La sécurisation des clouds publics est loin d'être un long fleuve tranquille. Alors que les fournisseurs mettent les bouchées doubles pour proposer des mécanismes de chiffrement et d'authentification de plus en plus évolués, les services et outils des entreprises qui s'y connectent via des API constituent un vecteur sous estimé et pourtant très critique en termes de cybersécurité. C'est ce que les chercheurs Igal Gofman et Yaron Shani du cabinet israélien XM Cyber, spécialisé dans les simulations d'attaques informatiques (pen test), vont mettre en avant lors d'une session présentée lors du prochain événement Blackhat Europe 2019 de Londres (2-5 décembre).

Le point de départ de cette recherche est parti d'un constat que les principaux mécanismes mis en place pour se préserver des cybermenaces affectant les services cloud concernaient avant tout des moyens de protection contre les attaques par force brute mise en œuvre pour casser les mots de passe ou bien l'analyse comportementale des activités des utilisateurs via de l'apprentissage machine. « Le chaînon manquant dans cette approche est que ces mécanismes sont généralement de nature défensive et généralement non prédictifs », ont expliqué Igal Gofman et Yaron Shani à notre confrère Dark Reading. « Les protections traditionnelles se concentrent principalement sur la défense du réseau, des applications et du système d'exploitation ».

Des attaques pas nécessairement sophistiquées pour tirer parti des API du cloud public

Dans leur analyse, les chercheurs de XM Cyber pointent du doigt l'opportunité pour les attaquants d'utiliser un vecteur d'attaque encore largement sous estimé, à savoir la compromission des accès à privilèges de comptes utilisateurs via des API de logiciels ou de services connectés à des ressources cloud public. Cela concerne particulièrement les développeurs et les équipes DevOps ayant accès à ces API via différents kits de développement ou leurs outils de lignes de commandes dédiés. « Une fois que ces informations d'identification sont compromises, l'accès aux ressources de grande valeur est une tâche triviale [...] Les attaques n'ont pas besoin d'être sophistiquées pour tirer parti des API du cloud public », ont prévenu les chercheurs.