Le cloud public, un nid à sites malveillants ?

Le cloud public, peu adapté à l’hébergement de sites malveillants ? Oui et non, d’après Palo Alto Networks.

Le groupe américain aborde la question dans le compte rendu d’une analyse qu’il a menée du 29 mars au 26 avril derniers.

Cette analyse a porté sur 1,2 million de noms de domaines nouvellement enregistrés et contenant des mots-clés liés à la pandémie de coronavirus.

La démarche se fonde sur un jeu de données mis à disposition par la société RiskIQ. Six mots-clés en langue anglaise y sont pris en considération : coronav, covid, ncov, pandemic, vaccine et virus.

Sur ces 1,2 million de domaines, Palo Alto Networks en a classé 86 607 (environ 7,2 %) comme « malveillants » ou « à risque ». Plus des trois quarts servent principalement à diffuser des malwares.

Un CDN, ça trompe énormément ?

La proportion de domaines malveillants ou à risque descend à 5 % parmi les 56 212 hébergés dans le cloud public. Raisons avancées : des prix plus élevés et une surveillance plus rigoureuse de la part des fournisseurs.

Palo Alto Networks s’en est tenu à quatre plates-formes :

• AWS (70,1 % de l’ensemble des domaines ; 72,9 % des malveillants)
• GCP (respectivement 24,6 % et 14,6 %)
• Azure (5,3 % et 5,9 %)
• Alibaba Cloud (moins de 0,1 % et 0,3 %)

Certains domaines hébergés en cloud public sont liés à plusieurs IP et vice versa.

La première situation se présente essentiellement dans le cadre de CDN*.
La seconde est souvent liée à des systèmes redondants d’hôtes qui servent le même contenu.

L’une et l’autre rendent difficile le blocage des domaines malveillants sur la base de leurs IP. Et Palo Alto Networks de recommander le passage à un pare-feu au niveau de la couche d’application.

* Dans les données étudiées figure une IP associée à la fois à quelque 150 domaines malveillants ou à risque et à plus de 2 000 domaines « bénins ».

Illustration principale © Semistach- Shutterstock.com