Spécial sécurité : le blues du Cloud ou l’externalisation pour les téméraires
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères s'amusent du goût nouveau pour l'externalisation en mode cloud computing. Une voie qui n'est pas sans poser nombre de questions en matière de sécurité des données. A ces interrogations, nos confrères répondent par un "non" définitif.
Sommaire :
- Le blues du Cloud ou l’externalisation pour les téméraires
- T-mobile, données à vendre ou coup de bluff ?
- Microsoft : bugs nouveaux et vieilles failles
1) Le blues du Cloud ou l’externalisation pour les téméraires
Il n’est, depuis l’an passé, de bonne informatique qu’externalisée. Mais attention, pas n’importe comment… n’allons pas imaginer que l’on nous ressert une soupe vieille de 10 ou 30 ans et qui aurait eu pour nom les ASP, le travail en batch ou la sous-traitance de la compta en Fortran bien tempérée… Ah, çà non !
Le Cloud,c’est le « service total services compris ». En d’autres termes, expliquait en substance Hervé Schauer, lors de la dernière conférence annuelle du Cert IST,« alors que l’on parlait autrefois de délégation de tâches, en confiant à un prestataire extérieur un traitement comptable ou une gestion de stock, on est passé insensiblement à une délégation de moyens ». Peut-on revenir en arrière ? Dans bien des cas, c’est peu probable. D’autant moins probable que cette externalisation des services peut être considérée comme une « suite logique » de la délégation de moyens déjà effectuée au niveau du poste de travail, celle qui s’est peu à peu imposée de manière détournée, par l’apparition « d’infrastructures spontanées » (sic Hervé Schauer), adoptées par les utilisateurs plus que par les entreprises. Le périmètre est devenu de plus en plus flou, débordant largement du cadre défini par, d’un côté, des machines « intra muros » et de l’autre, des « portables des itinérants ». Il fallait commencer à tenir compte des possibles GoToMyPC, Hamachi, Skype, des outils de démonstration/prise de contrôle à distance de type WebEx et autres tunnels totalement opaques à l’administrateur (filtrage et packet shaping non compris). Aujourd’hui, il faut y ajouter les applications Web 2.0, les Agenda Google et ses services de messagerie –ou ceux de Microsoft -, les espaces de stockage distants, les réseaux sociaux… Alors, pourquoi pas les outils métiers, les serveurs, leur maintenance et leur protection, leur mise à jour et tout ce qui gravite autour. Et voilà que ressurgissent les arguments de l’économie à court terme occasionnée par la collocation, par la fédération des ressources, par la mise en commun des infrastructures…
« La question de savoir si l’on adopte alors une politique d’outsourcing de type « cloud » ou non devient alors purement politique et stratégique… rarement technique », pensent tout haut bon nombre de responsables sécurité. « C’est le résultat immédiat –certains disent irréfléchi - d’une décision purement gestionnaire ». Car le « Cloud Computing », ce n’est pas du tout que de l’externalisation. C’est, dans bien des cas, une expatriation des données et des processus, expatriation qui va poser un certain nombre de problèmes à résoudre. Et pas seulement sous le seul angle de la continuité de service, du contrat SLA. Le ou les pays qui serviront de havre au traitement de données ont-ils des politiques et des lois protégeant les biens immatériels et les informations privées comparables à celles en vigueur dans nos contrées ? Et quand bien même en auraient-elles, comment peut-on être certain que les « géants du Cloud » qui y implantent leurs datacenters respectent ces lois locales ? En cas de sinistre, d’acte délictueux, de déprédation, peut-on espérer qu’aboutisse le travail des forces de l’ordre et de la justice ? Est-il réaliste, en 2009, de croire en l’aboutissement d’une Commission Rogatoire Internationale en Chine, en Inde, voire aux Etats-Unis ? En admettant même que rien ne soit à craindre de la part du prestataire d’hébergement, peut-on accorder un niveau de confiance comparable envers les autres utilisateurs de ces ressources partagées ? A ces cinq questions, la réponse est hélas « non ». Et ce, quel que soit le niveau de confiance que l’on accorde à « l’externalisateur », quel que soit son niveau de certification, le charme de ses taux de facturation, la solidité de ses VPN ou la valeur de sa cotation boursière. A toutes ces interrogations, les principaux cabinets d’avocats répondent d’ailleurs très prudemment par les mots « code civil », « tribunal de commerce », « jurisprudence constatée entre La Garenne-Bezons et Plougastel-Daoulas »… en d’autres termes, par un « oui au Cloud Computing tant qu’il ne sort pas des frontières du pays ». Pas franchement la définition qu’en donnent les principaux marchands de nuages. Le décalage est net, entre la réalité de l’offre et l’adaptation à la situation du cadre légal. Et c’est l’existence de ce décalage qui ne doit pas être oublié lors de l’analyse des risques précédant toute signature de contrat d’externalisation de type « cloud ».
2) T-mobile, données à vendre ou coup de bluff ?
Un entrefilet dans les colonnes de la ML « Full Disclosure » : pirate efficace et discret cherche acheteur franc du collier, si possible dans le secteur des télécoms, pour acquérir à un tarif avantageux des années de données collectées sur les machines de T-Mobile. Non sérieux s’abstenir. L’annonce n’a fait l’objet d’aucun commentaire de la part des habitués de la liste. T-Mobile, en revanche, a dû réagir, et admettre que les données provenaient effectivement de l’un de ses fichiers. Mais, précise l’opérateur, elles ne contiennent « aucune information qui pourrait nuire à nos clients » Nos confrères de CSO se perdent en conjectures, et envisagent même que ce mini « hack du siècle » pourrait provenir du contenu d’un disque racheté sur eBay. Rappelons qu’il y a un peu plus d’un an, la maison mère, Deutsche Telekom, avait déclaré une fuite d’informations portant sur près de 17 millions d’enregistrements. Il est également à noter que l’éthique de la mailing list « Full Disclosure » est totalement opposée à cette forme d’intimidation – racket serait un mot plus approprié - tel que pratiqué par P0wnmobile, le signataire de cette annonce.
3) Microsoft : bugs nouveaux et vieilles failles
L’important Patch Tuesday annoncé par Microsoft est… plus important que prévu. Outre les 10 alertes déjà annoncées à l’occasion du bulletin préliminaire, l’éditeur confirme la conclusion de deux autres vieilles chasses au bug qui s’étaient éternisées pour des raisons techniques. L’une concernait la correction d’un défaut Powerpoint sur l’édition Macintosh d’Office (09-017 considérée comme critique), l’autre concernait la faille WebDAV du mois dernier dont le dossier est considéré comme clos, conformément à ce qui est écrit dans le bulletin de sécurité 971492.
Rappelons que parmi les 10 bulletins publiés, certains d’entre eux sont considérés comme critiques, et doivent voir leurs correctifs associés déployés rapidement. Au total, les 10 bouchons colmatent 31 failles, par la magie toujours étonnante des « cumulatifs ». Au fil d’une séquence vidéo, Adrian Stone et Jerry Bryant du MSRC passent en revue toutes les rustines du mois en moins d’un quart d’heure.