Le nuage informatique est-il sécurisé ? La réponse des hackers
Nuage vs trou dans la couche d'ozone
Lors de la DEF CON de Las Vegas, la plus grosse conférence de sécurité annuelle qui regroupe des chercheurs en sécurité du monde entier, l'entreprise de sécurité informatique Fortify Software a fait réaliser un sondage auprès d'une centaine de hackers participants. Elle leur a demandé leur opinion sur la sécurité des solutions situées dans le "nuage informatique" (cloud computing).
Selon les résultats divulgués par l'entreprise dans un communiqué de presse, 89 % des répondants pensent que les vendeurs de solutions sur le nuage ne font pas assez d'efforts pour corriger les problèmes de sécurités de leurs services.
Et surtout, 45 % de ces hackers expliquent avoir déjà essayé d'exploiter une vulnérabilité trouvée dans le nuage. Le communiqué ne donne malheureusement pas le chiffre de ceux qui y sont parvenus. Il précise tout de même que 12 % des répondants admettent avoir piraté un nuage pour obtenir un gain financier. Un chiffre assez faible, si l'on considère que les sondés sont des professionnels de la sécurité informatique, généralement payés pour trouver des failles.
Selon les réponses données par les sondés, durant leurs explorations des nuages, 33 % des hackers ont trouvé des failles dans des DNS publics, 16 % ont pu récupérer des fichiers logs et 12 % des profils de communication.
Des nuages bientôt indispensables
Le communiqué cite une étude du consultant Gartner, qui prédit qu'en 2012 près de 20 % des entreprises n'auront presque plus de matériel informatique propre, se basant principalement sur les solutions externes et le nuage informatique. D'autres combineront encore les deux. Dans tous les cas, la sécurité de leurs données est primordiale pour les entreprises, et si les solutions basées dans le nuage ne peuvent l'assurer, elles risquent de retarder le changement.
Notons tout de même que cette étude tombe particulièrement à pic, puisque son commanditaire, Fortify Software, est spécialisé dans la sécurisation des solutions logicielles professionnelles. Elle a aussi été rachetée il y a à peine 15 jours par HP, un des acteurs majeurs des services sur le nuage informatique. Le géant américain pourra donc se vanter d'être à la pointe de la sécurité sur ce créneau... Alors qu'il vient lui même de jeter le doute sur les failles qui peupleraient le nuage.
Selon les résultats divulgués par l'entreprise dans un communiqué de presse, 89 % des répondants pensent que les vendeurs de solutions sur le nuage ne font pas assez d'efforts pour corriger les problèmes de sécurités de leurs services.
Et surtout, 45 % de ces hackers expliquent avoir déjà essayé d'exploiter une vulnérabilité trouvée dans le nuage. Le communiqué ne donne malheureusement pas le chiffre de ceux qui y sont parvenus. Il précise tout de même que 12 % des répondants admettent avoir piraté un nuage pour obtenir un gain financier. Un chiffre assez faible, si l'on considère que les sondés sont des professionnels de la sécurité informatique, généralement payés pour trouver des failles.
Selon les réponses données par les sondés, durant leurs explorations des nuages, 33 % des hackers ont trouvé des failles dans des DNS publics, 16 % ont pu récupérer des fichiers logs et 12 % des profils de communication.
Des nuages bientôt indispensables
Le communiqué cite une étude du consultant Gartner, qui prédit qu'en 2012 près de 20 % des entreprises n'auront presque plus de matériel informatique propre, se basant principalement sur les solutions externes et le nuage informatique. D'autres combineront encore les deux. Dans tous les cas, la sécurité de leurs données est primordiale pour les entreprises, et si les solutions basées dans le nuage ne peuvent l'assurer, elles risquent de retarder le changement.
Notons tout de même que cette étude tombe particulièrement à pic, puisque son commanditaire, Fortify Software, est spécialisé dans la sécurisation des solutions logicielles professionnelles. Elle a aussi été rachetée il y a à peine 15 jours par HP, un des acteurs majeurs des services sur le nuage informatique. Le géant américain pourra donc se vanter d'être à la pointe de la sécurité sur ce créneau... Alors qu'il vient lui même de jeter le doute sur les failles qui peupleraient le nuage.
Jeff,
Le 31 août 2010 à 17:38
(30 940
lectures)
Il y a 45 commentaires
INpactien
Et sinon a quand un nouvel Internet reposant sur de nouvelle base plus performante et sécurisé ??
