Kaspersky

Hybrid Cloud Renforcer

Security
la sécurité de
vos instances
de Cloud public

Plus d'informations sur kaspersky.fr/hybrid

 Renforcer la sécurité de vos instances de Cloud
public
Plus de la moitié de toutes les charges de travail
dans le Cloud public fonctionnent sous Linux, et une
fausse rumeur prétend que ces dernières seraient
immunisées et impossibles à attaquer.
Mais les vulnérabilités, les modules compromis et
les scripts malveillants existent sans aucun doute
dans les environnements Linux. Voici les statistiques
concernant les menaces Linux émanant de notre
laboratoire anti-malware :
Menaces en % d'utilisateurs concernés :
• Exploit : 41 %
• Backdoor : 24 %
• Cheval de Troie : 14 %
• Autres : 21 %
https://securelist.com/it-threat-evolution-q1-
1 
2019-statistics/90916/
https://www.bleepingcomputer.com/news/
2 
security/critical-exim-tls-flaw-lets-attackers-
remotely-execute-commands-as-root/
3 h
 ttps://www.helpnetsecurity.com/2019/04/29/
docker-hub-breach/
Introduction
L'utilisation du Cloud public est en plein essor car il offre de nombreux avantages, tels que la
scalabilité instantanée, l'automatisation, la configurabilité et la flexibilité. Tous ceux qui gèrent le
déploiement du Cloud public, qu'il s'agisse des équipes de cybersécurité ou bien de personnes
extérieures à ce domaine (comme celles impliquées dans DevOps ou WebDev) doivent s'assurer
que la sécurité des actifs soit considérée comme l’un des piliers de la stratégie de l’entreprise.
Ce livre blanc est conçu pour apporter aux spécialistes de la cybersécurité les informations et
les indications nécessaires pour s'assurer que la sécurité des charges de travail dans le Cloud,
à savoir la sécurité du système d'exploitation utilisé par ce dernier, soit effectivement traitée
comme une priorité au niveau des divers scénarios de déploiement. En réalité, vous êtes sans
aucun doute concerné par ce problème car si votre sécurité devait être compromise dans
le Cloud, peu importe d’ailleurs la personne véritablement responsable techniquement, vous
devrez de toutes les façons en assumer les conséquences.
Notre objectif est de combattre cette fausse idée qui laisse croire que l'exploitation de
vulnérabilités logicielles (le contournement d’identifiant, l’exécution de code à distance, etc.),
l'infection des dépôts de mises à jour, l'exploitation des connexions réseau (par exemple, le
piratage du DNS) ainsi que la compromission des informations de compte ne se produisent que
dans des environnements physiques ou virtualisés, et non au niveau du Cloud public; ou que les
dommages causés à vos données ou à votre entreprise, dans le cas d’un incident de sécurité
par exemple, ne sont plus votre problème.
Ce document attire également l'attention sur certains risques spécifiques au Cloud public,
comme notamment le vol de ressources Cloud. En effet, la scalabilité instantanée dans le
Cloud signifie que les cybercriminels qui s'emparent de vos outils de contrôle peuvent ainsi
s’approprier et utiliser des volumes quasi infinis en matière de puissance de calcul, et ce en
votre nom, et à vos frais. Ainsi, d'une manière ou d'une autre, la protection complète de votre
infrastructure Cloud public représentera toujours un investissement des plus judicieux.
Vulnérabilités dans le Cloud public
