L'agence française cyber, l'ANSSI, alerte dans ses dernières observations sur une explosion des cyberattaques sophistiquées visant les infrastructures cloud, qui subissent des pertes financières record et des techniques d'intrusion toujours plus élaborées ces derniers mois.
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié, mercredi, un rapport majeur qui dresse l'alarmant constat de la menace cyber sur le Cloud, qui atteint des niveaux sans précédent. Les attaques se multiplient en complexité et en intensité, avec des groupes cybercriminels qui excellent désormais dans le ciblage des environnements cloud. Un phénomène particulièrement inquiétant alors que 47% des données professionnelles hébergées sur le Cloud sont considérées comme sensibles.
Les grands fournisseurs cloud, comme les petits, sont victimes de cyberattaques massives
Le cas de CloudNordic illustre parfaitement l'ampleur de la menace. En août 2023, l'hébergeur danois a subi une attaque dévastatrice pendant une migration de serveurs. La cyberattaque a conduit à la perte totale des données clients et au dépôt de bilan. Même scénario pour sa société sœur AzeroCloud, également contrainte à la faillite.
Ne croyons pas que grands acteurs ont été épargnés : Microsoft a subi deux compromissions majeures en 2023-2024, dont une ayant permis l'accès aux messageries Exchange Online de 500 utilisateurs grâce au vol d'une clé de signature MSA. Et les sociétés spécialisées en gestion d'identités sont particulièrement ciblées.
En janvier 2022, le groupe Lapsus$ a compromis Okta, en affectant 366 entités. Rebelote entre septembre et octobre 2023, lorsqu'un attaquant a accédé au système d'assistance client, volant des fichiers HAR contenant des jetons de session de 134 clients. JumpCloud, spécialiste en service de gestion d'identité et d'accès a aussi été touchée en juin 2023. Le groupe nord-coréen UNC4899 a réussi à diffuser une application piégée vers plusieurs clients du groupe, après une campagne d'hameçonnage sophistiquée.
La compromission d'un autre fournisseur, Rackspace, via une vulnérabilité sur un logiciel de supervision ScienceLogic, a permis aux attaquants d'exfiltrer des informations sensibles sur les clients. Ils ont pu récupérer les noms, numéros de compte, identifiants de clientèle et adresses IP. Un cas qui souligne la sophistication croissante des techniques d'intrusion.
Le dico' de Clubic 📝
Le Cloud Computing désigne la fourniture de ressources informatiques (serveurs, stockage, applications, etc.) via Internet, permettant aux entreprises d'accéder à leurs services à distance plutôt que de gérer des infrastructures en local.
Des géants comme Amazon Web Services, Microsoft Azure ou Google Cloud proposent ces services d'infrastructure, tandis que des acteurs comme Salesforce ou Microsoft 365 fournissent des applications métier directement accessibles en ligne. En France, OVHcloud, Orange Business ou encore Scaleway se positionnent également sur ce marché en pleine expansion.
DDoS et Cloud, les attaques battent tous les records
Les attaques DDoS, ces fameux assauts qui surchargent un site ou service en l'inondant de requêtes, atteignent des records inquiétants. Le Français OVHCloud rapporte le détournement d'équipements réseau critiques, tandis que l'Américain Cloudflare fait état d'attaques orchestrées par plus de 10 000 objets connectés compromis.
Plus inquiétant encore, l'ANSSI a constaté une recrudescence des attaques ciblant la couche applicative (la couche 7), plus difficiles à détecter et à contrer que les attaques volumétriques traditionnelles.
Les environnements hybrides sont aussi devenus une cible privilégiée. Le groupe pirate Scattered Spider excelle notamment dans l'exploitation des failles de configuration entre systèmes on-premise (sur site) et Cloud. En 2023, il a ainsi réussi à compromettre le géant MGM Casinos, en chiffrant 100 hyperviseurs ESXi, ce qui avait causé des pertes quotidiennes de 8,4 millions de dollars. Le groupe Storm-0501, lui, qui utilise les rançongiciels Hive et BlackCat, adopte des techniques similaires.
L'utilisation du Cloud comme infrastructure d'attaque s'est en tout cas généralisée. Selon Netskope, en mars 2023, 58% des codes malveillants observés provenaient d'applications Cloud légitimes. Les groupes nord-coréens Kimsuky et StarCruft aiment par exemple utiliser les services OneDrive et Google Drive comme infrastructures de commande et contrôle (C2).
Les fournisseurs Cloud appelés à renforcer leur cybersécurité
Alors que faire face à ce tableau assez noir ? L'ANSSI formule des recommandations précises. Pour les clients, il faut par exemple privilégier les offres SecNumCloud pour les activités sensibles, implémenter une authentification multifacteur systématique, et superviser en continu les accès aux ressources Cloud. La nécessité d'audits réguliers de l'exposition des services devient par ailleurs cruciale.
Les fournisseurs Cloud doivent quant à eux renforcer drastiquement leur sécurité. Il leur est aujourd'hui conseillé de donner la priorité à la supervision des actifs transverses, à la sécurisation du support client, et à la mise en place de mécanismes anti-destruction robustes. L'ANSSI recommande également une veille active sur les noms de domaine usurpant leur identité, une pratique là aussi en forte augmentation.
Et puisque la gestion des accès s'avère critique, l'agence préconise un contrôle strict des comptes privilégiés, limités aux postes d'administration dédiés. Pour les fonctions support, une surveillance accrue s'impose : les accès doivent être configurés selon le principe du moindre privilège, avec une limitation du nombre de clients gérés quotidiennement par opérateur.
Alors face à l'évolution constante des menaces dans le Cloud et au risque de nous répéter, la cybersécurité n'est plus une option mais une nécessité stratégique pour toutes les organisations.
