Sécurité : le Cloud d'Amazon hébergeait un Trojan
L'informatique dans les nuages est-elle un progrès ou une régression en terme de sécurité ?
Amazon avait bien tenté de convaincre les entreprises réticentes de passer au Cloud avec une offre supposée plus sécurisée (lire par ailleurs).
C'est raté.
En tout cas pour la sécurité puisqu'un Hacker a réussi à héberger et faire tourner le module de commande centrale (command and control) du botnet Zeus, assimilable à un cheval de Troie.
Zeus est spécialisé dans le vol de données sensibles (bancaires, mots de passe, etc.).
Les pirates n'ont pas, à proprement parlé, utilisé l'EC2 d'Amazon (lire ci-dessous pour plus de détails sur l'EC2). Ils ont pénétré l'infrastructure en hackant un site web qui lui-même était hébergé sur les serveurs d'Amazon.
Il n'en reste pas moins qu'il s'agit de la première utilisation malicieuse cataloguée du Cloud d'Amazon.
Indépendamment de cette histoire, les experts s'inquiètent de la migration croissante des criminels vers ce type de solutions délocalisées. Le Cloud récupérerait petit à petit les bannis des serveurs classiques, serveurs qui, par crainte de mauvaise image, font de plus en plus attention aux activités qu'ils hébergent.
Il se pourrait donc bien que des numéros de cartes de crédit volé avec Zeus depuis Amazon servent à acheter des EC2... à Amazon.
Et ainsi de suite.
Mais que l'on se rassure, Amazon a déjà pris toutes les disposition nécessaires.
Zeus n'est plus dans les nuages.
Source : L'étude qui a mis à jour la présence de Zeus dans le Cloud d'Amazon
Et vous ? :
Le Cloud va-t-il (également) devenir un repère privilégié pour les criminels ?
Pour vous, l'informatique dans les nuages est-elle un progrès ou une régression en terme de sécurité ?
MAJ de Gordon Fowler
Cloud Computing : Amazon annonce une offre plus sécurisée pour convaincre les entreprises réticentes
Amazon vient d'annoncer une nouveauté particulièrement intéressante : la possibilité de créer un tunnel entre, d'une part, l'infrastructure interne d'une organisation, et d'autre part, les Web Services qu'elle propose en Cloud ; et ce, de manière sûre, fiable et peu coûteuse.
C'est en tout cas ce que promet la société.
Pour mémoire, le Amazon Web Service est une offre qui s'appuie sur deux produits phares : le EC2 (pour Elastic Cloud), des machines virtuelles personnalisables sur lesquelles le client peut héberger et faire tourner ses applications, et le stockage à la demande S3 (pour Simple Storage Service).
Le principe de ces deux produits est d'être facturés uniquement à l'utilisation.
Ils permettent donc d'adapter les coûts informatiques aux plus près des besoins d'une société.
Néanmoins, le Cloud Computing pose encore de nombreux problèmes pour une adoption corporate, notamment en terme de sécurité.
Transférer ses applications et ses données sensibles exige en effet, dans le monde professionnel encore plus que dans la vie privée, des mesures drastiques.
Or la sécurité est souvent décrite comme le talon d'Achille de ce type d'offres.
Amazon tente donc d'y remédier pour vaincre les réticences des sociétés.
Son annonce va en tout cas dans ce sens.
La connexion aux EC2 des clients sur le Amazon Web Service pourra donc se faire à présent via un VPN ("Virtual Private Network" ou "réseau privé virtuel") que l'on schématise souvent pour le vulgariser par un "tunnel" crypté.
L'autre innovation proposée est la possibilité pour le client de créer sa propre grappe d'"instances" EC2 au sein du Cloud d'Amazon.
Amazon a baptisé cette nouvelle offre "Virtual Private Cloud" ou "VPC".
D'après Amazon, le VPC devrait permettre une intégration beaucoup plus simple des applications internes de l'entreprise.
Comme elle est de surcroit plus sécurisée, le fournisseur de services délocalisés espère bien que son offre lui permettra de pénétrer le marché professionnel beaucoup plus efficacement qu'en jouant sur le simple argument prix.
Mais ces nouveautés seront-elles suffisantes pour convaincre les indécis ?
Werner Vogels, directeur de la technologie de Amazon, considère pour sa part que les entreprises sont toutes plus ou moins prêtes à sauter le pas, pour peu qu'on leur propose des offres adaptées et simples.
Ce qui, à l'en croire, sera la cas de VPC.
Dans un billet très complet, il explique également sa définition du "Cloud privé" :
Ce mélange d'"isolement" et d'externalisation à la demande est la base de ce que Werner Vogels appelle le "Private Cloud".We have developed Amazon Virtual Private Cloud (Amazon VPC) to allow our customers to seamlessly extend their IT infrastructure into the cloud while maintaining the levels of isolation required for their enterprise management tools to do their work.
D'où le nom choisi pour ce produit dans lequel Amazon et ses dirigeants semblent placer beaucoup d'espoirs.
Amazon VPC est disponible en version béta.
Une inscription préalable est exigée.
Sources :
La béta publique de Amazon VPC
L'annonce de la nouvelle offre sur le blog de Amazon Web Service
Le billet de Werner Vogels
Lire aussi :
Cloud Computing : 4 entreprises sur 5 l'auraient adopté
Etude : Le Cloud a le vent en poupe chez les développeurs
Les débats sur le Cloud et sa définition font rage
L’OMG veut coordonner la standardisation du cloud computing
Et vous ? :
Pensez-vous que cette nouvelle offre soit suffisament sécurisée pour rassurer les entreprises ?
Que pensez-vous de la définition du "private cloud" de Werner Vogels ?
Êtes-vous tenté(e) par la béta-test de VPC ?
Partager