Sécurité du cloud : Google dresse un état des lieux

Google Cloud rapport sécurité minage

Le détournement de ressources cloud, par quels moyens et à quelles fins ? Un rapport de Google donne des éléments de réponse.

Supercalculateurs, clusters Kubernetes, conteneurs Redis… Autant de ressources cloud dont on a pu constater, par le passé, le détournement pour du minage de cryptomonnaies.

Un rapport signé Google met cette tendance en chiffres. Il émane de sa « Cybersecurity Action Team », équipe mondiale de conseil en sécurité officiellement constituée en octobre à l’occasion de la Next’21.

Base d’analyse : 50 instances « récemment compromises ». La majorité (43) l’ont été à des fins de minage. Voire plus. En l’occurrence, héberger des malwares (6 % de l’ensemble des instances) ou attaquer d’autres cibles (8 %).

Sur plus de la moitié (58 %) des instances détournées pour minage, la charge malveillante a été téléchargée en moins de 22 secondes. Sur l’ensemble de la base analysée, 40 % ont été compromises moins de 8 heures après leur déploiement.

Quels défauts de sécurité présentaient ces instances ? Dans 48 % des cas, Google a constaté un mot de passe faible sur un compte utilisateur ou l’absence d’authentification API. Autres problèmes : les failles dans des logiciels tiers (26 %), de mauvaises configurations (12 %) et la fuite d’identifiants (4 %), notamment des clés sur GitHub.

La sécurité… à quel prix ?

Google profite de l’occasion pour mettre en avant des outils intégrés à son IaaS. Comme Web Security Scanner (disponible pour les niveaux Premium et Standard de Security Command Center) et Container Analysis (payant, à raison de 0,26 $ par image scannée). Et mentionner divers services, dont Assured Workloads. Récemment ouvert en Europe (phase expérimentale), il complète le contrat d’assistance premium pour aider à la conformité des charges de travail.

Le rapport fait aussi état d’une campagne de phishing qui a visé quelque 12 000 comptes Gmail en septembre. À la baguette, le collectif APT28 (alias Fancy Bear), dit affilié à l’État russe. Le levier : une page web qui invitait les utilisateurs à se reconnecter à leur compte Google. Les polices de caractères, notamment, trahissaient la supercherie. Les attaquants avaient en l’occurrence réutilisé une « boîte à outils » déjà employée dans une campagne similaire sur la messagerie Yahoo. À la clé, quelques éléments « hérités », dont du CSS.

Photo d’illustration © ZinetroN – Adobe Stock