Détection automatisée des vulnérabilités de sécurité dans les applications cloud

Le cloud computing est un marché en pleine croissance. Mais les cyberattaques contre les systèmes logiciels cloud sont également en augmentation, car ces applications contiennent souvent des vulnérabilités de sécurité que les pirates peuvent exploiter. Le logiciel CodeShield, produit par la société du même nom, découvre ces vulnérabilités et les corrige à l’aide de méthodes automatisées. CodeShield est une spin-off de l’Institut Fraunhofer pour la conception de systèmes mécatroniques IEM et de l’Institut Heinz Nixdorf de l’Université de Paderborn.

De plus en plus d’entreprises déplacent leur infrastructure informatique vers le cloud, en utilisant la capacité de stockage et de calcul offerte par les services cloud ou les applications de programmation directement dans le cloud. Les systèmes cloud offrent de nombreux avantages, mais ils nécessitent également la mise en place de mesures de sécurité particulières. De nombreuses entreprises ne sont pas préparées à cela, ce qui peut avoir des conséquences sur la sécurité de leurs données. «Souvent, nous voyons des interfaces Web non sécurisées, des interfaces mal configurées ou des protocoles d’accès vulnérables qui sont ouverts à l’exploitation par des cybercriminels. Cela peut entraîner la perte de données sensibles, pour ne citer qu’un exemple», déclare le professeur Eric Bodden, scientifique chez Fraunhofer IEM. En collaboration avec des collègues de l’Institut Heinz Nixdorf de l’Université de Paderborn, il a créé la spin-off CodeShield en 2020 et a développé un outil du même nom qui analyse et évalue la sécurité des applications cloud et corrige les vulnérabilités. Outre le professeur Bodden, la start-up a été fondée par Manuel Benz, Andreas Dann et le Dr Johannes Späth et compte désormais neuf employés. « Les cibles des attaques de pirates informatiques peuvent inclure les compartiments accessibles en écriture publique des entreprises. Ces types de conteneurs cloud stockent des données sous forme d’objets. Les attaques sont possibles si le compartiment n’est pas en lecture seule et peut donc être consulté publiquement, par exemple », explique Bodden . Les victimes bien connues de ce type d’attaque comprennent la plate-forme de négociation BHIM et AutoClerk, un système de gestion de propriété hôtelière basé sur une plate-forme. Les attaques ont abouti à la chute de millions d’éléments de données d’utilisateurs et de comptes entre les mains des auteurs.

Détection automatique des vulnérabilités de sécurité

Le but de CodeShield est de mettre un terme à ces activités de cybercriminalité. Le logiciel utilise un processus automatisé pour analyser les vulnérabilités dans le code du programme, en se concentrant sur les applications cloud natives, qui connaissent actuellement un boom de popularité. Parmi les principaux exemples de technologies cloud natives, on trouve Spotify et Netflix. Les scooters électriques, qui sont monnaie courante dans nos rues depuis un certain temps déjà, sont également connectés au cloud. Les applications sont hébergées directement par le fournisseur de cloud. Le code du programme est également programmé dans le cloud et est ensuite stocké et exécuté dans des entreprises telles qu’Amazon Web Services, un fournisseur populaire dans ce domaine. Le nœud du problème est le suivant: «Les interfaces et les composants mis à disposition par les fournisseurs – qui peuvent être décrits comme une sorte de boîte à outils modulaire – ne sont pas faciles à utiliser. Bien qu’ils permettent aux programmeurs de développer de nouvelles applications en peu de temps. temps, des données privées peuvent finir par être publiées par inadvertance si les interfaces sont mal configurées », explique l’informaticien. « CodeShield ne se contente pas de découvrir ces vulnérabilités en temps réel à l’aide de moyens automatisés – il les visualise également en même temps. » Couvrant tout, du site Web et de l’application au code et au conteneur de données, le logiciel présente l’ensemble de l’infrastructure cloud sous forme de diagrammes afin que les programmeurs puissent identifier rapidement les problèmes et les faiblesses. Des composants tels que des bibliothèques open-source de fournisseurs tiers peuvent également être intégrés, affichés et vérifiés ici.

Méthode d’empreinte digitale et analyse des flux de données

Pour découvrir les vulnérabilités de sécurité dans le code, l’outil utilise ce que l’on appelle une méthode d’empreinte digitale. Cela implique que Bodden et son équipe téléchargent les composants open-source à partir du cloud et calculent une empreinte digitale pour chaque composant. Cette empreinte digitale permet de reconnaître immédiatement tout code non sécurisé s’il est à nouveau intégré dans une application à une date ultérieure.

De plus, CodeShield analyse le code du programme que les développeurs écrivent eux-mêmes, stockent dans le cloud et modifient constamment pour adapter et étendre les fonctionnalités. Dans ce cas, CodeShield effectue quotidiennement des analyses de flux de données hautement efficaces. Le travail de ces analyses comprend la vérification des entrées utilisateur dans le front-end pour détecter rapidement toute manipulation. Des algorithmes spécialement développés permettent de réaliser des analyses de haute qualité. Le taux de faux positifs de CodeShield est inférieur à cinq pour cent. «De nombreux outils de sécurité informatique génèrent des faux positifs compris entre 70 et 80%, ce qui est un énorme problème pour les développeurs. C’est comparable à un correcteur orthographique qui met en évidence les erreurs dans chaque phrase là où il n’y en a pas», explique le scientifique. Cependant, la technologie CodeShield est différente. À titre d’exemple, il a identifié des vulnérabilités de sécurité dans l’application d’avertissement de coronavirus en Allemagne avant son lancement.