Une étude souligne les problèmes de sécurité « graves » chez les fournisseurs de cloud
Une analyse de cinq fournisseurs de stockage cloud de bout en bout a révélé de graves vulnérabilités cryptographiques, selon un livre blanc publié ce mois-ci par des chercheurs de l’université suisse ETH Zurich.
L’article, intitulé « Stockage cloud crypté de bout en bout dans la nature : un écosystème brisé », a été rédigé par Jonas Hofmann et Kien Tuong Truong, chercheurs de l’ETH Zurich. L’étude concerne une « analyse approfondie » de cinq systèmes de stockage cloud de bout en bout appartenant à Icedrive, pCloud, Seafile, Sync et Tresorit. L’étude a finalement révélé « de graves vulnérabilités cryptographiques » chez quatre des cinq fournisseurs, concluant que « de nombreux fournisseurs ne parviennent pas à fournir un niveau de sécurité adéquat ».
Bien que les fournisseurs ne soient pas aussi grands que Google et AWS, Hofmann et Truong ont noté que les cinq fournisseurs desservent plus de 22 millions d’utilisateurs cumulés et stockent des centaines de pétaoctets de données.
« Nos attaques invalident les allégations marketing des fournisseurs de ces systèmes, montrant qu’un serveur malveillant peut, dans certains cas, injecter des fichiers dans le stockage crypté des utilisateurs, falsifier les données des fichiers et même accéder directement au contenu du dossiers », lit-on dans le journal. « Beaucoup de nos attaques affectent plusieurs fournisseurs de la même manière, révélant des schémas de défaillance courants dans les conceptions cryptographiques indépendantes. Nous concluons en discutant de l’importance de ces schémas au-delà de la sécurité des fournisseurs spécifiques. »
Dans leur analyse, Hofman et Truong ont mené une analyse des systèmes de stockage susmentionnés dans le but de cibler la confidentialité du contenu des fichiers ainsi que des métadonnées (en se concentrant sur le nom et l’emplacement du fichier) et bien plus encore. Les chercheurs ont utilisé 10 classes d’attaques réparties dans les quatre catégories suivantes :
- Attaques visant la confidentialité (quatre types d’attaques) ;
- Attaques ciblant les données de fichiers (deux attaques) ;
- Attaques ciblant les métadonnées (deux attaques) ; et
- Deux attaques qui « peuvent permettre à un attaquant d’injecter des fichiers dans le stockage de l’utilisateur, donnant l’impression que celui-ci les a téléchargés ».
Pour une attaque ciblant Sync, « un serveur malveillant est capable de forcer le client à chiffrer des fichiers à l’aide d’une clé contrôlée par l’attaquant, ce qui permet ensuite à l’attaquant de les déchiffrer ». Ce problème était également présent dans pCloud. Sync et Tresorit ont partagé un problème dans lequel ils manquaient tous deux d’infrastructure de clé publique et de vérification hors bande, ce qui pouvait être utilisé pour violer la confidentialité des dossiers partagés.
Dans une autre attaque partagée par Seafile et pCloud, Hofman et Truong ont créé des attaques « qui exploitent une authentification incorrecte ou manquante des morceaux de fichiers, permettant de supprimer ou de réorganiser des morceaux dans un fichier ».
Concernant les métadonnées, Sync, pCloud, Icedrive et Seafile étaient vulnérables aux exploits impliquant « la liaison entre le contenu, les noms et les chemins des fichiers ». Un serveur malveillant pourrait échanger les noms de deux fichiers et, dans le cas d’une attaque Icedrive, tronquer les noms de fichiers en exploitant un manque d’authentification par chiffrement. Les chercheurs ont affirmé que l’intégrité des métadonnées n’est protégée chez aucun des fournisseurs, ce qui les rend vulnérables.
Sync et pCloud étaient vulnérables aux attaques ciblées par injection de fichiers.
