Un service "cloud computing" attaqué

Date : 05 Novembre 2009

Phénomène de mode ou véritable révolution dans le monde de l’informatique le "cloud computing" soulève de nombreuses questions.

L’an dernier, le Cert-IST a publié un premier article sur ce type d’architecture avant d’y consacrer une présentation lors de son Forum 2009.

Des articles de journaux et différentes présentations reviennent presque quotidiennement sur les avantages ou les inconvénients du "Cloud",  sur la publication de nouvelles solutions mettant en œuvre cette architecture ou encore sur des exemples d’applications reposant sur des services de ce type.

Le Cert-IST remonte ce type d’informations via ses bulletins de veille media, mais ce mois-ci un événement relatif au "Cloud" nous a paru mériter un article dans notre bulletin de par son intérêt du point de vue de la sécurité.

Un service hébergé sur une solution "Cloud" d'Amazon a en effet connu plusieurs interruptions de service au début du mois d’octobre, suite à une attaque de type déni de service.

 

Le fournisseur

Amazon Web Services (AWS) fournit différents services en ligne dont :

  • Le service "Amazon Elastic Compute Cloud" (EC2), qui offre des capacités de calcul permettant de déployer des serveurs virtuels sans avoir à se soucier de l'aspect matériel.
  • Le service "Amazon Elastic Block Store" (EBS), qui offre des volumes de stockage pour des serveurs virtuels  EC2.

 

Le client

BitBucket est un site web qui fournit une plate-forme de développement de logiciels, basée sur le système de gestion de version décentralisé Mercurial.

Ce site utilise les services EC2 et EBS d’Amazon pour conserver ses bases de données, ses logs et ses données utilisateurs.

 

Les faits

Suite à un dysfonctionnement des services d’Amazon, le site BitBucket a connu plus de 19 heures d'interruption de service début octobre. Bloquant ainsi l’accès de nombreux développeurs à leur plate-forme de développement virtuelle.

Selon Jesper Nøhr, le responsable de BitBucket, ce dysfonctionnement serait dû à un envoi massif de paquets UDP spécifiquement formatés vers une adresse IP. Amazon aurait mis 16 heures à identifier cette attaque et à la contrer.

Puis quelques heures plus tard, un envoi massif de requêtes TCP SYN aurait de nouveau bloqué les services de BitBucket pendant deux heures.

Jesper Nøhr soupçonne également l'existence d'une troisième vague d’attaques, qui ne serait pas parvenu à mettre le service entièrement hors service.

 

Les interrogations

Amazon n’a pas communiqué sur cet incident et a même demandé à son client de ne pas divulguer la cause du dysfonctionnement.

Le responsable de BitBucket regrette que les routeurs d’Amazon aient relayé des millions de paquets UDP piégés sans réagir et qu’Amazon ait mis 16 heures à identifier le problème.

D’autre part l’attaque fait penser que le service EBS a des ports de communication ouverts vers Internet alors qu’il doit être uniquement accessible en "interne" par le service EC2.

Ceci n’est qu’une hypothèse car le principe du "Cloud computing" est justement de camoufler l’architecture de l’infrastructure aux utilisateurs.

 

Les leçons

Selon Craig Balding, le créateur de cloudsecurity.org, la leçon à en tirer est qu’il ne faut pas dépendre d’un seul fournisseur de service "Cloud".

Le service CloudWatch d’Amazon peut également être utilisé pour se protéger de ce type d’attaques. Ce service (actuellement en version bêta) propose d'étendre automatiquement les ressources en fonction de la charge, avec un provisionnement automatique des machines permettant d'encaisser la charge. Outre qu’elle soit encore en version bêta, cette solution a l’inconvénient d’être payante et de demander un travail de conception important de la part du client.

 

Pour plus d’informations :

 

Précedent Précedent Suivant Suivant Imprimer Imprimer