Le document examine les principales menaces pesant sur les infrastructures cloud, telles que l'utilisation abusive des ressources, les vulnérabilités des API et les risques internes. Il souligne l'impact potentiel sur la confidentialité et l'intégrité des données ainsi que les conséquences légales pour les fournisseurs. Plusieurs exemples illustrent ces menaces, mettant en évidence la nécessité de mesures de sécurité renforcées dans les environnements cloud.

1. Principales Menaces pour les
Infrastructures Cloud
Tendances Cloud
12 Juillet 2011
Sergio Loureiro, CEO and Founder
sergio@secludit.com

2. 2

3. Utilisation abusive et malveillante
Les attaquants profitent de la capacité de calcul à bas coût
Impact
• Password cracking, Deni de service, hébergement de malware, spam,
CAPTCHA cracking
Exemple
• Malware hosting et blacklistage des IPs dʼAmazon EC2
3

4. Insécurité des interfaces (APIs)
Les APIs de gestion du cloud peuvent être vulnérables
Impact
• Confidentialité et intégrité des données
• Deni de service
Exemple
• P0wning the Programmable Web (Websense - AusCERT 2009)
4

5. Utilisateurs internes malveillants
Les utilisateurs du fournisseur dʼinfrastructure peuvent abuser des
privilèges + visibilité réduite sur les procédures internes
Impact
• Confidentialité et intégrité des données
• Réputation et répercussions légales
Exemple
• Google investigates insider threat after China Hack
5

6. Vulnérabilités de la technologie de partage des ressources
Le matériel, les systèmes dʼexploitation, le middleware, les applications et
les réseaux ne sont pas complètement isolés
Impact
• Clients en collocation peuvent être perméables
Exemple
• Cloudburst - Kostya Kortchinksy
• Red and Blue pill - Joanna Rutkowaska
6

7. Fuite ou perte de données
Les problèmes de contrôle dʼaccès ou chiffrement dit faible
Impact
• Intégrité et confidentialité des données
Exemple
• Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party
Compute Clouds - UCSD/MIT
7

8. Détournement de compte ou service
Le vol des données dʼauthentification
Impact
• Confidentialité et intégrité des données
• Réputation
Exemple
• Twitter DNS account compromise
8

9. Profil de risque inconnu
La visibilité réduite et le manque de transparence des fournisseurs cloud
Impact
• Pertes de données peuvent survenir sans connaissance du consommateur de
services cloud
Exemple
• Heartland Payments Systems was “willing to do only the bare minimum and
comply with state laws instead of taking the extra effort to notify every single
customer, regardless of law, about whether their data had been stolen”
9

10. Ressources
https://cloudsecurityalliance.org/research/projects/top-threats-to-cloud-
computing/
https://cloudsecurityalliance.org/guidance/
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-
assessment
Français :
http://www.tendances-cloud.com/
http://www.meetup.com/CSA-France/
10

11. MERCI
ENTREPRISE > secludit.com
PRODUIT > https://elastic-detector.secludit.com/
BLOG > elastic-security.com
OPENSOURCE > cloudyscripts.com
TWITTER > @elasticsecurity