9,90 € TTC
p. 06 Where’s my happy hook ?
p. 14 Et si on bashait Windows ?
p. 20 Les FSEvents d’Apple
p. 28 Introduction au dossier
p. 29 Introduction à la sécurité des environnements AWS
p. 32 Compromission des services exposés d’AWS
p. 44 Élévation de privilèges et post-exploitation au sein d’un environnement AWS
p. 50 Présentation et préparation de la réponse aux incidents sur AWS
p. 58 RFC 8446 - TLS 1.3 : que faut-il attendre de cette nouvelle version ?
p. 68 L’UEFI, au cœur du système
p. 76 L’audit de sous-traitants
Cet été, en toute discrétion, Orange annonçait la fin de Cloudwatt par un simple mail à ses derniers clients.
Si l’on revient rapidement à la genèse du projet, en 2009 le gouvernement français souhaitait lancer un partenariat public privé pour la création d’un acteur français de Cloud dont l’État serait actionnaire pour concurrencer le géant américain Amazon. L’idée de s’appuyer sur une société française pour héberger les données sensibles des entreprises et des administrations semble frappée au coin du bon sens. Tout particulièrement au moment où le Cloud est en pleine expansion, que les opérateurs sont déjà très majoritairement américains et que les dérives possibles du Patriot Act commencent à inquiéter les Européens. Ainsi, disposer d’une offre soumise au droit français et dont l’État actionnaire, en s’appuyant sur l’expertise de l’ANSSI, pourrait assurer un niveau de sécurité satisfaisant avait tout pour séduire. Les esprits chagrins s’étaient émus de la création subventionnée par l’État d’un nouvel acteur alors que plusieurs sociétés françaises proposaient déjà ce type d’offre. Faisant fi de ces critiques, l’appel à projets est lancé en 2011. Mais, premier problème, plutôt que de cofinancer la création d’un acteur, l’État se retrouve en 2012 à en financer deux, Cloudwatt et Numergy. Il devient donc actionnaire de deux offres concurrentes sur un marché déjà largement dominé par des entreprises disposant d’une importante force commerciale ainsi que des moyens humains et techniques bien supérieurs.
D’un point de vue technique, Cloudwatt avait de quoi séduire par des choix (trop ?) ambitieux. En effet, la société a décidé de s’appuyer lors de son lancement sur un projet open source très récent, OpenStack, alors que le marché de la virtualisation professionnel était largement dominé par HyperV et plus encore par VMWare. L’idée de partir sur un projet open source émergent permettait de s’affranchir du coût des licences éditeurs et rendait l’offre financièrement concurrentielle face à AWS... mais sans offrir le même niveau de service [1]. En effet, pour qui a fait de la virtualisation au début des années 2010, le niveau de maturité des solutions open source était bien en deçà de ce que proposaient les éditeurs propriétaires en matière de performances, de stabilité et de fonctionnalités. Aussi, à moins de disposer de la force de frappe technique d’Amazon ou de Google, concevoir une offre de service basée sur ces outils était un pari pour le moins risqué. Risques auxquels CloudWatt devait également faire adhérer ses potentiels clients...
L’affaire Snowden, en 2013, aurait pu donner le coup de pouce qu’il manquait pour faire décoller ces acteurs. Malheureusement, les grandes administrations françaises étaient plutôt réticentes à l’idée de faire sortir leurs VMs de leurs datacenters. Lorsqu’elles l’ont fait, cela a été plutôt en mode housing avec leurs propres infrastructures, ou en mutualisant les datacenters existants entre ministères [2]. Et du côté des entreprises, en l’absence de cadre réglementaire contraignant, ces offres n’étaient pas concurrentielles face aux acteurs en place. Ainsi, faute de succès, la Caisse des Dépôts a rapidement revendu ses parts avant que les deux offres ne soient supprimées du catalogue de SFR en 2016 pour Numergy puis de celui d’Orange en 2019 pour CloudWatt.
Espérons que les leçons seront tirées de ces échecs et que l’annonce de Bruno Le Maire en début d’année d’un « Cloud National Stratégique » [3] n’augure pas la création d’une nouvelle société partant d’une page blanche, mais aille plutôt vers un système de labellisation comme celui mis en place par l’ANSSI avec SecNumCloud [4].
Cédric FOLL / cedric@miscmag.com / @follc
[2] https://www.silicon.fr/depense-it-gouvernement-us-vote-cloud-france-138736.html
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Le dossier du présent numéro est consacré à la sécurité de l'offre cloud d'Amazon, j'ai nommé les Amazon Web Services (AWS). Il est de nos jours acquis que notre salut passera par le cloud, et qu'il faudra donc passer par un des grands prestataires du domaine.
Cet article est le premier d’une série de trois permettant d’apporter une certaine autonomie au sein du micrologiciel. L’objectif de cet article est de réaliser une rétrospective vis-à-vis de la norme UEFI. Pour cela, la prise en main du projet EDK2 va permettre de démystifier le micrologiciel et d’acquérir des compétences dans une optique de cybersécurité.
TLS 1.3 a été publié en août 2018, après une longue gestation. Cette nouvelle version arrive après une suite de vulnérabilités affectant le protocole SSL/TLS. Quelles réponses TLS 1.3 apporte-t-il à la sécurité de nos communications ?