« Nous proposons des attaques contre Sync et pCloud qui permettent à un serveur malveillant de placer des fichiers dans le répertoire d’un utilisateur. Plus précisément, le but de l’adversaire est d’insérer un fichier choisi dans le stockage de l’utilisateur, d’une manière qui ne se distingue pas d’un fichier que le l’utilisateur a téléchargé », lit-on dans le rapport. « Tant qu’un fichier injecté ne peut pas être distingué d’un fichier honnêtement téléchargé, du moins depuis l’interface utilisateur, une telle attaque pourrait être utilisée pour placer du matériel incriminant dans le stockage de l’utilisateur, permettant ainsi un chantage. Dans Sync, un attaquant peut injecter des dossiers entiers. dans le stockage de l’utilisateur (Section 3.4.2). Dans pCloud, un adversaire peut ajouter des fichiers individuels dans le stockage de l’utilisateur (Section 3.4.1).
Les détails techniques complets sont disponibles dans le Rapport de 14 pages.
Bien que les cinq fournisseurs aient une certaine marge d’amélioration, les chercheurs ont fait valoir que Tresorit était le moins touché « en raison d’une conception comparativement plus réfléchie et d’un choix approprié de primitives cryptographiques ».
Hofman et Truong ont informé les cinq fournisseurs des problèmes décrits dans le rapport, suggérant des divulgations coordonnées avec Sync, pCloud, Seafile et Icedrive en raison des vulnérabilités trouvées. Pour Tresorit, les chercheurs ont contacté le fournisseur pour discuter de la conception cryptographique pertinente. Ils ont déclaré qu’Icedrive avait accusé réception mais avait choisi de ne pas résoudre les problèmes décrits, Seafile a répondu et a déclaré que l’un des problèmes serait résolu, Tresorit a accusé réception du courrier électronique et ni pCloud ni Sync n’ont répondu à plusieurs demandes le 4 septembre.
TechTarget Editorial a contacté les cinq fournisseurs pour obtenir des commentaires supplémentaires.
Un porte-parole de Sync a déclaré à TechTarget Editorial que l’équipe de sécurité de l’entreprise avait pris connaissance le 11 octobre des problèmes décrits dans le rapport et que l’entreprise avait contacté l’équipe de recherche pour partager ses résultats et collaborer sur les prochaines étapes. De plus, le porte-parole a déclaré que « le problème potentiel de fuite de données sur les liens (tel que signalé) a déjà été résolu, et nous travaillons actuellement à résoudre rapidement les problèmes potentiels restants. »
« Comme le souligne le document de recherche, ces vulnérabilités existent sous prétexte d’un serveur compromis. Il n’y a aucune preuve que ces vulnérabilités ont été exploitées ou que les données des fichiers ont été consultées », a écrit le porte-parole. « Nous comprenons qu’en utilisant Sync, la confiance nous est accordée. Mais la promesse du chiffrement de bout en bout est que vous n’avez besoin de faire confiance à personne, pas même à nous. Ce concept est au cœur de notre modèle de chiffrement et au cœur de ce que nous faisons. Nous nous engageons à résoudre ces problèmes.
Un porte-parole d’Icedrive a déclaré dans un e-mail que la société était au courant du document de recherche et « qu’il n’y a aucun danger réel pour les données cryptées sans connaissance stockées sur nos serveurs – elles ne peuvent pas être déchiffrées sans connaître la phrase secrète ».
« Si quelqu’un prend le contrôle total d’un serveur de fichiers (ce qui en soi n’est pas une tâche facile) et altère les fichiers d’un utilisateur, nos applications le détecteront à l’aide des contrôles d’intégrité des fichiers dont nous disposons et ne décrypteront pas les fichiers, émettant un avertissement d’erreur. « , a déclaré le porte-parole. « Nous améliorons constamment nos applications et services, résolvons les problèmes et ajoutons de nouvelles fonctionnalités. Nous examinerons attentivement nos méthodes de cryptage et les mettrons à jour pour nous conformer aux normes actuelles de l’industrie. »
Alexander Culafi est rédacteur principal de nouvelles sur la sécurité de l’information et animateur de podcast pour TechTarget Editorial.
