Menace d’attaques sur les hébergeurs basés sur AWS
Deux fournisseurs de services Cloud basés sur l’infrastructure d’Amazon ont été forcés de fermer temporairement leurs services suite à une attaque visant leur console d’administration AWS.
Serait-ce les premiers signes d’une attaque plus vaste visant les fournisseurs de services en ligne basés sur l’infrastructure Cloud d’Amazon ?
Jeudi 19 avril, au matin, Websolr et Bonsai, deux services d’infrastructure pour applications de recherche proposés par One More Cloud LLC, ont rapporté que toutes leurs instances EC2 ont été stoppées de manière impromptue en l’espace de deux minutes : « nous considérons que notre compte AWS a été compromis et nous réagissons comme il se doit », a indiqué alors l’équipe de support de Websolr sur Twitter. Plus tard dans la journée, Websolr et Bonsai ont commencé à reprovisionner leurs instances et à les restaurer à partir de sauvegardes, lorsque cela était nécessaire. Mais une incertitude subsiste quant à l’éventuelle perte irrémédiable de données clients.
Mais Code Spaces a été victime d’un incident par certains points comparable le 17 juin. Ses serveurs ont fait l’objet d’une attaque en déni de service distribué, selon une déclaration sur sa page d’accueil. Et l’hébergeur de code source d’expliquer faire régulièrement l’objet de ce type d’attaque. Mais dans ce cas précis, les attaquants en ont profité pour mettre la main sur les identifiants d’accès à la console d’administration EC2 de Code Spaces. Et de laisser des messages sur cette console pour demander une rançon en échange de l’arrêt de l’attaque en déni de service. Après s’être assurées que les attaquants ne disposaient pas des clés de chiffrement nécessaires à l’accès à leurs machines virtuelles, les équipes de Code Spaces ont repris le contrôle de la console d’administration en changeant les identifiants.
« Mais les attaquants avaient préparé cette opération et déjà créé plusieurs identifiants de secours pour accéder à la console. Lorsqu’ils nous ont vu tenter d’en reprendre le contrôle, ils ont effacé aléatoirement les éléments de la console », explique Code Spaces, détaillant les méfaits des attaquants : effacement des snapshots EBS, des espaces S3, de quelques instances EBS et de plusieurs instances de machines virtuelles. « En résumé, la plupart de nos données, sauvegardes, configurations de machines et sauvegardes hors-site ont été partiellement voire intégralement effacées. »
Martin Howes, directeur de Springwater Software, utilisait les dépôts de code SVN de Code Spaces depuis plus de cinq ans avant l’incident. Il avait notamment retenu ce fournisseur en raison de son recours à l’infrastructure d’Amazon. L’incident dont a été victime Code Spaces n’aura pas eu de véritable impact sur l’activité de Springwater Software qui dispose de copies locales de ses données, ainsi que de sauvegardes hebdomadaires. De quoi continuer à travailler. Pour Howes, ces précautions sont « simplement normales. Tout le monde est conscient des risques associés au fait de déposer des choses dans le Cloud. Et personne ne se reposerait entièrement dessus. »
Code Spaces n’a pas détaillé la manière dont les attaquants sont parvenus à accéder aux identifiants. Tout au plus sa direction a-t-elle précisé ne pas avoir de raison de soupçonner des employés actuels ou passés. Et de s’engager à fournir plus de détail plus tard, donnant la priorité aux besoins de ses clients.
Et certains risquent d’être bien plus amers que Martin Howes. La version cachée par Bing du site Web de Code Spaces mettait en avant ses possibilités de sécurité ainsi que ses capacités de sauvegarde, mentionnant chiffrement et connexions SSL, et pointant vers un document d’Amazon détaillant le niveau de sécurité en vigueur dans son infrastructure. Cloud Spaces y mentionnait également la capacité d’offrir une redondance complète des données clients, y compris en fournissant des ressources de stockage dans des centres de calcul sur trois continents, et une disponibilité de 99 % de ses serveurs. Le site mentionnait enfin des sauvegardes en temps réel des données, la dernière pouvant être téléchargée à tout moment, ainsi qu’un plan de restauration complet « éprouvé à plusieurs reprises ».
Et malgré cela, certains clients de Code Spaces se trouvent désormais contraints de collecter les données susceptibles de subsister encore sur ses serveurs. Dans sa déclaration publique, Code Spaces explique ne pas être capable « d’opérer au-delà de ce point ; le coût de résolution de ce problème à ce jour, et le coût prévisible de remboursement des clients laissés sans service, placeront Code Spaces dans une position irréversible - tant financièrement qu’en termes de crédibilité. » Et d’indiquer ne pas avoir « d’autre option que de cesser de vendre [ses] services et de supporter les clients affectés dans l’exportation des données qu’ils ont encore chez nous ».
Pour Dave Shackleford, fondateur et consultant de Voodoo Security, Code Spaces aurait échoué à implémenter l’authentification multifacteurs pour sa console d’administration AWS, simplifiant ainsi le travail des attaquants : « c’est assez courant, hélas, alors même qu’Amazon le rend assez simple », explique-t-il, soulignant « qu’il est encore très courant de trouver un nom d’utilisateur et un mot de passe». Rich Mogull, Pdg de Securisis, abonde, soulignant qu’Amazon insiste plutôt bien sur l’importance de l’application de l’authentification multifacteurs. Selon lui, il convient d’y recourir pour tous les comptes d’administrateurs avec accès Web. Et que pour les autres, il faut verrouiller au maximum les droits. Selon Mogull, Code Spaces a également failli dans sa réponse à l’incident : « il n’est pas question de réagir en jouant au chat et à la souris dans l’interface Web. Ecrivez un script qui verrouille tout à haute vitesse en utilisant les API pour que l’attaquant n’ait pas le temps de réagir à son tour. »
Shackleford va plus loin, notant que si les affirmations de Code Spaces étaient justes en matière de redondances, l’hébergeur se reposait apparemment entièrement sur le Cloud d’Amazon, le rendant précisément vulnérable au type d’attaque qui a visé sa console d’administration. Dès lors, cet incident montre selon lui l’importance d’une stratégie de sauvegarde en dehors de l’infrastructure Cloud principale, voire d’un dispositif de redondance dans un nuage tiers.
Pour lui, l’incident Code Spaces est le fruit « d’une grave défaillance pas seulement de gestion de l’authentification, mais aussi de la redondance. Ces gars ont placé tous leurs oeufs dans un même panier, et il a été compromis. C’est l’exemple parfait de la mauvaise façon de gérer votre infrastructure Cloud de manière sûre ».
Adapté de l’anglais par la rédaction.