Les utilisateurs du cloud se mettent eux-mêmes en danger

L’essor d’une technologie amène généralement aussi son lot de dangers quand il y a un manque de maîtrise technique. Il en va de même avec le cloud public, selon une étude effectuée par le centre de recherche Cased de Darmstadt. En analysant les contenus web de clients d’Amazon Web Services (AWS), les chercheurs de l’institut ont fait des constatations alarmantes. Dans au moins un tiers des cas, la configuration était erronée, ce qui a permis aux analystes d’accéder sans trop de problèmes à des données sensibles telles que des mots de passe, des clés de cryptage et des certificats.

A l’aide de ces informations, des pirates seraient en mesure de mettre sur pied des infrastructures criminelles virtuelles, manipuler des services web ou encore désinstaller des programmes informatiques sécurisés à l’image de Secure Shell (SSH). Ceci malgré les nombreuses recommandations de sécurité d’AWS sur son site, comme les chercheurs l’écrivent dans un communiqué. Pour leur étude, ils se sont basés sur l’analyse de failles potentielles de quelque 1100 machines virtuelles du service du groupe de commerce électronique américain.

«Le problème réside clairement du côté des clients et non chez Amazon Web Services», a expliqué le professeur Sadeghi de la Ruhr-Universität à Bochum en commentant les conclusions de l’enquête. Il en a déduit que les utilisateurs d’offres cloud d’autres prestataires devaient faire face aux mêmes dangers de par leur ignorance et négligence. En accord avec l’équipe sécurité d’AWS, les clients concernés par des failles ont été avisés, précise Cased.