En bref : des chercheurs trouvent une faille dans le cloud

Récupérer les données et les mots de passe stockés dans le « cloud », c’est-à-dire sur des serveurs lointains, est possible, démontre une équipe d’informaticiens américains. De quoi, de leur aveu même, avoir moins confiance dans le cloud computing.

L’informatique dans les nuages, ou cloud computing, a le vent en poupe, permettant d’utiliser la mémoire et la puissance de calcul d’une multitude de serveurs, via Internet, donc à la demande et sans limite. Mais une équipe d’informaticiens vient de jeter un pavé dans la mare en décrivant dans un document en libre accès le principe d’une machine à pirater. L’idée est d’installer un logiciel malveillant dans le « cloud », c’est-à-dire, concrètement, de le confier à un hébergeur qui l’enregistrera dans un serveur installé quelque part.

Dans leurs propres installations, ces informaticiens ont placé un logiciel de ce type, qui simule une machine virtuelle utilisant l’hyperviseur Xen. Ces installations peuvent héberger sur un même ordinateur des logiciels tournant sous différents systèmes d’exploitation. Leur outil a pu récupérer des données confidentielles (avec mots de passe) présentes dans le même serveur.

Il ne s’agit donc pas d’un acte de piraterie ciblé sur toutes les données d’une entreprise qui seraient réparties sur différents ordinateurs : ne peuvent être dérobées que les informations physiquement présentes dans la même installation. Le risque est donc faible d’autant que cette attaque semble complexe à mettre en œuvre. L’un des signataires est Ari Juels, responsable scientifique de RSA, division de recherche de EMC, spécialisée dans la sécurité. Les autres sont des chercheurs de l’université du Wisconsin et de Caroline du Nord. Leur conclusion est que les données vraiment très confidentielles ne devraient pas partir dans les nuages…