Mobilité

Comment Google Cloud est piraté pour miner des

86 4 minutes de lecture
mastercard crypto bitcoin big

Comment Google Cloud est piraté pour miner des crypto-monnaies

Vous (ou votre entreprise) utilisez l’un des services de Google Cloud ? Vous aidez peut-être, sans le savoir, des réseaux de hackers à miner des crypto-monnaies. Quand ils n’utilisent pas les serveurs de votre compte piraté pour stocker des logiciels malveillants ou lancer des attaques DDos ailleurs. C’est un peu le message qu’à lancé la “Cybersecurity Action Team” de Google (GCAT) dans son rapport “Threat Horizons” (l’horizon des menaces), un document consacré pour la première fois aux risques de piratage liés au service de Cloud computing du géant du Web.

google cloud data center2 

Vous avez dit Google Cloud ?

On ne parle pas ici du Google Drive utilisé par tout un chacun, mais de Google Cloud Platform (GCP), la plateforme de cloud computing fournie par Google aux entreprises. Selon le secteur d’activité, elle permet d’héberger sa plate-forme d’e-commerce (tout en profitant d’une multitude d’API et de solutions d’analyses Big Data), de faire travailler ses salariés en télétravail (avec Google Workspace), de développer et stocker des applications mobiles, ou encore de “migrer” les fonctionnalités réseau de son organisation.

Dans le secteur des médias et du divertissement, Spotify “accède à des insights” sur les données de ses utilisateurs grâce à Google Cloud, tout comme le New York Times. Les plateformes de divertissement peuvent aussi, se targue GCP, de permettre à ses artistes de « créer et collaborer de façon fluide dans le cloud », dans des « espaces de travail virtuels sécurisés, protégés par l’infrastructure mondiale de Google ». Dans les jeux vidéos, GCP héberge les “bases de données de jeux” de développeurs et d’éditeurs comme Niantic, Activision Blizzard et Bandai Namco.

Google Cloud permet aussi à des administrations et des organisations (des villes de Memphis et Manchester à l’État de l’Illinois) d’héberger leurs réseaux ; et d’utiliser des solutions d’IA pour gérer l’offre de vaccins, l’aide aux chômeurs, ou encore pour rendre leurs transports “intelligents”. Enfin, dans le secteur de la santé, on retrouve bien entendu des laboratoires pharmaceutiques et des entreprises de la “health tech” (Sanofi, Moderne, Meditech), qui utilisent Google Cloud pour la téléconsultation, la télémédecine, la collaboration en télétravail des professionnels de santé, ou encore la gestion des données de santé (des patients).

piratagebis 

Pourquoi les hackers s’attaquent-ils aux utilisateurs de GCP ?

Maintenant que vous visualisez bien de quoi nous parlons, sachez donc que selon les experts en cybersécurité de Google, de plus en plus d’utilisateurs de GCP sont piratés. Majoritairement (dans 86 % des cas) pour miner des crypto-monnaies. Ainsi, les pirates informatiques détournent les instances (serveurs) Google Cloud piratées, pour générer des bitcoins ou des éthers, car il s’agit, commente Google, d’une “activité lucrative gourmande en ressources cloud (CPU/GPU, espace de stockage) et en puissance de calcul”. Selon la GCAT, le détournement des instances Google Cloud piratées pour miner des crypto-monnaies est très rapide : dans la majorité des cas, le logiciel de minage a été téléchargé dans les 22 secondes suivant la compromission du compte. “Ce qui suggère que les attaques initiales et les téléchargements ultérieurs étaient des événements scriptés ne nécessitant pas d’intervention humaine”.

Le reste du temps, les instances piratées sont utilisées pour :

  • Scanner les ports ouverts d’autres cibles et lancer des attaques contre elles (18 %),

  • Héberger des logiciel malveillants (malwares, rançongiciels, virus) ou du contenu “non autorisé” sur Internet (10 %),

  • Envoyer du spam (2 %),

  • Mener des attaques DDoS (par déni de service) ; qui sont, pour rappel, lancées à l’aide d’un grand nombre de machines piratées pour saturer des sites internet.

