Virtualisation et Cloud, c'est tendance !

La tendance actuelle du numérique est à la dématérialisation, que ce soit par la virtualisation des systèmes et des services ou par la généralisation des offres dites "cloud". Cette tendance tend à offrir au plus grand nombre un accès et une facilité d'utilisation sans précédents; elle présente également un certain nombre d'enjeux sécuritaires dont la compréhension commence par la sensibilisation de chacun.

NDLR: L'objectif de cet article n'est pas de détailler exhaustivement les technologies qui y sont abordées, mais bien de mettre l'accent sur les aspects qui ont un intérêt direct ou indirect avec la cybersécurité.

La virtualisation

La virtualisation est un ensemble de technologies visant à simuler ou émuler des systèmes informatiques, voire des centres de données (datacenters) ou des réseaux complets. Au début des années 2000, les premiers émulateurs se contentaient de reproduire le comportement de systèmes simples ou embarqués, type consoles de jeux, microcontrôleurs, etc. Puis des solutions commerciales ou open-source ont permis la virtualisation complète d'ordinateurs de bureau et de serveurs, opérant sous des systèmes d'exploitation courants, au sein de machines dites "virtuelles": il est ainsi devenu possible de déployer des postes de travail à la demande, de créer des systèmes de tests (type sandbox) cloisonnés de la machine hôte, d’utiliser des environnements éphémères qui ne craignent plus d'être infectés par des malwares.
Depuis quelques années, les techniques de virtualisation ont atteint leur maturité notamment grâce aux progrès réalisés sur le matériel informatique: les fonctions requises par la virtualisation ont été déportées au plus bas niveaux du système hôte (noyau, hyperviseur de type 1) voir sur le processeur lui-même. Il en résulte une optimisation des ressources matérielles et un surcoût moindre pour le système hôte, progrès qui rendent la virtualisation apte à supporter des applications beaucoup plus spécifiques et pointues: stockage, calcul, infrastructure, serveurs, bases de données, réseau, etc.

Même si la virtualisation n'est pas à proprement parler un sujet de cybersécurité, elle y est fortement liée et reste très prisée par les professionnels:

• Un système virtuel est par essence distinct et cloisonné du système hôte, il peut être plus facilement contrôlé, analysé ou modifié. On peut y réaliser des projets ou des analyses de malware sans craindre d'exposer d'autres systèmes, à la manière d'un bac à sable ("sandbox").
• Un système virtuel peut être éphémère, c'est-à-dire qu'il peut être créé sur la base d'une configuration ou image initiale, statique, ré-utilisable. Une fois en exécution, toute modification volontaire ou involontaire, toute infection ou toute compromission pourra être confinée et immédiatement annulée par une simple ré-initialisation vers l'état initial. Pour peu que l'architecture globale ait été pensée intelligemment, aucune donnée ni système important ne sera affecté.
• Un système virtuel peut simuler à peu près tout ce que l'on veut. Cela s’avère très utile dans le cadre des honeypots, ces systèmes volontairement vulnérables destinés à appâter les pirates. Il est possible de créer des machines virtuelles spécifiques visant à simuler un serveur web non patché, un serveur DNS ou mail...

Pour finir, la virtualisation a facilité l'émergence et l'adoption du Cloud, le deuxième thème de cet article, en fournissant des techniques d'abstraction concrètes et industrialisables.

Le cloud

Le Cloud ou "nuage" en Français est un concept large décrivant des services proposés en totale abstraction des ressources physiques sur lesquelles ils reposent (sans notion de localisation, matériel ou infrastructure, sur Internet ou sur des réseaux privés): la ressource informatique est devenue un bien de consommation courante, tout comme l'encre de l'imprimante, l'essence de la voiture, etc. Bien évidemment ces ressources existent toujours, mais elles ne sont à présent plus visibles pour l'utilisateur, mutualisées et regroupées dans des "datacenters", connectées aux nœuds d'Internet, souvent gérées et orchestrées par des solutions de virtualisation.
On distinguera 3 types de déploiements courants pour les services du Cloud:

• le Cloud public est hébergé et accessible via Internet; il s'adresse tant aux professionnels qu'au grand public.
• le Cloud privé est hébergé sur réseaux privés (WAN principalement) et accédé par une seule entreprise.
• le Cloud hybride est une combinaison des 2 précédents, associant la diversité des services hébergés par le Cloud public avec des services spécifiques, hébergés via le Cloud privé.

