Spécial sécurité : Le MIT compte les trous du Cloud Computing

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, se penchent sur un rapport du MIT qui pointe du doigt les trous du Cloud Computing, reviennent sur la faille IIS avant de donner un coup de projecteur sur l'événement sécurité de Besançon, le FRHack.

Sommaire
Le MIT compte les trous du Cloud Computing
FRhack, Besançon’s Security Conference
Vulnerabilité FTP, de mieux en pire

En bref...

1 - Le MIT compte les trous du Cloud Computing
Dans une communication de 14 pages très denses, une équipe de chercheurs de l’Université de Boston (MIT) explique comment il est possible de cartographier toute l’infrastructure d’un hébergeur de « Cloud Computing » -dont les serveurs d’applications-, d’exploiter les porosités entre VM « hostées », de récupérer des informations par des techniques de type « side channel attack » et même d’envisager des techniques d’agression en analysant le trafic DNS et en tirant des estimations statistiques pouvant permettre d’injecter un code sur le même serveur que celui utilisé par la victime. Le cas d’école visait les services Cloud offerts par Amazon (EC2) mais, précisent les chercheurs, peut s’étendre à tous les autres prestataires, tel que Azure de Microsoft. Les modélisations d’attaques peuvent paraître parfois assez rocambolesques… comme le sont pratiquement toutes les techniques quasi divinatoires qui reposent sur des mesures, des probabilités et des analyses de variations parfois ténues. Mais l’expérience prouve que ces techniques fonctionnent, très bien même. Il est peu probable que cette étude relativement savante ait un quelconque impact sur la mode du Cloud et sur les décisions d’investissement des entreprises clientes. Il est également peu probable que ce soit la dernière étude du genre.

2 - FRhack, Besançon’s Security Conference
« C’est un peu comme les SSTIC, mais en Anglais » disent les participants de la première FRhack de Besançon. En anglais car réunissant un public et des intervenants du monde entier -Richard Stallman, Cesare Cerudo, David Hulton, Andres Riancho … mais également des «locaux », ainsi Guillaume Prigent, Bruno Kerouanton, Philippe Oechslin, Philipe Langlois, et bien sûr l’organisateur de cette manifestation, Jérôme Athias.
Contrairement à la majorité des manifestations concurrentes, les conférences sont diffusées en « live » sur Internet (suivre le lien proposé en haut de la page programme ). De quoi inciter les spectateurs à ne pas manquer la prochaine édition. Après deux jours de présentations, place sera donnée trois jours durant aux travaux pratiques et aux stages de formation pratique.

3 - Vulnerabilité FTP, de mieux en pire
Les exploits se succèdent et ne se ressemblent pas tout à fait : la faille IIS 5 et 6 révélée au tout début de la semaine dernière était, disait-on, exploitable à partir du moment où un usager authentifié (anonymous en fait partie) possédait un droit de création de répertoire. Mais voilà que vendredi, le niveau d’alerte augmente. Nikolaos Rangos, sur Milworm, nous apprend qu’il est possible de conduire une attaque en déni de service contre un serveur IIS même sans posséder le moindre droit d’écriture. Aussitôt, Microsoft met à jour son bulletin d’alerte et incite ses clients, via le blog du MSRC, à télécharger l’édition 7.5 du ftp qui, elle, ne souffre pas de cette déficience. Cette agitation microsoftienne serait dû à « quelques attaques limitées », explique le blog.

La situation est donc ni grave, ni désespérée. A moins d’un changement de dernière minute, cette fameuse « faille mkdir » ne devrait pas faire partie du lot de rustines du prochain Patch Tuesday. De nombreux article laissent entendre que cette attaque provoque un crash de serveur. Il s’agit plus exactement d’un plantage du service ftp, qui peut être relancé manuellement et qui ne met pas en cause (du moins pour l’instant) l’intégrité des autres services serveur de Windows.

4 - En bref
F-Secure change de logo, de slogan ( protecting the irreplaceable), de numéro de version (suite 2010)… l’équipe, elle, demeure la même. Peut-être pour conserver une longueur d’avance sur les vendeurs de scarewares et autre usurpateurs de logos ?

Pour approfondir sur Windows