MISC N°
Numéro
60

Cloud Computing et sécurité : une difficile cohabitation ?

Temporalité
Mars/Avril 2012
Article mis en avant

Dans ce numéro...


Cet article revient sur la vulnérabilité Xorg publiée fin 2011 sous l'identifiant CVE-2011-4029. Cette dernière exploite une condition de concurrence (en anglais « race condition ») qui permet à un utilisateur local de positionner les droits en lecture sur n'importe quel fichier du système. L'exploitation s'appuie sur la façon maladroite dont le serveur X manipule des fichiers temporaires.
Depuis 2009, le « mouvement » NoSQL est apparu afin de s'écarter du modèle relationnel des bases de données traditionnelles. Le terme NoSQL pour « Not Only SQL » représente bien cet état d'esprit. Nombreux de ses défenseurs affirment que les bases de données de type NoSQL sont plus sûres que les bases de données relationnelles. Typiquement, l'argument mis en avant est l'absence d'injection SQL sur ce type de bases. Bien que cet argument ne soit pas totalement faux, nous verrons dans cet article les différentes attaques possibles sur ce type de bases et qu'il reste du chemin à parcourir afin d'élever le niveau de sécurité des bases NoSQL.
Les malwares modernes sont en constante évolution. Parmi ces malwares, la catégorie la plus distribuée actuellement est celle des chevaux de Troie (également appelés « troyens » ou « trojans »), qui constituent probablement le plus grand risque pour les internautes. Ces malwares ont pour but de dérober certaines informations sur un système qu’ils ont infecté. Ils peuvent être utilisés pour obtenir des documents sensibles et/ou confidentiels d’entreprises, mais également pour dérober diverses informations sur des ordinateurs d’internautes lambda. Les chevaux de Troie évoluent en termes de technicité pour poursuivre leur but : infecter le système quelle que soit sa configuration, obtenir l’information recherchée, et se maintenir si nécessaire sur le système, le plus longtemps possible.
Poussées par la promesse de gains financiers importants, de plus en plus d'entreprises envisagent d'avoir recours à des services de Cloud Computing, mais sans avoir nécessairement conscience que cette transition nécessite de repenser l'ensemble de la sécurité des traitements informatiques de l'entreprise.
« Left my data in El Dropbox, I gotta get, I got-got ta get it » A Tribe Called Quest (Dropbox remix) Dropbox est un service emblématique du « Cloud ». Nous vous proposons de partir à sa découverte en nous penchant sur l'entreprise éponyme avant d'évoquer deux incidents de sécurité majeurs dont elle et ses clients furent victimes. Enfin, nous allons nous intéresser aux coulisses du service.
Pourquoi le réseau joue-t-il un rôle fondamental pour le cloud (« l’informatique dans les nuages ») ? Sans réseau, pas de cloud. Sans une certaine qualité de service, une expérience utilisateur variable et potentiellement médiocre. Sans sécurité réseau, une disponibilité aléatoire. Pour beaucoup d’utilisateurs, le réseau ne devient un point critique que lorsque celui-ci ne se comporte pas « comme d’habitude ». Peu de métriques, que ce soit de performances, de sécurité ou encore d’évolution du réseau sont définies, mesurées et encore moins activement supervisées. Le réseau est bien trop souvent relégué et comparé à un élément d’infrastructure « de base », comme l’eau et l’électricité : vital, mais ca reste « juste un tuyau ». Et s’il est assez « gros », entendons par là au niveau de la bande passante (pour beaucoup de personnes, c’est tout ce qui compte), tout va bien.
« Hey! You! Get off of my cloud, don't hang around 'cause two's a crowd, on my cloud » (Rolling Stones) Deux secteurs innovent ou adoptent précocement les nouvelles technologies Internet : l'industrie pornographique légale et le cybercrime. Le Cloud Computing n'échappe pas à cette règle non écrite. Nous verrons dans cet article comment et pourquoi les cybercriminels se sont rués vers le nuage.
Entrés dans le domaine de la sécurité SI par le « cassage » des hashs de mots de passe, quels sont aujourd'hui les apports du GPGPU en SSI ? Tour d'horizon des applications possibles et exemple pratique par l'implémentation d'une fonction de hachage cryptographique sur GPU.
Canyoucrackit.co.uk est un challenge de sécurité qui a su faire parler de lui. Derrière ce défi se cache une campagne de recrutement d'un nouveau genre lancée par les services secrets britanniques. Ces derniers promettaient en effet un poste à ceux capables de résoudre leur énigme. Après une analyse du phénomène canyoucrackit, nous proposerons une solution détaillée de ce challenge.
La plupart des entreprises garantissent la disponibilité de leurs serveurs web vis-à-vis d’Internet. Mais qu’en est-il de la disponibilité de leurs accès à Internet et l’éventuelle fuite de données confidentielles via les accès de leurs propres employés ? C’est ce qui va être traité dans cet article.
Au milieu du mois de février 2011 éclatent en Libye des manifestations qui dégénèrent rapidement en révolte. En Tunisie et en Égypte, les deux pays voisins, les populations se sont soulevées et ont chassé leurs dirigeants. Le cyberespace a, dit-on, joué un rôle majeur dans le succès des révoltes populaires : on parle des révolutions Facebook. Mais le contexte libyen est différent : la population est moins « connectée » qu’en Tunisie ou en Égypte (§I) ; le régime est décidé à tenir sa place, les rebelles à combattre, la violence qui se déchaîne transforme la révolte en guerre civile ; la communauté internationale intervient ; les armes parlent. Le cyberespace n’en demeure pas moins central dans le conflit (§II), devenant un lieu d’affrontement et un objet de lutte entre partisans et adversaires du régime du colonel Kadhafi. L’après-Kadhafi sera le temps des bilans, mais aussi des révélations (§III).

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Surveillez la consommation énergétique de votre code

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Donnez une autre dimension à vos logs avec Vector

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Body