs n’ont accès qu’aux outils de développement, et les opérations qu’aux outils de gestion.
Mais dans tous les cas, sous une apparente simplicité qui favorise l’agilité, DevOps augmente en réalité la complexité, ce qui se traduit par des risques potentiels, dont celui d’aller à la facilité.
DevOps n'est pas Dyn, mais...
Certes il n’y a pas de lien entre l’attaque DDoS de Dyn et DevOps. En apparence tout du moins, car derrière une relative simplicité la sécurisation d’un environnement DevOps demande plus de travail.
Comme dans le cas des objets connectés qui ont servi de support à l’attaque des serveurs DNS, développeurs et administrateurs DevOps peuvent commettre des erreurs, comme de compter sur les connexions par défaut des informations d'identification...
Image d’entête 92295433 @ iStock MaksimYremenko