En plus des problèmes de sécurité les plus redoutés (et à juste titre d’ailleurs) rencontrés dans
le Cloud public (à savoir la compromission et la mauvaise configuration de comptes) il existe des
vecteurs de menaces ciblant les instances qui utilisent les vulnérabilités au niveau de services
exposés à Internet, tels que le RDP et SSH.
Le RDP est activé par défaut sur les instances Amazon, alors que l'authentification à 2 facteurs
n'est quant à elle pas prise en charge, et ce au niveau de la conception. Le RDP est devenu la
cible privilégiée de nombreux types d'attaques. Certaines d’entre elles utilisent uniquement
les identifiants les plus répandus en attaquant par force brute les mots de passe, tandis que
d'autres attaquent par force brute les identifiants en utilisant les mots de passe les plus
courants. Certains attaquants limitent et randomisent le nombre de tentatives de connexion,
avec un délai d'attente entre chaque tentative, afin d’éviter une détection automatisée. Une
autre méthode d'attaque consiste à attaquer par force brute le mot de passe associé à
l'identifiant du service SSM-Utilisateur souvent préinstallé sur les instances AWS.
Des attaques par force brute similaires ciblent en permanence les services SSH, et bien que
ces derniers offrent une protection plus efficace que celle mise en œuvre par le RDP (par
exemple l'authentification à 2 facteurs), un service mal configuré peut facilement donner accès
à un acteur malveillant persistant. L’ensemble des attaques par force brute visant les services
SSH et RDP ont représenté 12% de toutes les attaques lancées contre les honeypots IoT de
Kaspersky au cours du premier semestre 2019.1
Le Cloud public peut vous exposer, et vous expose d’ailleurs véritablement, à des vulnérabilités;
voici quelques exemples qui illustrent comment une vulnérabilité dans un logiciel tiers peut offrir
à un attaquant la possibilité d'exécuter du code sur l'instance elle-même.
Le 3 juin 2019, une vulnérabilité a été découverte dans Exim, un serveur de messagerie
électronique populaire souvent déployé dans le Cloud public. Cette dernière a permis l'exécution
de code à distance. Si le serveur fonctionnait en mode root, comme c'est le plus souvent le cas,
le code malveillant introduit au niveau de celui-ci aurait alors été exécuté avec les privilèges root.
Une autre vulnérabilité Exim a été découverte en juillet 2019, permettant également l'exécution
de code à distance avec ce même mode2.
Un autre exemple est le piratage du site officiel de Linux Mint en 2016. Il en a résulté une
altération de la distribution afin d'inclure une porte dérobée (backdoor) IRC avec une
fonctionnalité de type DDoS (déni de service). Le cheval de Troie (Trojan) pouvait également
être utilisé pour distribuer des charges virales malveillantes sur des machines infectées.
Nous avons également observé des cas de modules node.js malveillants, de conteneurs infectés
dans Docker Hub3 et bien plus encore. Les cybercriminels sont souvent très créatifs lorsqu'il
s'agit de trouver des points d'entrée dans des infrastructures, surtout lorsque ces dernières
sont nombreuses, très similaires, confrontées aux mêmes problèmes, et qu’elles ont toutes
cette fausse impression d’être tout naturellement fortement sécurisées et de n’avoir donc
besoin d’aucune protection supplémentaire.
1

