3. Utilisation abusive et malveillante
Les attaquants profitent de la capacité de calcul à bas coût
Impact
• Password cracking, Deni de service, hébergement de malware, spam,
CAPTCHA cracking
Exemple
• Malware hosting et blacklistage des IPs dʼAmazon EC2
3
4. Insécurité des interfaces (APIs)
Les APIs de gestion du cloud peuvent être vulnérables
Impact
• Confidentialité et intégrité des données
• Deni de service
Exemple
• P0wning the Programmable Web (Websense - AusCERT 2009)
4
5. Utilisateurs internes malveillants
Les utilisateurs du fournisseur dʼinfrastructure peuvent abuser des
privilèges + visibilité réduite sur les procédures internes
Impact
• Confidentialité et intégrité des données
• Réputation et répercussions légales
Exemple
• Google investigates insider threat after China Hack
5
6. Vulnérabilités de la technologie de partage des ressources
Le matériel, les systèmes dʼexploitation, le middleware, les applications et
les réseaux ne sont pas complètement isolés
Impact
• Clients en collocation peuvent être perméables
Exemple
• Cloudburst - Kostya Kortchinksy
• Red and Blue pill - Joanna Rutkowaska
6
7. Fuite ou perte de données
Les problèmes de contrôle dʼaccès ou chiffrement dit faible
Impact
• Intégrité et confidentialité des données
Exemple
• Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party
Compute Clouds - UCSD/MIT
7
8. Détournement de compte ou service
Le vol des données dʼauthentification
Impact
• Confidentialité et intégrité des données
• Réputation
Exemple
• Twitter DNS account compromise
8
9. Profil de risque inconnu
La visibilité réduite et le manque de transparence des fournisseurs cloud
Impact
• Pertes de données peuvent survenir sans connaissance du consommateur de
services cloud
Exemple
• Heartland Payments Systems was “willing to do only the bare minimum and
comply with state laws instead of taking the extra effort to notify every single
customer, regardless of law, about whether their data had been stolen”
9