Lorsque Docker est apparu en 2013, les développeurs et les éditeurs d’applications et de progiciels réfléchissaient depuis longtemps au moyen de décomposer les applications en composants légers et autonomes pouvant être facilement empaquetés et déployés. Quiconque a fait des mises à jour durant les années 90, connaît les affres de l’incertitude et l’angoisse des dysfonctionnements, presque systématiques, ou, pire, de « l’écran bleu de la mort » après le redémarrage. Passons sur le temps que prenait ce processus, de longues minutes à alimenter le lecteur en CD-Rom ou en disquettes dont la lecture prenait parfois des dizaines de minutes. Certaines mises à jour s’étalaient sur des dizaines de ces supports. Lorsqu’Internet et les applications en ligne se sont généralisés au début des années 2000, ce modèle n’était plus tenable.
Il a fallu toutefois attendre 2013 lorsque Docker a émergé comme une plateforme open source pour créer, déployer et gérer des conteneurs. Le succès de Docker a ouvert la voie à l’adoption généralisée des conteneurs et de l’architecture microservices. Durant ces années, la popularité grandissante des architectures natives du cloud et l’essor des hyperscalers, puis d’un écosystème constellé de petits et moyens fournisseurs, ont contribué à la généralisation des conteneurs et des microservices. Aujourd’hui, de nombreuses organisations utilisent les conteneurs et les microservices pour créer et déployer des applications complexes et évolutives.
Il y a peu de progrès dans la lutte contre les risques…
Une prolifération qui est devenue la pierre angulaire des services applicatifs proposés aux clients et en interne aux employés, mais qui a contribué à multiplier les vecteurs d’attaque. L’altération des images de conteneurs est un des cas les plus emblématiques des attaques récentes, comme le cryptojacking de Tesla en 2018 ou la violation de données de Docker Hub en 2019. Dans le cas de Tesla, les attaquants ont eu accès à l’infrastructure en exploitant une vulnérabilité dans l’un des conteneurs. Quant à Docker Hub, le référentiel d’images Docker, il a subi une violation de données qui a exposé les données de 190 millions de comptes, y compris des mots de passe hachés et des jetons d’accès. La violation était due à un conteneur mal configuré qui hébergeait une base de données.D’après une étude de Sysdig, le spécialiste de la sécurité des conteneurs, 87 % des images de conteneurs utilisées en production présentent des vulnérabilités à haut risque ou critiques, alors qu’elles étaient de 75 % l’année dernière. Les données du rapport sont issues de l’analyse de plus de sept millions de conteneurs que les clients de Sysdig exécutent quotidiennement. Ces données anonymisées proviennent d’Amérique du Nord et du Sud, d’Australie, de l’Union européenne, du Royaume-Uni et du Japon.
… car 71 % des vulnérabilités connues ne sont pas corrigées
Le plus alarmant est que 71 % de ces vulnérabilités n’ont pas été corrigées, selon l’étude. Si l’on excepte l’augmentation du nombre de vulnérabilités due à celle du marché des conteneurs, soit environ 15 % en 2022, le nombre de vulnérabilités non corrigées continue d’augmenter régulièrement. Plus alarmant encore, seulement 15 % des vulnérabilités critiques et élevées, et disposant d’un correctif, étaient patchées dans les paquets chargés au moment de l’exécution.Les chercheurs ont également constaté que l’approche globale n’était pas la meilleure solution. Certaines entreprises peuvent exploiter des centaines, voire des milliers de nœuds. Un nombre d’autant plus ingérable qu’il peut changer de manière dynamique, à mesure que l’organisation se développe ou que ses besoins évoluent. Une approche sélective est plus appropriée, estiment les rédacteurs du rapport. « En filtrant les paquets vulnérables qui sont réellement utilisés, les équipes organisationnelles peuvent concentrer leurs efforts sur une plus petite fraction des vulnérabilités corrigibles », celles qui représentent un risque avéré.
Une prolifération inversement proportionnelle à leur durée de vie
L’autre révélation de cette étude concerne les autorisations d’accès qui prolifèrent au même rythme que les conteneurs. Les données du rapport montrent une dilapidation coupable des autorisations d’accès : 90 % des permissions ne sont pas utilisées. « Si les attaquants compromettent les informations d’identification provenant d’identités bénéficiant d’un accès privilégié ou de permissions excessives, ils disposent des clés du royaume dans un environnement cloud », préviennent les rédacteurs.Ceci est d’autant plus dommageable que la prolifération des conteneurs est inversement proportionnelle à leur durée de vie. Une large proportion de conteneurs (72 %) à une durée de vie de moins de cinq minutes, soit une réduction de l’espérance de vie de 28 %.
« Cette tendance témoigne de la maturité des organisations dans leur utilisation de l’orchestration des conteneurs, et renforce le besoin d’une sécurité capable de suivre le rythme de la nature éphémère du cloud », conclut le rapport.