Ces architectures offrent des garanties diverses sur la qualité des services proposés mais aussi sur le niveau de protection des données qui y sont stockées. Si le cloud privé permet de maintenir un certain contrôle, il est cependant hors de portée du grand public. A l'inverse, le cloud public est accessible à tous mais n'offre que peu de garanties, souvent démenties par l'actualité. Enfin, le cloud hybride promet le meilleur des 2 mondes mais reste en pratique complexe à mettre en œuvre et difficile à évaluer d'un point de vue sécuritaire - on assiste d'ailleurs à l'émergence de nouveaux acteurs, intermédiaires spécialisés dans l'intégration ou la sécurisation d'offres cloud multiples ("cloud brokers").
En bref, le Cloud est perçu par certains comme un phénomène de mode offrant plus de désavantages que de bénéfices, notamment à long terme. Cependant, force est de constater qu'il est aujourd'hui un composant incontournable de notre écosystème numérique, que ce soit de manière visible (services, marketing autour du Cloud) mais également à l'insu des organisations ou des utilisateurs: c'est ce que l'on désigne parfois comme "shadow IT", voir plus bas. Il est donc crucial de comprendre les enjeux et de prendre en compte les risques associés à cette évolution.

Enjeux et risques

Le Cloud introduit une rupture avec nombre des paradigmes couramment acceptés dans la cybersécurité traditionnelle; il apporte également son lot de vulnérabilités propres, comme abordé ci-dessous.

• La première rupture, évidente, concerne le principe de défense périmétrique. Ce principe consiste à cloisonner les ressources privées (réseaux, serveurs, applications, données, utilisateurs) en déployant une ou plusieurs lignes de défense périmétriques autour de ces ressources, afin de les protéger des menaces provenant d'Internet ou des autres réseaux interconnectés tels que WAN, extranets... Pour ne citer que les principales techniques habituellement utilisées, on mentionnera le filtrage de flux réseaux au moyen de pare-feux, le cloisonnement des accès via des zones démilitarisées, l'analyse des échanges de données de manière réactive ou proactive par des sondes, la centralisation et le nettoyage des flux de données provenant du web grâce à des proxies... A l'opposé, les services dans le Cloud sont par nature délocalisés, en particulier pour le Cloud public ou hybride, ce qui rend la notion de périmètre floue: les données peuvent facilement transiter hors du périmètre privé sans que les systèmes de protection ne soient activés et des services entiers peuvent être externalisés. La défense périmétrique traditionnelle est devenue insuffisante car elle ne peut plus prendre en compte toute la complexité apportée par le Cloud.
  
  
• La deuxième rupture concerne un paradigme bien connu des professionnels: la sécurité d'un système ne peut excéder la sécurité de son composant le plus faible, c'est-à-dire la fameuse notion de "chaîne sécuritaire" et de maillon faible. Pour illustrer cela, le meilleur système de chiffrement ne vaut rien si l'utilisateur écrit la clé secrète sur un post-it collé à son écran ou sous son clavier... Idem pour le meilleur système de paiement par carte bancaire si le client utilise 1234 comme code PIN. Et de la même manière, un mécanisme de signature électronique ne sera pas fiable s'il utilise toujours des algorithmes de hachage type MD5 ou plus récemment SHA-1, car ceux-ci ne garantissent plus l'unicité des données signées (collisions). Le Cloud rend la notion de périmètre floue, il ôte ainsi la garantie d'un contrôle de la chaîne sécuritaire de bout en bout: hors périmètre, il devient difficile voire impossible de connaître très précisément les conditions de traitement, de transfert ou de stockage des données. Comment garantir que des données privées ou des données bancaires vont être protégées avec le niveau requis par les réglementations ou les politiques de sécurité? Comment obtenir la certitude que des services externalisés vont offrir le même niveau de protection que les services traditionnels (antivirus, anti-malware, inspection SSL pour les services type proxy dans le Cloud)? Comment être sûr que des données privées ne vont pas être utilisées à des fins commerciales (lisez-vous les CGU avant de souscrire à un service) ?
  