Pensez-y :
Payer pour dissimuler le minage de
cryptomonnaie revient en fin de compte
à transférer de l'argent sur le compte d'un
cybercriminel. Ne financez pas leurs activités
commerciales au détriment des vôtres.
https://securelist.com/it-threat-evolution-q1-
4 
2019-statistics/90916/
https://dev.to/juanmanuelramallo/i-was-billed-
5 
for-14k-usd-on-amazon-web-services-17fn
https://www.quora.com/My-AWS-account-
6 
was-hacked-and-I-have-a-50-000-bill-how-
can-I-reduce-the-amount-I-need-to-pay
https://www.reddit.com/r/aws/
7 
comments/3qt4e0/so_i_was_ddosed_
by_35924_amazon_aws_ip_addresses
https://securelist.com/schroedingers-
8 
petya/78870/

https://securelist.com/in-expetrpetyas-
shadow-fakecry-ransomware-wave-hits-
ukraine/78973/

https://www.npr.org/sections/thetwo-
way/2017/06/27/534560169/large-
cyberattack-hits-ukraine-snarling-electric-
grids-and-airports
Des failles de sécurité et des
cyberattaques dans le Cloud public
Que pourrait bien faire un acteur malveillant une fois à l'intérieur de votre infrastructure Cloud ?
En plus d'obtenir l'accès aux ressources de votre entreprise, comme les données de vos clients,
il pourrait, en principe, profiter des mêmes avantages qui vous sont offerts par le Cloud public :
à savoir la scalabilité instantanée, l’automatisation et la configurabilité. Et le tout à vos frais..
Cas 0 : Nous avons un problème
Même si un cybercriminel ne fait rien de particulièrement malveillant après avoir obtenu l'accès
à l'un de vos systèmes, votre problème n’a pas pour autant disparu : en effet, vous avez été
victime d’une intrusion. Dans de nombreux pays de par le monde, si un système renfermant des
données sensibles, protégées ou confidentielles subit une violation, vous êtes tenu par la loi
d’en informer les autorités, et de remédier aux dégâts causés.
Les coûts indirects de la remédiation d’une violation de données peuvent souvent être plus
élevés que les coûts directs, avec de plus des effets qui s’étaleront dans le temps. De plus, si la
machine compromise a été utilisée comme un point d’entrée privilégié, c'est-à-dire comme une
base pour se déplacer latéralement, surveiller, extraire et localiser des informations concernant
des comptes privilégiés, ou encore collecter et extraire des données, les conséquences pour
vous pourraient alors être très graves..
Cas 1 : Une attaque basée sur les services SSH/RDP
Si les attaquants ont un accès SSH à un appareil infecté, les possibilités de monétiser
l'infection en question sont bien plus nombreuses. Dans la grande majorité des cas impliquant
une interception de session et sur lesquels Kaspersky a enquêté, nous avons identifié les
éléments suivants : l’envoi de courriers indésirables, des tentatives d'utilisation de notre
honeytrap comme serveur proxy, et enfin le minage de cryptomonnaie4, à ne surtout pas
sous-estimer d’ailleurs. Nous avons, en effet, enregistré plus de 50 000 tentatives d'infection
d'environnements Windows Server avec des mineurs durant la première moitié de 2019.
Alors comment pouvez-vous empêcher ces attaques ?
Solution
Une sécurité efficace au niveau du Cloud public doit être en mesure de traiter ce genre de cas,
et ce à plusieurs niveaux ::
• Le contrôle des applications en mode Default-Deny devrait refuser automatiquement la
possibilité pour le logiciel de l'attaquant de se déployer ou de s'activer.
• La protection à l'exécution (runtime protection) devrait empêcher tout logiciel de piratage de
ressources d’être lancé
• L’analyse comportementale devrait permettre de repérer les logiciels de minage, les logiciels
générateurs de courriers indésirables ou tout autre logiciel malveillant, en fonction justement
du comportement observé.
Cas 2 : D’importantes pertes financières en très peu de
temps
La scalabilité instantanée et l'automatisation permettent aux cybercriminels, très peu
préoccupés par le fait de passer inaperçus, d'agir en toute impunité, et ce à vos frais. Une heure
d’instance AWS coûte entre 5 cents et 5 dollars, un montant qui peut atteindre jusqu'à 125 $
par jour et par instance. De plus, le nombre d'instances que votre attaquant peut s’approprier
et utiliser en votre nom n’est pas limité. Ils peuvent utiliser des modèles CloudFormation pour
automatiser la création de nouveaux services de type Cloud Compute afin d'exécuter des
tâches, telles que le minage de cryptomonnaie ou le lancement d’attaques par déni de service
(DDoS). L'attaquant a juste besoin de créer de nouvelles instances dans un laps de temps plus
court que celui dont vous aurez besoin pour les mettre hors service. Il n'est pas impossible de
perdre 14 000 $ en une journée5, voire 50 000 $ ou 60 000 $6. Enfin, vous pourriez tout aussi
bien vous retrouver en train de lancer une attaque DDoS, ou d'être victime d’une telle attaque7…
Solution
Une solution de sécurité efficace pourrait vous aider à plusieurs niveaux :
• La visibilité : Un moteur d'alerte et des systèmes de génération de rapports appropriés
permettraient de signaler immédiatement la multiplication des instances auprès de
l'administrateur.
• Le contrôle de l'accès à Internet : Une stratégie pourrait être mise en place afin d’empêcher
la création de nouvelles instances et les communications avec les serveurs C&C des hackers,
évitant ainsi les attaques réseau sortantes..
Cas 3 : Attaque de la chaîne d'approvisionnement
Des environnements construits à partir de nombreuses sources offrent plusieurs options
possibles lorsqu'il s'agit d'attaquer la chaîne d'approvisionnement du logiciel, comme par
exemple l'infection du référentiel Linux. Un exemple : MeDoc, une entreprise ukrainienne, a été
victime d’une attaque visant ses mécanismes de mise à jour8. Les mises à jour compromises
ont été utilisées pour lancer une attaque basée sur ExPetr, le ransomware de type « wiper » qui
ciblait les plateformes Windows, et a ainsi touché de nombreuses entreprises, dont le géant
pharmaceutique Merck, l’entreprise de transport Maersk ainsi que des infrastructures critiques
ukrainiennes.
2

