Cloud or not to Cloud ?

Le Cloud est un sujet à la mode depuis déjà quelques années, mais pour ceux qui ne savent pas encore ce qu’est le Cloud, un petit rappel bref n’est pas inutile.

Vous utiliser, la majorité d’entre-vous, les services de Google, tels que Google Mail, Google Calendar, Google Docs, Skype, etc. Tous ces services sont des services “Cloud”. Vous n’avez plus à vous soucier d’installer un serveur de mail pour votre entreprise, Google vous l’offre et prend en charge l’administration et les évolutions du service. Vous n’avez plus besoin d’installer un logiciel du type Outlook pour gérer vos contacts et vos rendez-vous, Google Mail et Calendar répondent à vos besoins. Pourquoi installer Microsoft Office, Microsoft et Google vous propose gratuitement ou de louer à la demande ces suites de logiciels bureautique. Les domaines d’applications du Cloud peuvent se multiplier à l’infinie.

Pour une entreprise, l’avantage économique du Cloud se situe à ne plus à avoir de dépenses d’investissement de capital (CAPEX) sur le hardware, les logiciels, etc. De ne plus avoir besoin d’une escouade d’informaticiens interne, car toute l’administration et la gestion quotidienne sont délocalisées chez le fournisseur de service “Cloud”.

Beaucoup de souplesse, d’agilité, d’intérêts financier dans le Cloud, mais pour autant la mutualisation des infrastructures, des logiciels à aussi comme contrepartie de délocaliser et de mutualiser les risques. Est-ce que vos données d’entreprises sont bien séparées des données d’autres entreprises, est-ce que les personnes qui accèdent à vos données sont bien autorisées à le faire, est-ce que les locaux et ressources du fournisseur sont bien protégées contres des accès physiques frauduleux, est-ce que vos données seront toujours accessible pour que vous puissiez continuer à travailler à n’importe quel moment, est-ce que les lois en vigueur pour votre fournisseur sont conformes à vos obligations légales ? Etc.

Il suffit simplement de se projeter une semaine en arrière pour voir que la délocalisation et la mutualisation des risques est effectivement un facteur à prendre en compte lorsque l’on veut se lancer dans une expérience “Cloud”.

Skype, par exemple, a subit cette semaine une journée entière de perturbation, empêchant quelques dizaines de millions d’utilisateurs de pouvoir tous simplement téléphoner … Les entreprises basant leurs appels uniquement sur Skype ont bien sûr mal évalués, ou omit, le risque encouru de la perte de ce canal de communications. Il est toujours nécessaire de penser à une roue de secours.

Encore cette semaine, Microsoft a reconnus que des données de sociétés clientes du service BPOS (Business Productivity Online Suite) ont vu celles-ci se voir accéder par des utilisateurs d’autres sociétés. Malheureusement Microsoft n’est pas dans la possibilité de savoir depuis combien de temps ces accès ont pu avoir lieu.

Le Cloud sera de toute façon la prochaine évolution forcée de l’informatique grand publique et professionnelle, mais plutôt que de vous lancer tête baisser dans l’aventure, n’oubliez pas d’évaluer vos risques.

Some videos of DLL Hijacking exploitation with Metasploit

Didn’t have time in August (holidays) to write a complete blog posts on the DLL Hijacking thing. So I only did some YouTube videos, how explain better the dangerousity of this flaw. But what is interesting in this story, is the “Acros” position on the HDMoore proposed coordinate disclosure process and the collision between security researchers on the same vulnerability without knowing that they are working on the same thing but thousand of milles away from each other.