Pourquoi faut-il s'inquiéter du cloud squatting

La plupart des problèmes de sécurité constatés dans le cloud sont souvent la conséquence d’un acte commis malencontreusement par une personne. Désolé d'être aussi direct, mais les pirates sont rarement ingénieux. Il faut plutôt regarder du côté de la mauvaise configuration des ressources cloud, comme le stockage et les bases de données, qui créent des vulnérabilités faciles à éviter. Pour s'en préserver, la formation constitue la vraie première ligne de défense, pas les outils de sécurité sophistiqués. Ce point est souvent ignoré, étant donné que les budgets sont consacrés à l’achat de nouveaux outils plutôt qu'à former les administrateurs pour éviter les erreurs. Tout cela est très contrariant au regard de l'investissement nécessaire par rapport à la valeur ajoutée attendue.

Même si le cloud squatting est présenté comme une nouvelle menace, cela fait en fait plusieurs années que son existence est connue. Mais ce qui a changé, c'est que de plus en plus d’actifs sont déplacés dans le cloud public et que de plus en plus de gens doivent s’en occuper, si bien que les vulnérabilités montent d'un cran et que les acteurs malveillants parviennent mieux à les exploiter. Le principal problème, c'est que souvent, les suppressions d'actifs dans le cloud ne donnent pas lieu également à celles des enregistrements associés, ce qui peut créer des risques de sécurité pour les sous-domaines. Or, le fait de ne pas éliminer aussi les enregistrements permet aux attaquants de les exploiter en créant des sites de phishing ou contenant des malwares. Voici donc ce que l’on appelle le cloud squatting. En général, les ressources sont provisionnées et désallouées de manière programmatique. Si l'allocation d'actifs comme les serveurs virtuels et l'espace de stockage est rapide et ne demande généralement que quelques secondes, ce n'est pas le cas de la désallocation qui est plus complexe. Et c'est là que les problèmes surviennent : plusieurs enregistrements pointant vers des ressources cloud temporaires pour différentes applications et outils sont créés, sauf qu'ensuite, les entreprises ne parviennent pas à supprimer les ressources cloud et les enregistrements associés.

Des moyens pour atténuer le cloud squatting

Identifier et corriger le risque du cloud squatting est un défi pour les grandes entreprises qui possèdent un grand nombre de domaines. De plus, les équipes chargées des infrastructures ont des niveaux de formation variables, et quand l’équipe d'administration de la sécurité comporte plus de 100 personnes ou plus, le problème peut alors se reproduire plusieurs fois par mois. Mais il est possible de l'éviter. Pour limiter ce risque, les équipes de sécurité doivent ainsi concevoir des outils internes pour passer au peigne fin les domaines de l'entreprise et identifier les sous-domaines qui pointent vers les plages IP des fournisseurs de services cloud. Ces outils vérifient la validité des enregistrements IP attribués aux actifs de l'entreprise. Ces enregistrements sont attribués automatiquement par les fournisseurs de services cloud. Pour ma part, je suis toujours inquiet quand les entreprises créent et déploient leurs propres outils de sécurité, car elles risquent d’y introduire une vulnérabilité.

L'atténuation du cloud squatting ne se limite pas à la création de nouveaux outils. Les entreprises peuvent également utiliser des adresses IP réservées. Cela signifie qu'elles doivent transférer leurs propres adresses IP dans le cloud, puis maintenir et supprimer les enregistrements obsolètes et utiliser les noms DNS de manière systématique. L'idée est d’empêcher l’exploitation des anciens enregistrements non supprimés. Cela vous parait quelque peu complexe ? Ce n'est pas vraiment le cas dans la réalité, sachant qu'il faut aussi que l’entreprise applique une politique de blocage du code en dur des adresses IP et l'utilisation d'adresses IPv6 réservées pour peu qu'elles sont proposées par le fournisseur de services cloud.

Une menace connue mais grandissante

Alors comment traiter les risques liés au cloud squatting ? D’abord délimiter la surface d'attaque en mettant en œuvre les stratégies d'atténuation susmentionnées. Ensuite appliquer des politiques d'utilisation des noms DNS et maintenir régulièrement des enregistrements pour que la gestion soit efficace. Cela peut paraître peu contraignant à juste titre.

Cependant, deux phénomènes constatés ont fait du cloud squatting une menace grandissante. A savoir d'abord l'expansion rapide des déploiements dans les clouds pendant la pandémie. Durant cette période, des quantités massives de données ont été poussées dans les clouds. Des domaines ont été alloués pour trouver ces données sans trop réfléchir à leur suppression une fois qu’ils sont devenus inutiles. Or ce point est souvent omis dans les manuels de déploiement. Quand on interpelle les gens à ce sujet, ils répondent généralement qu’ils « n’ont pas eu le temps d'y penser ». Il y a également la pénurie de talents à laquelle les entreprises sont confrontées en ce moment.

La plupart de ces problèmes peuvent être attribués à une formation inadéquate ou à l'embauche d'administrateurs cloud pour maintenir ce type d'infrastructures, sans plus. Si les certifications constituent un gage important pour ce type d'emploi, il ne faut pas pour autant négliger l'expérience acquise des candidats à l'embauche dans ce secteur qui doit être tout autant regardée avec attention par les recruteurs. Cela laisse donc à penser que la plupart des entreprises devront se confronter au mur de la réalité pour en mesurer tous les impacts au risque de rentrer complètement dedans.