Dans son “Panorama de la menace informatique”, l’Agence nationale de la sécurité des systèmes d’information (Anssi) revient sur les grandes cyber tendances de 2021. L’utilisation généralisée du Cloud lors de la crise sanitaire l’inquiète car elle a beaucoup augmenté le niveau de menace et la surface d’attaque.
L’agence observe, à nouveau, que le nombre de cyberattaques et d’intrusions dans des systèmes d’information (SI) a beaucoup augmenté en 2021, à cause du cloud notamment. La crise sanitaire ayant accéléré son usage dans les secteurs public et privé, l’utilisation généralisée du Cloud augmente mécaniquement le niveau de menace et la surface d’attaque des SI.
Le Cloud a donc contribué au développement plus rapide, au plan mondial, des quelques vulnérabilités majeures (Exchange, Log4j, PulseSecure) qui ont particulièrement marqué 2020 et 2021. L’Anssi regrette d’ailleurs que des défauts de sécurisation des données soient encore trop souvent constatés. Entre octobre 2020 et février 2021, Palo Alto a ainsi détecté selon elle plus de 2100 instances cloud non sécurisées et aisément accessibles.
« Un manque de maîtrise de l’infrastructure et la forte dépendance aux fournisseurs de services Cloud »
L’Anssi s’inquiète notamment du « manque de maîtrise de l’infrastructure et la forte dépendance aux fournisseurs de services Cloud, ainsi que des modalités de partage de responsabilité parfois opaques, qui peuvent constituer un obstacle supplémentaire dans l’éventualité d’une compromission ». D’autant que ce phénomène est, selon elle, aggravé par « La prépondérance d’acteurs étrangers supplémentaires sur le marché européen, qui pourrait augmenter la menace juridique associée au Cloud ».
Face à ces risques, l’ANSSI rappelle qu’elle a actualisé fin 2021 sa qualification de sécurité « SecNumCloud ». Son nouveau schéma de certification prévoit notamment des exigences organisationnelles et techniques visant à se prémunir des lois à portée extraterritoriale qui permettraient à un pays non européen d’accéder à tout ou partie des données et des traitements hébergés par un offreur.
Des services de partage de documents et de travail collaboratif dans le cloud sous surveillance
L’Anssi pointe aussi du doigt les nombreux services de partage de documents et de travail collaboratif, qui « permettent une reconnexion facile des utilisateurs sur leurs services, après une authentification initiale. Le même jeton d’authentification peut être utilisé pour tous les matériels d’un utilisateur. Une menace grandissante concerne l’accès à ces jetons d’authentification, les attaquants tentant de récupérer ces derniers par ingénierie sociale ».
Le Cloud, meilleur vecteur du minage des cryptomonnaies
Enfin, l’Anssi estime que « la puissance de calcul qu’offrent les instances cloud représente également une cible d’intérêt pour des attaquants qui chercheraient à la détourner à leur profit, notamment pour du minage de cryptomonnaies. Elle cite comme exemple le groupe cybercriminel « TeamTNT » qui s’est ainsi spécialisé dans le ciblage d’environnements cloud à des fins de cryptominage, tout comme « Rocke », réputé chinois, s’est spécialisé dans le cryptominage clandestin sur des serveurs cloud. Ils exploitent des vulnérabilités sur ces serveurs, qui permettent d’installer une porte dérobée à partir de laquelle les attaquants déploient des cryptomineurs, mettent fin à d’éventuels autres processus de cryptominage antérieurs et empêchent l’installation de nouveaux codes malveillants.