L’ANSSI observe une augmentation des attaques contre les environnements cloud. Ces campagnes d’attaques affectent les fournisseurs de services cloud, en partie ciblés pour les accès qu’ils peuvent offrir vers leurs clients. Elles visent également les environnements de clients de services cloud, dont l’hybridation des systèmes d’information générée par l’usage du cloud augmente la surface d’attaque.
On le sait, le Cloud offre de nouvelles opportunités d’attaques et affecte les organisations qui l’utilisent. Dans son rapport, l’ANSSI dit observer une augmentation des attaques contre les environnements cloud. Ces campagnes d’attaques, menées à des fins lucratives, d’espionnage et de déstabilisation, affectent les fournisseurs de services cloud (Cloud Service Provider), en partie ciblés pour les accès qu’ils peuvent offrir vers leurs clients. Elles ciblent également les environnements de clients de services cloud, dont l’hybridation des systèmes d’information générée par l’usage du cloud, augmente la surface d’attaque.
Des attaquants aux compétences spécifiques
L’agence de sécurité indique que les attaquants ont développé des compétences spécifiques au ciblage des environnements cloud. “Par exemple, les modes opératoires d’attaque (MOA) Mango Sandstorm, Scattered Spider, Nobelium, Storm-0558 ou encore Storm-0501 sont employés à des fins lucratives, d’espionnage ou de déstabilisation, pour compromettre ce type d’environnements”, explique l’ANSSI. Cette maîtrise se traduit notamment par la multiplication des tentatives de latéralisation vers le cloud depuis des environnements on-premise compromis mais également par l’exploitation des mauvaises configurations et défauts de sécurisation inhérentes au secteur.
Les failles des équipement de bordure
“L’exploitation de vulnérabilités dans des équipements de bordure (tels que des équipements VPN) constitue un point d’entrée privilégié par une vaste gamme d’acteurs malveillants. Dans une moindre mesure, les attaquants réputés liés à des États et disposant de ressources plus importantes utilisent également des vulnérabilités jour-0 (0-day) pour compromettre les environnements ciblés.”
Tendance grandissante : l’utilisation des services de cloud comme infrastructures d’attaques, “qu’il s’agisse de louer de l’infrastructure d’attaque chez des opérateurs de cloud, ou d’utiliser des plateformes grand public comme lieu de stockage, d’accès à des codes malveillants ou d’exfiltration de données volées.” Ces nouvelles pratiques complexifient la détection en dissimulant les activités malveillantes au sein du trafic légitime des utilisateurs de ces plateformes, analyse l’ANSSI.
L’ANSSI rappelle que la sécurité sur le cloud relève d’une responsabilité partagée entre les clients et les fournisseurs de services cloud. “Bien qu’en partie dépendants du fournisseur pour leur sécurité, les clients de services cloud ont également des responsabilités importantes concernant la gestion des données et des identités.” A cet effet, l’agence livre des recommandations de sécurité aux deux parties.
