Des chercheurs allemands ont décelé des brèches dans l’interface de gestion du nuage Amazon, qui ont ensuite été comblées par Amazon même, avant d’avoir pu être abusées.
Des chercheurs allemands ont décelé des brèches dans l’interface de gestion du nuage Amazon, qui ont ensuite été comblées par Amazon même, avant d’avoir pu être abusées.
Des chercheurs des universités de Bochum, Heidelberg et Cologne ont découvert deux types de brèche dans l’interface de gestion qu’Amazon Web Services propose à ses clients. Une méthode concerne l’abus d’un mécanisme de messagerie, et l’autre l’utilisation plus sophistiquée de techniques de ‘cross-side scripting’.
Le premier type d’attaque – ‘XML signature wrapping’ – avait été recensé en 2005 déjà par IBM. Il permet de modifier en secret des messages XML par une signature numérique. Dans le cas du nuage Amazon, des messages SOAP en provenance du client avec des commandes de ressources dans le nuage sont susceptibles d’être dotés d’autres commandes. Ces dernières peuvent permettre alors l’abus de ressources (comparable à l’abus de zombies dans les botnets), y compris le vol de données et d’informations sur les mots de passe, clés de cryptage, etc. par des tiers mal intentionnés.
Les chercheurs ont également décrit la manière dont les attaques de ‘cross side scripting’ pouvaient être exécutées, entre autres du fait que la boutique Amazon et l’interface de gestion du nuage partagent une session commune de login.
En outre, les chercheurs affirment que les points faibles décrits étaient également d’application, bien qu’implémentés quelque peu différemment, sur l’interface de gestion d’Eucalyptus, un environnement populaire de création d’infrastructures de nuage privé.
Tout ce qui précède est évoqué dansl’article “All your clouds are belong to us – Security analysis of cloud management interface”, qui souligne aussi de manière élogieuse la manière dont les équipes impliquées ont réagi aux brèches observées. Les chercheurs soulignent cependant que “la complexité de ces systèmes [cloud] représente un foyer de vulnérabilités potentielles, ce qui explique que l’interface de gestion du nuage fera très probablement partie dans un proche avenir des cibles les plus prisées d’attaques de la part du crime organisé.”
Amazon elle-même affirme qu’elle a comblé les brèches décelées et qu’aucun client n’a été impacté.
