Un Cloud sécurisé ?

Quand NBS System conçoit CerberHost en 2010, nous avons des objectifs clairs : créer un Cloud capable de répondre aux besoins du marché en termes de Cloud, de sécurité et de facilité d’usage à la fois. Ceci impliquait :

  • de garder la flexibilité de notre savoir faire en Cloud (Extend To Cloud, déploiement on-demand, …),
  • de créer un Cloud Privé en adéquation avec les normes ISO 27000 et les dispositions légales,
  • de créer un Cloud offrant la réversibilité, la récupération des données et totalement hébergé en France
  • mais surtout, de créer un Cloud privé réellement sécurisé, avec une approche très technique.
CerberHost a réussi sa seconde épreuve du feu. Après avoir protégé le site de Charlie Hebdo (très attaqué par moments), nous avons tenu à vérifier sa sécurité, dans le pire cas possible,
et il a tenu tête à une équipe d’experts en tests d’intrusion : HSC.

Comment ce Cloud a t’il été sécurisé ?

CerberHost est notre second Cloud, après le Zend Cloud.
Cette première expérience de 3 ans nous a permis d’automatiser, d’industrialiser et de mettre en production plus de 2800 sites Web à ce jour, de toute taille, allant de quelques milliers de visites par jour à plusieurs centaines de milliers de visiteurs uniques par jour.
Nous avons donc ajouté à nos systèmes de déploiements, de supervision et d’administration pas moins de 16 couches techniques de sécurité, ainsi que de nombreuses procédures.

Quelle logique pour cette sécurité ?

Nous avons tenu à ce que la sécurité de la plateforme hébergée soit :

  • indépendante de l’équipe exploitante (chez le client comme chez nous)
  • indépendante du framework utilisé
  • indépendante des failles de sécurité existantes ou non
  • indépendante de la qualité du code ajouté par les développeurs à un framework existant
  • indépendante du fait que les mises à jours soient faites ou non
  • ne bloquant pas l’exploitation des sites et ne ralentissant pas les mises en ligne

Un second test très concluant

Afin de vérifier que nous avons bien tenu nos promesses, nous avons déposé sur un environnement CerberHost standard un site volontairement troué, un site de test fait pour s’entraîner, disposant de failles de sécurité béantes. Ce logiciel « standard » s’appelle le DVWA, Damn Vulnerable Web Application.

Nous avons (pour permettre aux experts de travailler) diminué certaines protections, comme par exemple notre firewall gérant la réputation d’IP. En effet, celui-ci bannit progressivement de plus en plus intensément et longuement les IP lançant des attaques contre la plateforme. Ce dispositif, à lui seul, aurait bloqué les tests.

La conclusion de nos confrères d’HSC est sans appel :

Les tests ont été effectués au travers de la plate forme CerberHost à destination de l’application Web vulnérable DVWA avec pour objectif de contourner l’ensemble des dispositifs de sécurité de la plate forme CerberHost.

À cette fin, plusieurs types de tests ont été effectués. La première phase des tests avait pour objectif de valider la solution de filtrage applicative NAXSI en vérifiant l’ensemble des moyens d’échappements connus. Certains tests ayant été créés spécialement pour l’environnement CerberHost. La configuration de NAXSI a été modifiée pour ces tests afin d’éviter que les consultants soient bannis par le pare-feu en cas de trop nombreuses requêtes. Ce blocage pouvant diminuer la facilité d’identification de potentielles vulnérabilités.

En parallèle de l’ensemble des tests effectués, un audit de code succinct a été produit afin d’identifier de potentiels moyens de contournement et failles de types buffer overflow sur la solution de filtrage NAXSI.

Il s’est avéré qu’aucun moyen de contournement direct n’a pu être effectué. Au regard des solutions de filtrage applicatives existantes, la solution CerberHost a permis sur la durée des tests de bloquer la quasi-totalité des attaques Web standard. De plus, les attaques de contournement de solutions de filtrages permettant de passer outre une partie des solutions du marché se sont révélées inopérantes.

Quelques éléments non contrôlés ayant la faculté d’être exploités dans des cadres très limités d’applications Web vulnérables ont tout de même été identifiés. Ceux-ci pouvant être facilement corrigés au travers de règles de filtrage spécifiques. La seconde phase des tests avait pour objectif d’identifier des vulnérabilités au niveau de la gestion des fichiers téléchargés sur le serveur, ainsi que sur l’ensemble du socle système.

Ces tests ont été effectués sur un socle système où le niveau de sécurité a été diminué volontairement pour les tests. En effet, lors du téléchargement de fichiers PHP contenant du code actif sur le serveur, l’accès aux fichiers étant bloqué et l’exécution de commande systèmes par PHP étant désactivé par défaut, l’accès au socle système aurait été très restreint.

Cette phase n’a pas permis d’identifier de vulnérabilité autorisant l’obtention d’accès privilégiés sur le serveur. D’une manière générale, il est donc possible de conclure qu’au regard des tests effectués, aucune vulnérabilité permettant de détourner la machine tournant en environnement CerberHost ou de modifier son contenu n’a été identifiée.

La troisième épreuve du feu

  • après avoir résisté aux dizaines de milliers d’attaques lancées contre le site de Charlie Hebdo,
  • après avoir résisté aux tests d’intrusions mené par un cabinet d’expert,
  • nous lançons un concours, public, accessible à ceux souhaitant défier CerberHost.

Le même setup avec un site DVWA est mis en place sur l’adresse http://challenge.cerberhost.com et chacun est libre d’essayer de franchir les sécurités de CerberHost (après enregistrement du concurrent). Nous mettons en jeu 5 000 € à celui ou celle qui parviendrait à compromettre l’environnement, tous les détails sont exposés ici : CerberHost Spring Challenge.

Philippe Humeau
Philippe Humeau
Philippe a co-fondé NBS System en 1999. Après s’être concentré sur la sécurité, qu’il n’a jamais abandonnée, il se découvre une passion pour le ecommerce à partir de 2008. Tour à tour pentester, CTO, CCO puis CEO, son profil touche-à-tout l’a conduit à devenir directeur marketing et stratégie d’OT Group après notre intégration dans celui-ci.