Retour sur Black Alps 2018

Sécurité du Cloud
Retour sur Black Alps 2018
Advens était présent pour l’édition 2018 de la conférence Black Alps, tenue à Yverdon-les-bains, en Suisse. Forte d’une dizaine d’années d'existence, sous le nom d’Application security forum, Cybersec conference, et enfin Black Alps, cette petite conférence a tout d’une grande. Les deux journées dédiées à l’événement ont tenu leurs promesses, avec des présentations de grande qualité technique et ses célébrités du monde de la sécurité, comme Christian “Iceman” Herrmand. Chercheur renommé au RFID research group ou encore Scott Piper, dont les travaux sur la sécurité du cloud sont mondialement reconnus. Nous avons choisi d’évoquer deux des présentations auxquelles nous avons assisté et qui nous ont paru particulièrement intéressantes, l’une liée à la cryptographie quantique et l’autre aux enjeux sécurité lors de l’utilisation des services cloud.


Reversing Cryptographic primitives using quantum computing

Cette présentation donnée par Renaud Lifchitz a mis en lumière les méthodes utilisées afin d’inverser des primitives cryptographiques, et une approche pratique pour faire ses premiers pas en cryptographie quantique. L’article ne rentrera donc pas en détail dans les considérations quantiques, mais s’attachera à donner des pistes de recherches afin de guider le lecteur vers des ressources pertinentes, qui peuvent aussi être retrouvées dans la présentation originale.

Dans un premier temps, rappelons les principales propriétés de l’informatique quantique :
  • Les calculs sont appliqués à des qubits qui peuvent avoir un statut 0, 1 ou les deux en même temps, ce que l’on nomme phénomène de superposition.
  • Cette propriété peut être utilisée afin d’assurer une forme de parallélisation des opérations de calcul.


En restant très superficiels, le principe est d’agencer des portes logiques quantiques de base, afin de construire des circuits modélisant des algorithmes standards comme CRC32 qui a été pris comme exemple. Bien sûr, toute fonction cryptographique (hachage, chiffrement symétrique ou asymétrique...) peut être implémenté : l’informatique quantique est donc une réalité et plus seulement un fantasme. La construction de ces circuits est souvent effectuée par l’intermédiaire d’un simulateur de calcul quantique qui permet de débugger facilement le circuit développé :


Ces environnements de développement dédiés au calcul quantique sont une bonne base pour toute personne s’intéressant à ce domaine technologique qui se démocratise de plus en plus. Il est même maintenant possible d’accéder à des calculateurs quantiques en libre-service en en ligne via des frameworks et API dédiées (liste non exhaustive) :
Bien que les résultats restent encore imprécis, l’intervenant a bon espoir que la loi de Moore se vérifie aussi pour les processeurs quantiques, et qu’ils atteignent un état de maturité suffisant dans la décennie à venir pour venir à bout de calculs impossibles à réaliser par des ordinateurs classiques. Alors quels sont les risques à moyen terme concernant les technologies de chiffrement que l’on connait aujourd’hui ?
Pour la cryptographie symétrique (AES par exemple), l’impact est assez limité. On considère que doubler les tailles de clés suffira à se protéger de la puissance de calcul des ordinateurs quantiques.

Pour la cryptographie asymétrique, le constat est plus alarmant. En effet, lorsque l’algorithme de Shor pourra être implémenté sur une machine quantique, il sera possible de résoudre la factorisation de grands nombres entiers ainsi que le problème du logarithme discret en temps, sur lesquels se base RSA, l’algorithme d’échange de clés Diffie Hellmann, et les courbes elliptiques. Pour contrer cette avancée, d’autres crypto-systèmes ont été et sont encore développés, notamment sur la base de problèmes mettant en jeu le calcul du vecteur le plus court ou le plus proche dans une base discrète (NTRU, RingLWE...).

Challenges and opportunities in cloud security

Scott Piper (0xdabbad00) tout droit venu de l’Utah pour nous parler des enjeux de la sécurité des infrastructures cloud a d’abord travaillé pour la NSA avant de devenir un consultant indépendant pour AWS Security, où il participe à l’amélioration de la sécurité de l’offre cloud d’Amazon (plus d’information sur son site web .

AWS représente aujourd’hui 51,9% des parts du marché des serveurs dématérialisés contre 13,3% pour Microsoft et 3,3% pour Google. Le cloud computing étant maintenant un standard dans la gestion des ressources SI d’une entreprise, les équipes sécurité doivent prendre en compte l’enjeu sécurité de leur plateforme très au sérieux.

Scott nous expose les principaux atouts sécurité des plateformes AWS :

  • Divulgation préalable des vulnérabilités Xen
  • Vérification des Firmwares
  • Vérifications cryptographiques
Mais il évoque également les faiblesses de la plateforme. Notamment la possibilité d’utiliser la fonction de récupération de compte à des fins malveillantes. Par exemple, un compte AWS n’utilise qu’une adresse email « root », cet email étant souvent une liste de diffusion comprenant plusieurs développeurs d’une solution, car toute communication depuis AWS se fait via cette adresse, le compte est plus exposé à une compromission. De plus, la récupération d’un compte AWS peut être faite avec un simple FAX contenant un formulaire notarié.

La question que l’on peut cependant se poser est la suivante :
Quels sont les risques lors d’une compromission de mon compte AWS ?

Pour illustrer les risques de compromission d’un compte d’administration AWS, Scott Piper a évoqué le cas de Code Spaces, un fournisseur services de gestion de code pour les développeurs, analogue à GitHub ou Apache Subversion. Après la compromission de leur compte AWS par un attaquant, ce dernier ayant placé une backdoor sur le compte, lorsque les équipes de Code Spaces ont tenté de récupérer le compte en modifiant le mot de passe, tous les objets AWS ont commencé à disparaitre. Faute de sauvegarde, probablement à cause de la confiance aveugle dans les services de cloud, la fermeture de la société fut inévitable quelques jours plus tard. La morale de cette histoire : Ne négligez jamais les sauvegardes, même dans le cloud…

D’autres questions peuvent également se poser pour les entreprises étant 100% dépendantes d’un fournisseur de service dématérialisé :
  • Que se passe-t-il si le fournisseur disparaît ?
  • Si les conditions de vente changent et ne vous conviennent plus ?
  • Si le vendeur met fin au partenariat ?

Toutes ces problématiques semblent être en partie résolues par une bonne gestion des backups, mais doivent faire partie intégrante de votre analyse de risque.

Arnaud Cordier, Auditeur Sécurité, Advens