Le IaaS, une bénédiction pour les cybercriminels ?
Les services d’infrastructure en mode Cloud permettent aux entreprises de développer, prototyper, tester, déployer des services à moindre coût. Et pourquoi pas abaisser les barrières à l’entrée des attaques ciblées ?
La semaine dernière, lors d’un entretien au sujet de l’attaque dont a été victime TV5 Monde, Guillaume Lovet, (Fortinet) exprimait ses doutes quant à la capacité des cybercriminels à compromettre le système de diffusion de la chaîne de télévision. Et cela pour une simple raison : cela aurait nécessité des moyens importants, ne serait-ce que pour reproduire cette infrastructure afin de concevoir des outils malveillants spécifiquement adaptés.
L’histoire récente montre toutefois que certains attaquants disposent de telles ressources pour préparer leurs attaques ciblées. Et l’on pense évidemment à Stuxnet : compromettre le système de contrôle de centrifugeuses utilisées pour l’enrichissement de l’uranium nécessitait une préparation étendue. Au point que, rapidement, les soupçons se sont portés sur un, voire plusieurs états.
Des ressources de plus en plus accessibles
Et c’est là un point évoqué fréquemment : le niveau de sophistication de certaines attaques ciblées suppose des moyens importants, que beaucoup considèrent n’être encore qu’à la portée d’acteurs soutenus par des états.
Mais si modéliser une infrastructure cible hautement spécialisée n’est effectivement pas à la portée de tous les acteurs cybercriminels, qu’en est-il d’infrastructures plus simples, comme celles des systèmes bureautiques, administratifs ?
Les services d’infrastructure en mode Cloud (IaaS) comme ceux que proposent Amazon et Microsoft, entre autres, sont régulièrement présentés par leurs promoteurs comme des moyens de réduction des coûts. Et cela en particulier pour les opérations de développement, de test, de prototypage.
De là, il n’y a qu’un pas pour imaginer que ces services puissent aussi, en retour, abaisser les barrières à l’entrée de la cybercriminalité ciblée, où il s’avère nécessaire de modéliser l’environnement cible, d’en reproduire une maquette, pour concevoir un outil malveillant taillé sur mesure.
De systèmes anodins à des systèmes spécialisés
L’effort d’imagination est d’autant moins important que les systèmes d’information génériques semblent constituer une porte d’entrée royale dans les entreprises. Fin décembre dernier, le ministère allemand de la sécurité informatique communiquait ainsi sur une attaque ayant visé un industriel local, spécialiste de la production d’acier. Une attaque ayant commencé par l’infiltration du réseau administratif avant de s’étendre à la compromission du réseau de contrôle des installations industrielles.
Début avril, Symantec a indiqué avoir découvert un logiciel malveillant collectant de l’information sur les systèmes d’entreprises compromises du secteur de l’énergie. De quoi trahir une opération de grande ampleur en phase de reconnaissance ? L’avenir le dira.
En attendant, une chose est sûre : la reconnaissance est le prérequis nécessaire au maquettage d’un environnement cible. Reste à savoir quels moyens sont utilisés à cette fin.
Et là, le développement des infrastructures virtualisées accessibles en mode service ouvre de nouvelles perspectives. Rien n’interdit en outre d’utiliser leurs ressources pour exécuter des émulateurs de systèmes plus spécialisés. Le tout On Demand, avec une facturation à l’usage. Sinon gratuitement.
Le cloud, déjà exploité à son insu
En septembre dernier, Europol relevait que la cybercriminalité s’industrialise de plus en plus, adoptant un modèle de service. Mais quid de l’utilisation de services parfaitement légitimes à des fins cybercriminels ?
Utilisés pour des campagnes de déni de service, les botnet ne sont rien d’autre que la mise à profit d’une ressource massivement distribuée. Des instances Amazon EC2 ont d’ailleurs déjà été compromises pour héberger des bots. Et Kurt Baumgartner relevait, l’an passé, que « cette plateforme n’est pas la seule attaquée ou utilisée de manière détournée ».
Mais des chercheurs en sécurité sont allés plus loin, présentant comment construire un botnet à partir de comptes gratuits ou de test sur des plateformes d’hébergement d’applications en ligne.
La mise à profit, par les cybercriminels, de ressources mises à disposition en mode service a clairement commencé. La sécurité des architectures à définition logicielle est essentielle. Mais elle ne répondra pas à la question – encore une fois – des usages permis par leur extraordinaire flexibilité. Une flexibilité utile aux entreprises pour des applications tout à fait légitimes, mais également aux cybercriminels, pour préparer, organiser et conduire leurs attaques.