INpactien
Je vais juste reciter l'un de mes premiers commentaires:
Le cloud computing c'est un boomerang lancé dans un brouillard épais.
En cas de problème, ça peut juste permettre au RSI de déporter la faute sur l'hébergeur du serveur distant. Bref je ne comprends pas comment il peut être jugé préférable de déporter un serveur d'application nécessaire seulement en intranet sur un réseau extérieur. C'est d'une débilité sans nom.
Le cloud computing c'est un boomerang lancé dans un brouillard épais.
En cas de problème, ça peut juste permettre au RSI de déporter la faute sur l'hébergeur du serveur distant. Bref je ne comprends pas comment il peut être jugé préférable de déporter un serveur d'application nécessaire seulement en intranet sur un réseau extérieur. C'est d'une débilité sans nom.
Si tu ne comprends pas, ne juge pas.
Les avantages de l'utilisation de datacenters externes :
- mise à jour plus fréquente du matériel et ce, sans devoir redimensionner tout le matériel utilitaire
- mutualisation de la sécurité ( templates de VM qui peuvent être maj "à chaud" )
- mutualisation du parc matériel. Grâce à la virtualisation en particulier (la marge d'utilisation future du datacenter est mutualisée, et est quasi gratuite)
- ajout de services à la demande (duplication des données, modification des QoS, location de serveurs supplémentaires ; éventuellement redondance géographique pour les applications très sensibles) réduisant le délai entre l'apparition d'un besoin ou d'un futur besoin et la mise en œuvre de réponses à celui ci.
- mutualisation du coût énergétique. Le gain n'est pas des moindres ! Le coût énergétique peut dépasser le coût de maintenance et de rotation du matériel du datacenter.
Personnellement, toutes ces raisons ne me paraissent pas débiles.
INpactien
Le principe du cloud est "passoire".
Quand les gens comprendront t-il que pour une sécurité absolue, il faut se déconnecter du réseau ?
Quand les gens comprendront t-il que pour une sécurité absolue, il faut se déconnecter du réseau ?
INpactienne
Si tu ne comprends pas, ne juge pas.
Les avantages de l'utilisation de datacenters externes :
- mise à jour plus fréquente du matériel et ce, sans devoir redimensionner tout le matériel utilitaire
Les avantages de l'utilisation de datacenters externes :
- mise à jour plus fréquente du matériel et ce, sans devoir redimensionner tout le matériel utilitaire
- mutualisation de la sécurité ( templates de VM qui peuvent être maj "à chaud" )
- mutualisation du parc matériel. Grâce à la virtualisation en particulier (la marge d'utilisation future du datacenter est mutualisée, et est quasi gratuite)
Pas sur de ce a quoi tu penses.
- ajout de services à la demande (duplication des données, modification des QoS, location de serveurs supplémentaires ; éventuellement redondance géographique pour les applications très sensibles) réduisant le délai entre l'apparition d'un besoin ou d'un futur besoin et la mise en œuvre de réponses à celui ci.
Question délais tout dépend. Y'a jamais rien de gagné sur ce terrain. Merci Murphy. La flexibilité d'un grand système est parfaitement possible et simplement. Les Load-balancer sont la pour ca. Ca fait belle lurette que les grandes entreprise en ont par besoin mais ne savent pas s'en servir car il ont mis un tocard estampillé "Windows" au SII. F5 en fait des très bien et complet. Enfin je veux dire. C'est bête d'acheter des choses a l'extérieur alors qu'en quelques clics (en plus des clics tellement c'est noob-proof) tu peux déjà le faire.
- mutualisation du coût énergétique. Le gain n'est pas des moindres ! Le coût énergétique peut dépasser le coût de maintenance et de rotation du matériel du data-center.
C'est encore un cout qui se répercute sur le client. Le moindre électron sera plus fortement facturé que si tu le paye directement a EDF (correctement négocié bien entendu). A la rigueur la petite boite y trouveraient un intérêt mais celles qui ont besoin d'infrastructure de grand systèmes; pas vraiment. Et la encore la petite boite ca doit être la petite boite qui peut se payer le réseau pour aller a ce data center. Pas toujours possible.
Personnellement, toutes ces raisons ne me paraissent pas débiles.
INpactien
Pourquoi avoir écrit "hacker" , alors que "cracker" conviendrait mieux ?
La ça donne un sens confus de ce que veux dire hacker et donne une mauvaises images des premiers hackers (les bidouilleurs) .
La ça donne un sens confus de ce que veux dire hacker et donne une mauvaises images des premiers hackers (les bidouilleurs) .
