cloudCombien êtes-vous, entrepreneurs, à recourir à l’utilisation d’un cloud pour l’hébergement de vos données, pour leur transmission inter entreprise ? De plus en plus, à défaut de chiffres absolus. Alors est-il temps de se demander si tout est bien dans le meilleur des nuages ? Et bien non si l’on en croit cette information révélée par le site 01net.

Figurez-vous qu’une faille, dénommée Venom (le venin en anglais) vient d’être mise au jour. « L’exploit permet à un attaquant de pénétrer une machine virtuelle, d’exécuter du code sur la machine hôte et d’accéder à n’importe quelle autre machine virtuelle qui fonctionnerait sur ce serveur. Pire, l’attaquant pourrait potentiellement obtenir « des droits d’accès élevés au réseau local de l’hôte et aux systèmes adjacents », expliquent les experts en sécurité de la société Crowdstrike, qui ont découvert cette faille et lui ont donné son nom. « La bonne nouvelle est que nous avons découvert cette faille avant que des personnes malintentionnées ne le fassent », expliquait Jason Geffner de Crowdstrike. » Doit-on s’inquiéter dès lors ? Non car la menace est détectée et donc en cours de traitement c’est en tout cas se qu’assurent les experts.

Toutefois, le point de départ de la faille pose problème. « La mauvaise nouvelle est que la vulnérabilité, qui concerne le contrôleur du lecteur de disquette virtuelle de Quick Emulator (QEMU, un hyperviseur open source), est largement répandue. Le code de QEMU est en effet utilisé dans de nombreuses plates-formes de virtualisation comme Xen, KVM ou Oracle VM Virtualbox, pour ne citer que les plus populaires. Les produits VMWare, l’Hyper-V de Microsoft ou encore les hyperviseurs Bochs ne sont, eux, pas concernés. »

« Les experts de Crowdstrike conviennent que cette faille pourrait exposer des milliers de contenus, mettant à mal les droits à la propriété intellectuelle ou à la vie privée. Un attaquant ou un malware pourrait effectivement accéder aux bases de données d’une société connectée aux systèmes attaqués. Pour autant, le fait que le déploiement des correctifs soit centralisé peut également plaider en faveur du cloud. Car la faille sera ainsi jugulée bien plus rapidement. Crowdstrike encourage donc les entreprises à s’assurer que leur prestataire dans le nuage déploie rapidement un correctif. ».

L’avenir du nuage s’assombrit ? Réponse dans les semaines et mois qui viennent…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *


*