Bien que le vol de données “ne semble pas être l’objectif de ces piratages dans le cloud, il reste un risque associé, les instances orientées vers l’Internet étant ouvertes au scanning et aux attaques par force brute”, complète la GCAT.

 cyberattaque 2

Comment les hackers procèdent-ils ?

Pour les pirates informatiques, les utilisateurs de Google Cloud sont du pain béni. On parle assez souvent d’entreprises ou d’organisations publiques aisément victimes de ransomwares pour que cela soit compréhensible : ce n’est pas un secret, la faille se situe toujours entre la chaise et le clavier. Dans 75 % des cas, les hackers ont ainsi accédé aux instances GCP en “tirant parti des mauvaises pratiques de sécurité des clients”, ou de logiciels tiers vulnérables (utilisés par ces mêmes clients).

C’est là que les choses deviennent très concrètes. Car l’on parle évidemment ici, le plus souvent, des salariés, des employés et des fonctionnaires qui travaillent pour les entreprises et les organisations clientes de Google Cloud. Ces collaborateurs imprudents sont faciles à hacker, vous vous en doutez. Dans 48 % des cas, les hackers ont accédé à une instance Google Cloud ouverte sur Internet car il y avait un “mot de passe faible”, voire aucun mot de passe, pour ouvrir le compte utilisateur (ou l’API) visé. “Par conséquent, ces instances Google Cloud pouvaient être facilement scannées et soumises à une force brute”, indique Google.

26 % des instances compromises ont été piratées via des vulnérabilités dans des logiciels tiers, qui ont été installés par les propriétaires. 12 % ont été détournées par des hackers en raison d’une “mauvaise configuration de l’instance cloud, ou d’un logiciel tiers”. 4 % des attaques ont simplement exploité des informations d’identification divulguées imprudemment en ligne ; par exemple, des clés publiées dans des projets GitHub.

cybervendalisme 

Comment empêcher cela ?

Dans son rapport, la “Cybersecurity Action Team” de Google indique que les erreurs humaines à l’origine de ces intrusions pourraient facilement être évitées. “De nombreuses attaques réussies sont dues à une mauvaise hygiène et à un manque de mise en œuvre de contrôles de base”, observent les experts en sécurité informatique.

Parmi ses recommandations, la GCAT conseille aux utilisateurs de Google Cloud d’utiliser les solutions de cybersécurité proposées par Google, comme Work Safer (qui sécurise les e-mails et les documents partagés), Web Security Scanner ou Container Analysis (qui scannent et détectent de potentielles vulnérabilités).

Mais d’une façon plus basique, ils incitent aussi les utilisateurs (ou ceux qui managent ces derniers) à utiliser des mots de passe forts et l’authentification à deux facteurs. Ou encore, à mettre à jour leurs logiciels tiers, et à ne pas publier d’informations d’identification dans des projets GitHub. De même, conservant que les attaques par ransomware se multiplient (de la part de hackers russes ou nord-coréens), les experts de Google Cloud exhortent aussi leurs clients à faire attention, tout simplement, aux liens Google Drive qui leur sont soumis par e-mails.

Bref, il s’agit, comme souvent, de conseils de bon sens, la faille restant hélas la plupart du temps liée à une mauvaise hygiène informatique.


Source link

86 4 minutes de lecture

Articles similaires

enceinte sony big

Sony HT-AX7 : la barre de son la plus atypique de l’année ?

6 juillet 2023
drone 4 juillet 2023 big

Ce spectacle de drones du 4 juillet au Texas a établi un

6 juillet 2023
20180420 mozilla firefox icon logo big

La nouvelle mise à jour de Firefox est la dernière pour

6 juillet 2023
samsung unpacked juillet 2023 big

Les prochains smartphones pliants de Samsung arrivent le 26

6 juillet 2023
Bouton retour en haut de la page