INpactien
ano_634700169950321032
Le mardi 31 août 2010 à 21:12:05
#16
Inscrit
le mardi 24 mars 09
-
394
commentaires
Pourquoi avoir écrit "hacker" , alors que "cracker" conviendrait mieux ?
Parce que c'est une nuance 1337 uNd3rGr0uNdZ qui n'est comprise que par ceux qu'elle concerne... ?
INpactien
Pourquoi avoir écrit "hacker" , alors que "cracker" conviendrait mieux ?
La ça donne un sens confus de ce que veux dire hacker et donne une mauvaises images des premiers hackers (les bidouilleurs) .
La ça donne un sens confus de ce que veux dire hacker et donne une mauvaises images des premiers hackers (les bidouilleurs) .
Tu portes bien ton pseudo toi ;)
INpactien
Y'aura forcément des soucis, et pas des moindres, au moins au début.
Ce sont les premiers à s'y lancer qui prendront les risques, mais il en faut bien...
Ce sont les premiers à s'y lancer qui prendront les risques, mais il en faut bien...
INpactien
Pas forcement; ce cout se reporte obligatoirement sur le client. Donc ca en dicutera et ca finira pas opter pour le moins cher. Tu pourras acheter du top serveur comme du moins top... ...
Le coût, j'en parle plus tard. Et je parle de datacenter virtualisés, où tu n'apporte pas ton matériel ^^
C'est a double tranchant. Quand tout va bien tout le monde va bien. Quand il y a un pet de travers bin c'est le troupeau entier qui est en danger. Les renards préfèrent les poulailler et c'est pas pour rien. C'est mieux quand c'est groupé. Au premier trou, toutes les boitent hébergée portent plainte.
Pas sur de ce a quoi tu penses.
Encore une fois, je parle de vms.
Si pour assurer la QoS d'un client à 99% il faut avoir 20% de marge de CPU/réseau, le client seul devrait avoir ces 20% de marge ; Si ces 20% ne sont effectivement utilisés que sur 1% du temps, la marge peut être prise sur celle d'autres clients qui ne sera pas non plus utilisée à plus de 1% du temps. En bref, l'accroissement des marges de sécurité est non linéaire avec le besoin. Quitte à avoir des algos de répartition de charge prenant en compte les contraintes financières (pénalités) pour le rare cas où trop de vms dépassent les quotas.
Question délais tout dépend. Y'a jamais rien de gagné sur ce terrain. Merci Murphy. La flexibilité d'un grand système est parfaitement possible et simplement. Les Load-balancer sont la pour ca. Ca fait belle lurette que les grandes entreprise en ont par besoin mais ne savent pas s'en servir car il ont mis un tocard estampillé "Windows" au SII. F5 en fait des très bien et complet. Enfin je veux dire. C'est bête d'acheter des choses a l'extérieur alors qu'en quelques clics (en plus des clics tellement c'est noob-proof) tu peux déjà le faire.
Bon là je suis d'accord, les load balancers sont nécessaires. Mais M$ research en fait aussi ! (je suppose que tu parles de load balancers logiciels avec redirection des requêtes et spawn/shutdown de vm au dépassement d'un certain seuil de charge)
Cela dit, tu peux avoir un besoin de matériel trop important pour être pris en compte par les prévisions. Alors que ce risque est réduit dans les datancenters externes, par justement la mutualisation des machines.
Et je parle de besoins physiques : Si tes applis demandent par exemple un NAS pour gérer la reprise de vms sur erreurs via des snapshots réguliers (si crash de vm, on recharge la dernière image du NAS et on repart ), tu peux te retrouver avec un manque de serveurs NAS.
C'est encore un cout qui se répercute sur le client. Le moindre électron sera plus fortement facturé que si tu le paye directement a EDF (correctement négocié bien entendu). A la rigueur la petite boite y trouveraient un intérêt mais celles qui ont besoin d'infrastructure de grand systèmes; pas vraiment. Et la encore la petite boite ca doit être la petite boite qui peut se payer le réseau pour aller a ce data center. Pas toujours possible.
INpactien
Parce que c'est une nuance 1337 uNd3rGr0uNdZ qui n'est comprise que par ceux qu'elle concerne... ?
Une "Nuance" , c'est bien plus que ça tout de même .
Et je pense qu'un site spécialisée comme pc inpact devrait faire cette disinction ou mieux même l'expliquer.
tout comme la distinction entre piratage informatique et téléchargement illégal.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable jusqu'au 20 mai -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable jusqu'au 20 mai
