Le cloud squatting vient s’ajouter à la longue liste des menaces qui planent sur les entreprises, avec à la clé des rsques d’accès par des pirate à des données présentes sur un cloud public. Des solutions existent cependant pour s’en préserver.
La plupart des problèmes de sécurité constatés dans le cloud sont souvent la conséquence d’un acte commis malencontreusement par une personne. Désolé d’être aussi direct, mais les pirates sont rarement ingénieux. Il faut plutôt regarder du côté de la mauvaise configuration des ressources cloud, comme le stockage et les bases de données, qui créent des vulnérabilités faciles à éviter. Pour s’en préserver, la formation constitue la vraie première ligne de défense et non pas les outils de sécurité sophistiqués. Ce point est souvent ignoré, étant donné que les budgets sont consacrés à l’achat de nouveaux outils plutôt qu’à former les administrateurs à éviter les erreurs. C’est très contrariant, si l’on considère l’investissement nécessaire par rapport à la valeur ajoutée.
Même si le cloud squatting est présenté comme une nouvelle menace, cela fait plusieurs années que son existence est connue. Ce qui a changé, c’est que de plus en plus d’actifs sont déplacés dans le cloud public et que de plus en plus de gens doivent s’en occuper, si bien que la vulnérabilité regagne de l’intérêt. Peut-être que les acteurs malveillants parviennent mieux à l’exploiter. Le principal problème, c’est que souvent, les suppressions d’actifs dans le cloud ne donnent pas lieu également à celles des enregistrements associés, ce qui peut créer des risques de sécurité pour les sous-domaines. Or, le fait de ne pas éliminer aussi les enregistrements permet aux attaquants d’exploiter les sous-domaines en créant des sites de phishing ou de logiciels malveillants non autorisés. Voici donc ce que l’on appelle le cloud squatting. En général, les ressources sont provisionnées et désallouées de manière programmatique. L’allocation d’actifs comme les serveurs virtuels et l’espace de stockage est rapide et ne demande généralement que quelques secondes. Mais la désallocation est plus complexe, et c’est là que les problèmes surviennent. Plusieurs enregistrements pointant vers des ressources cloud temporaires pour différentes applications et outils sont créés. Sauf qu’ensuite, les entreprises ne parviennent pas à supprimer les ressources cloud et les enregistrements associés.
Des moyens pour atténuer le cloud squatting
Identifier et corriger le risque du cloud squatting est un défi pour les grandes entreprises qui possèdent un grand nombre de domaines. De plus, les équipes d’infrastructure globales ont des niveaux de formation variables, et quand l’équipe d’administration de la sécurité comporte plus de 100 personnes ou plus, le problème se reproduit plusieurs fois par mois. Mais il est possible de l’éviter. Pour limiter ce risque, les équipes de sécurité conçoivent des outils internes pour passer au peigne fin les domaines de l’entreprise et identifier les sous-domaines qui pointent vers les plages IP des fournisseurs de services cloud. Ces outils vérifient la validité des enregistrements IP attribués aux actifs de l’entreprise. Ces enregistrements sont attribués automatiquement par les fournisseurs de services cloud. Pour ma part, je suis toujours inquiet quand les entreprises créent et déploient leurs propres outils de sécurité, car elles risquent d’y introduire une vulnérabilité.
L’atténuation du cloud squatting ne se limite pas à la création de nouveaux outils. Les entreprises peuvent également utiliser des adresses IP réservées. Cela signifie qu’elles doivent transférer leurs propres adresses IP dans le cloud, puis maintenir et supprimer les enregistrements obsolètes et utiliser les noms DNS de manière systématique. Ce n’est pas grave, si l’on n’est pas spécialiste des réseaux et si l’on ne connait pas les DNS de ses IRS. L’idée est d’empêcher l’exploitation des anciens enregistrements non supprimés. Quoi qu’il en soit, le processus n’est pas complexe. Il faut aussi que l’entreprise applique une politique qui bloque le codage en dur des adresses IP et l’utilisation d’adresses IPv6 réservées pour peu qu’elles sont proposées par le fournisseur de services cloud.
Une menace connue mais grandissante
Ce risque peut être traité en deux étapes : d’abord, délimiter la surface d’attaque en mettant en œuvre les stratégies d’atténuation susmentionnées. Ensuite, appliquer des politiques d’utilisation des noms DNS et maintenir régulièrement des enregistrements pour que la gestion soit efficace. Cela peut paraître peu contraignant à juste titre. Cependant, deux phénomènes constatés actuellement font que le cloud squatting devient de plus en plus une menace. Il s‘agit de l’expansion rapide des déploiements dans les clouds pendant la pandémie. Durant cette période, des quantités massives de données ont été poussées dans les clouds. Des domaines ont été alloués pour trouver ces données sans trop réfléchir à la suppression de ces domaines une fois qu’ils sont devenus inutiles. Or ce point est souvent omis dans les manuels de déploiement. Quand on interpelle les gens à ce sujet, ils répondent généralement qu’ils « n’ont pas eu le temps d’y penser ». Il y a aussi la pénurie de talents à laquelle les entreprises sont confrontées en ce moment. La plupart de ces problèmes peuvent être attribués à une formation inadéquate ou à l’embauche d’administrateurs de clouds de niveau inférieur pour maintenir les choses en l’état. Souvent, les certifications permettent d’obtenir un emploi, alors que l’expérience réelle est plus importante. Cela laisse donc à penser que la plupart des entreprises devront se confronter au problème de manière pratique pour en comprendre l’impact. Et bien souvent plus tôt qu’il n’y parait.