  
• Si le contrôle de la chaîne sécuritaire reste une préoccupation spécifique, qu'en est-il du contrôle global des opérations? C'est là qu'apparaissent des aspects plus insidieux du Cloud. Celui-ci est tellement répandu dans nos activités courantes qu'il en devient invisible: c'est l'exemple d'une suite bureautique gratuite dans le Cloud qui vous propose un tableur en quelques secondes, d'un convertisseur de documents PDF qui génère un document en 2 clics, d'un espace de stockage dans le Cloud qui permet de transférer ou d'échanger des documents facilement... Toutes ces activités, que l'on regroupe sous le terme de "Shadow IT", ne sont pas sans risques. Comment les données sont-elles protégées? Comment savoir si elles sont bien effacées après utilisation? Quelles failles ces services introduisent-ils? Qu'en est-il des réglementations applicables à ces données? Quels contrats commerciaux régissent ces usages?
  
  
• Autre sujet important, la protection des données confidentielles est un thème sensible car elle touche à la sphère privée. Malheureusement, nos données privées représentent une cible de très grande valeur pour de multiples acteurs et intérêts divers, parmi lesquels les plus connus:
  
  
  • les pirates, intéressés par nos données bancaires (piratage du réseau Playstation Sony) ou simplement par nos données confidentielles (ransomware Wannacra ou Petya, vols d'identité...)
    
    
  • les gouvernements, motivés par la lutte anti-terroriste et intéressés par nos données personnelles, notre comportement, notre opinion, notre profil et notre activité sur les réseaux sociaux (profilage et identification de menaces, suivi de groupes terroristes, écoutes...)
    
    
  • les sociétés commerciales, intéressés par notre profil, notre comportement, nos habitudes de consommation. Un exemple simple illustre ce dernier point: qui n'a pas croisé sur les réseaux sociaux certains messages postés par des utilisateurs déclarant refuser le droit à un site d'utiliser tout ou partie de leurs données personnelles, en vertu d'une loi X ou Y?. Si l'intention est louable, l'effet d'une telle déclaration est nul car la simple utilisation du service (et donc l'acceptation des CGUs) donne au fournisseur un droit quasi-intégral sur les données de l'utilisateur. Prenons un exemple concret, celui de Facebook. La simple utilisation du réseau social donne à Facebook les droits suivants :
    
    
    • le droit de collecter ce que fait ou ce que dit l'utilisateur
    • le droit de collecter ce que font ou ce que disent les autres utilisateurs à son sujet
    • le droit de collecter les connexions sociales et le réseau de l'utilisateur
    • le droit de collecter les informations concernant les achats de l'utilisateur
    • le droit de collecter des informations sur les équipements utilisés pour se connecter, localisation incluse
    • le droit de collecter des informations sur les sites visités via Facebook
    • le droit de collecter des informations de sites partenaires visités par l'utilisateur
    • le droit de collecter et d'échanger des informations avec les autres sites du groupe (Instagram, Whatsapp, etc)
  
  
  Face à la généralisation de telles pratiques, certains organismes internationaux (plus ou moins désintéressés) tentent de proposer des normes ou règles de bonne conduite, comme c'est le cas avec l'ISO/IEC 27018:2014 qui vient compléter l'ISO27001 avec des aspects spécifiques au Cloud et à la protection des données personnelles.



