Malware Corner

p. 06 Where’s my happy hook ?

Pentest Corner

p. 14 Et si on bashait Windows ?

IoT Corner

p. 20 Les FSEvents d’Apple

Dossier

p. 28 Introduction au dossier
p. 29 Introduction à la sécurité des environnements AWS
p. 32 Compromission des services exposés d’AWS
p. 44 Élévation de privilèges et post-exploitation au sein d’un environnement AWS
p. 50 Présentation et préparation de la réponse aux incidents sur AWS

Réseau

p. 58 RFC 8446 - TLS 1.3 : que faut-il attendre de cette nouvelle version ?

Système

p. 68 L’UEFI, au cœur du système

Organisation & Juridique

p. 76 L’audit de sous-traitants

Cet été, en toute discrétion, Orange annonçait la fin de Cloudwatt par un simple mail à ses derniers clients.

Si l’on revient rapidement à la genèse du projet, en 2009 le gouvernement français souhaitait lancer un partenariat public privé pour la création d’un acteur français de Cloud dont l’État serait actionnaire pour concurrencer le géant américain Amazon. L’idée de s’appuyer sur une société française pour héberger les données sensibles des entreprises et des administrations semble frappée au coin du bon sens. Tout particulièrement au moment où le Cloud est en pleine expansion, que les opérateurs sont déjà très majoritairement américains et que les dérives possibles du Patriot Act commencent à inquiéter les Européens. Ainsi, disposer d’une offre soumise au droit français et dont l’État actionnaire, en s’appuyant sur l’expertise de l’ANSSI, pourrait assurer un niveau de sécurité satisfaisant avait tout pour séduire. Les esprits chagrins s’étaient émus de la création subventionnée par l’État d’un nouvel acteur alors que plusieurs sociétés françaises proposaient déjà ce type d’offre. Faisant fi de ces critiques, l’appel à projets est lancé en 2011. Mais, premier problème, plutôt que de cofinancer la création d’un acteur, l’État se retrouve en 2012 à en financer deux, Cloudwatt et Numergy. Il devient donc actionnaire de deux offres concurrentes sur un marché déjà largement dominé par des entreprises disposant d’une importante force commerciale ainsi que des moyens humains et techniques bien supérieurs.

D’un point de vue technique, Cloudwatt avait de quoi séduire par des choix (trop ?) ambitieux. En effet, la société a décidé de s’appuyer lors de son lancement sur un projet open source très récent, OpenStack, alors que le marché de la virtualisation professionnel était largement dominé par HyperV et plus encore par VMWare. L’idée de partir sur un projet open source émergent permettait de s’affranchir du coût des licences éditeurs et rendait l’offre financièrement concurrentielle face à AWS... mais sans offrir le même niveau de service [1]. En effet, pour qui a fait de la virtualisation au début des années 2010, le niveau de maturité des solutions open source était bien en deçà de ce que proposaient les éditeurs propriétaires en matière de performances, de stabilité et de fonctionnalités. Aussi, à moins de disposer de la force de frappe technique d’Amazon ou de Google, concevoir une offre de service basée sur ces outils était un pari pour le moins risqué. Risques auxquels CloudWatt devait également faire adhérer ses potentiels clients...

L’affaire Snowden, en 2013, aurait pu donner le coup de pouce qu’il manquait pour faire décoller ces acteurs. Malheureusement, les grandes administrations françaises étaient plutôt réticentes à l’idée de faire sortir leurs VMs de leurs datacenters. Lorsqu’elles l’ont fait, cela a été plutôt en mode housing avec leurs propres infrastructures, ou en mutualisant les datacenters existants entre ministères [2]. Et du côté des entreprises, en l’absence de cadre réglementaire contraignant, ces offres n’étaient pas concurrentielles face aux acteurs en place. Ainsi, faute de succès, la Caisse des Dépôts a rapidement revendu ses parts avant que les deux offres ne soient supprimées du catalogue de SFR en 2016 pour Numergy puis de celui d’Orange en 2019 pour CloudWatt.

Espérons que les leçons seront tirées de ces échecs et que l’annonce de Bruno Le Maire en début d’année d’un « Cloud National Stratégique » [3] n’augure pas la création d’une nouvelle société partant d’une page blanche, mais aille plutôt vers un système de labellisation comme celui mis en place par l’ANSSI avec SecNumCloud [4].

Cédric FOLL / cedric@miscmag.com / @follc

[1] https://www.journaldunet.com/solutions/cloud-computing/1145280-numergy-vs-cloudwatt-le-match/1145286-l-avis-des-brokers-de-cloud

[2] https://www.silicon.fr/depense-it-gouvernement-us-vote-cloud-france-138736.html

[3] https://www.lesechos.fr/tech-medias/hightech/une-page-se-tourne-pour-le-cloud-souverain-francais-1118112

[4] https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-service-dinformatique-en-nuage-secnumcloud/