Au premier semestre 2019, nous avons
repoussé plus de 250 000 attaques au niveau
des plateformes Windows Server de nos
utilisateurs. Les AdWares et les RiskWares
n’ont pas été comptabilisés.
https://www.wired.com/story/inside-the-
9 
unnerving-supply-chain-attack-that-
corrupted-ccleaner/
https://aws.amazon.com/fr/compliance/
10 
shared-responsibility-model/
https://docs.microsoft.com/fr-fr/azure/
11 
security/fundamentals/infrastructure
https://aws.amazon.com/fr/answers/security/
12 
aws-securing-windows-instances/
Solution
Même si un malware est acheminé dans le cadre d'une mise à jour d’un système protégé, il doit
être traité exactement de la même manière qu’un exécutable ou un script : en effet, il doit être
analysé avant d'être exécuté et surveillé lors de son exécution. Le contrôle des applications en
mode Default-Deny peut ajouter une couche supplémentaire de sécurité.
Cas 4 : Du simple DevOps au DevOps sécurisé
Les malwares et les vulnérabilités intégrés dans des images de conteneur peuvent entraîner des
fuites d’adresses IP de l'entreprise ou un sabotage de la chaîne de production. L'attaque MeDoc
mentionnée ci-dessus en est un bon exemple. Dans un autre cas, les pirates ont été soupçonnés
d'avoir compromis l'environnement de build de CCleaner afin d'introduire des malwares9 dans les
distributions officielles du produit.
Solution
Les équipes DevOp qui déplacent leurs activités de développement dans le Cloud, et utilisent
des environnements dynamiques et des outils tels que des conteneurs, doivent tenir compte du
risque potentiel engendré et le gérer en sécurisant l'environnement Cloud de développement.
Notre solution de cybersécurité Cloud, Kaspersky Hybrid Cloud Security, protège les
environnements d'exécution dans les hôtes Docker, afin de garantir des pratiques de
développement sécurisées. Une API ainsi que d'autres outils sont également disponibles pour
l'automatisation du développement et une intégration dans l’approche CI/CD
Pourquoi êtes-vous concerné ?
Sécuriser une instance de Cloud public relève de votre responsabilité, comme n'importe quel
fournisseur de Cloud public vous le dira10,11. C'est un fait avéré.
Il est également peu probable que votre fournisseur de Cloud public soit responsable de
l’impact négatif d'une faille de sécurité en termes de coûts ou de dommages causés à votre
marque ou à votre image.
De plus, il n'y a aucune limite de volume en matière de puissance de calcul qu'un attaquant
pourrait se procurer en votre nom et utiliser à votre insu. Encore une fois, vous serez obligé de
supporter les coûts associés.
Avez-vous vraiment besoin d'un antivirus
dans le Cloud public ?
AWS estime que oui. Voici leurs conseils :
« Créez une configuration de serveur basique intégrant des correctifs de sécurité à jour et des
suites de protection basées sur l'hôte qui incluent un antivirus, un anti-malware, un système de
détection/prévention des intrusions, et la surveillance de l'intégrité des fichiers. »
« Chaque instance EC2 devrait respecter les normes de sécurité structurelles. N'installez pas de
rôles et fonctionnalités Windows qui ne s’avèrent pas nécessaires, et installez un logiciel pour
protéger contre les codes malveillants (antivirus, anti-malware, mitigation des exploits), surveillez
l'intégrité de l'hôte, et effectuez une détection d'intrusion. Configurez le logiciel de sécurité
pour surveiller et conserver les paramètres de sécurité du système d'exploitation, protégez
l'intégrité des fichiers critiques de celui-ci, et alertez sur d’éventuels écarts par rapport au
niveau de sécurité de référence. »12
Nous pensons également que vous pouvez réduire et gérer le risque de façon beaucoup plus
efficace si vous protégez les systèmes d'exploitation sur vos instances et machines virtuelles.
Une protection antivirus et anti-malware basique n’est manifestement pas suffisante. Les
bonnes pratiques du secteur exigent que chaque système d'exploitation au niveau d’une
infrastructure ait une protection intégrale multi-niveaux, et les fournisseurs de Cloud public ont
émis des recommandations similaires.
C'est là qu'une solution de sécurité comme Kaspersky Hybrid Cloud Security entre en jeu.
Notre solution protège les différents types de charges de travail s'exécutant sur différentes
plateformes, à l'aide de multiples couches de technologies de sécurité : durcissement du
système (system hardening), une prévention des exploits, une surveillance de l'intégrité des
fichiers (FIM), un bloqueur d’attaques réseau, un anti-malware statique et comportemental, et
bien plus encore.
Garantir, de manière appropriée, la mise en œuvre des différents niveaux de sécurité au sein
de votre environnement de Cloud public, et ce à tout moment, est essentiel pour éviter toute
attaque qui pourrait s'avérer extrêmement coûteuse et dommageable. Il est important que la
sécurité soit reconnue comme un élément fondamental de votre stratégie Cloud. Car au final,
c’est bien vous et vous seul qui êtes concerné !
3
www.kaspersky.fr Kaspersky Hybrid Cloud Security pour AWS : kaspersky.fr/aws
Kaspersky Hybrid Cloud Security pour Azure : kaspersky.fr/azure
Kaspersky Hybrid Cloud Security : kaspersky.fr/hybrid

© 2020 Kaspersky. Tous droits réservés. Les marques

#hybrid
déposées et marques de service sont la propriété de #aws_instance_security
leurs détenteurs respectifs. #azure_VM_security