• Depuis quelques années déjà, les problèmes de sécurité liés au Cloud et aux fournisseurs de service sont nombreux. Que ce soient des services en haute disponibilité brusquement indisponibles pendant 4 jours (Amazon), des rapports alarmants concernant la protection des données sur les services de stockage (Dropbox), la perte ou l'absence de classification de données sur les services grand public (étude Elastica/Bluecoat), sans oublier les attaques traditionnelles sur les portails ou logiciels d'accès aux services (iCloud, Dropbox). Citons également le très inquiétant Cloudbleed (Cloudflare) ou comment un géant du Cloud a laissé les données de ses clients fuiter sur le réseau Internet. Sachant que ce géant gère du contenu pour ses clients mais aussi leurs flux web ou SSL...
  Les techniques de virtualisation ne sont pas épargnées, fragilisant ainsi le socle de nombreux services virtualisés -dans le Cloud ou non-. On citera les premières techniques d'évasion ou d'exécution de code sur le système hôte à partir d'un système invité (rupture de cloisonnement, BlackHat'09) ou les nombreuses faiblesses remontées sur OpenFlow dans le cadre du Software Defined Networking (SSTIC'15). La virtualisation introduit des composants logiciels supplémentaires, ce qui en toute logique augmente la surface d'attaque et le potentiel d'erreur ou de bug.
  Ces exemples illustrent la partie visible de la situation, il reste tout à fait envisageable que bon nombre de vulnérabilités restent indétectables à ce jour.

Règles d'hygiène

Comme abordé dans cet article, la virtualisation et le cloud sont des technologies omniprésentes dans notre vie quotidienne et il serait très difficile de s'en passer complètement, à moins d'adopter un mode de vie "déconnecté". Il est donc recommandé d'adopter des principes de base alliant vigilance et sécurité.

Que ce soit dit, le cloud ne garantit ni la confidentialité ni la propriété des données: ce que vous y stockez est susceptible d'être vu et utilisé par des tierces parties aux intérêts divers (voir les données confidentielles détaillées plus haut). Les vecteurs potentiels sont multiples: mauvaise gestion du contrôle d'accès, attaques informatiques sur les infrastructures cloud, contrats commerciaux des fournisseurs, etc.

Cette éventualité doit être considérée lorsque l'on utilise ces services et des mesures prises pour se protéger:

• ne pas stocker de documents confidentiels, anonymiser si possible
• ne pas ré-utiliser les mots de passe entre services
• garder le contrôle des accès (attention aux liens http permettant de partager des documents, préférer un contrôle d'accès nominatif)
• réfléchir avant d'autoriser des partages automatiques entre services, type synchronisation d'espace de stockage, carnets d'adresses (IFTTT, etc)
• préférer des comptes uniques plutôt que le "single sign-on" ou authentification automatique via des sites tiers (Google, Facebook ou autre)
• le corollaire étant que ces comptes uniques doivent être, eux aussi, bien gérés et protégés (pensez Keepass et autres logiciels éprouvés)
• ne pas hésiter à utiliser des logiciels de chiffrement en supplément avant de stocker des données

Conclusion

L'alliance des techniques de virtualisation avec les architectures dites cloud a pour effet de renforcer notre connexion permanente au monde numérique ainsi que notre consommation et notre dépendance envers les services en ligne. Cette "ultra-connectivité" est en progression constante du fait de l'apparition des objets dits intelligents: montres connectées, capteurs divers, véhicules, télévisions, réfrigérateurs, maisons etc. Cette tendance est en plein essor et va se généraliser dans les années à venir: ce sera l'ère du M2M (Machine to Machine, ou communications entre équipements intelligents) et de l'IoT (Internet of Things, ou connexion des objets de votre environnement au Cloud).
D'un point de vue marketing, tous ces progrès nous promettent une vie meilleure. Cependant, il est bien difficile de ne pas imaginer les pires scénarios dans un monde où nos données et services privés, personnels, environnementaux et professionnels seront dématérialisés, distribués et contrôlés par des géants du cloud dont les garanties ne nous ont pas impressionnées jusqu'à présent. Quelles seront les futures techniques de profilage et autres exploitations commerciales de nos données numériques? Quelles seront notre exposition et notre résilience face aux attaques informatiques ou aux attaques par déni de service (Dyn DDoS) qui nous voleront ou nous priveront d'une partie de nos alter-egos virtuels?

Tags

CYBERSÉCURITÉ VIRTUALISATION CLOUD VIE PRIVÉE

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...