Les services de sécurité du fournisseur ont analysé 50 instances récemment compromises de Google Cloud Platform. Les résultats sont désormais disponibles sous forme de rapport et permettent de tirer des conclusions sur la manière de réduire la surface d’attaque. Un constat important : les attaquants se préoccupent (encore) avant tout de l’argent. Les intrusions réussissent généralement en raison de la négligence des utilisateurs. Et le temps nécessaire à la réussite d’une attaque est très court.

Gagner de l’argent avec le crypto-minage

Sur 86 % des instances de cloud infiltrées, les cambrioleurs ont installé des logiciels de minage de crypto-monnaies. Sur d’autres instances, les analystes ont observé que les intrus faisaient apparaître des clips Youtube afin de faire grimper les compteurs d’affichage et d’obtenir des revenus et une portée plus importants.

Dans près de la moitié des cas, les pirates ont pu s’introduire dans les machines cloud en raison de la faiblesse ou de l’absence de mots de passe pour les comptes utilisateurs ou les API utilisés sans authentification. Plus d’un quart des intrusions ont eu lieu grâce à des failles de sécurité dans des logiciels tiers que les utilisateurs avaient eux-mêmes installés. Des erreurs de configuration dans l’instance cloud ou dans des logiciels tiers ont été à l’origine d’un autre huitième des cas.

Vite, vite !

Le délai le plus court observé entre la mise en ligne d’une instance et sa compromission était d’à peine 30 minutes. 40 % des systèmes analysés ont été pris en charge en moins de huit heures. Le domaine IP public est scanné en permanence à la recherche de services vulnérables, concluent les chercheurs en sécurité : la découverte d’une instance cloud vulnérable est une question de quand, pas de si.

Lorsqu’un système a été attaqué avec succès, l’installation des cryptomineurs a eu lieu en grande partie en moins de 30 secondes. Cela indique des scripts automatisés pour l’attaque et l’installation ultérieure, qui ne nécessitent aucune interaction humaine. Les interventions manuelles pour empêcher une telle attaque sont donc presque impossibles.

Sécuriser les systèmes

Dans leur rapport de sécurité « Threat Horizon », les experts de Google expliquent les contre-mesures avec lesquelles les utilisateurs du cloud peuvent se protéger. En premier lieu, la mise en œuvre de ce que l’on appelle les bonnes pratiques : L’utilisation de mots de passe forts, la mise à jour des logiciels tiers et le fait de ne pas publier les données d’accès sur Github – ce qui semble avoir été le cas dans 4 % des cas analysés.

D’autres possibilités d’améliorer la sécurité consistent à utiliser des comptes de service pour l’authentification des applications au lieu de données d’accès pour les comptes d’utilisateurs. L’utilisation d’outils de Policy Intelligence peut également aider à configurer les droits les plus faibles possibles pour les services et les applications et à limiter ainsi dès le départ les conséquences des intrusions.

Ce qui est remarquable dans le rapport pratique de Google, c’est qu’il confirme les résultats auxquels est parvenu récemment l’Unit42 de Palo Alto avec de nombreux honeypots sur le réseau. Dans le scénario simulé, même des mots de passe faibles ont conduit à des intrusions rapides dans les machines virtuelles. Le fait que ces dernières soient piratées en quelques minutes seulement par des services vulnérables ou des données d’accès peu sûres est donc effectivement très fréquent dans la réalité.