« Le DOGE a copié l'intégralité de la base de données de la sécurité sociale vers un système cloud non sécurisé », d'après un lanceur d'alerte

Qui soulève la problématique du passage des mainframes au cloud

Un lanceur d'alerte affirme qu'un ancien haut responsable du DOGE, aujourd'hui employé par l'administration de la sécurité sociale, a copié les numéros de sécurité sociale, les noms et les dates de naissance de plus de 300 millions d'Américains dans une section privée du cloud de l'agence. La manœuvre sujette à controverse étant donné les risques en matière de sécurité liés au fait d’opter pour le cloud s’inscrit dans le cadre des tentatives de migration des systèmes de systèmes informatiques de l’administration de la sécurité sociale (SSA) vers le cloud.

Des mainframes au cloud : Quels avantages et quels inconvénients ?

L’alerte est fondée quand on prend en compte les vols de données opérés ces dernières années par des tiers sur divers services dans le nuage.

Les avantages du cloud computing sont une évidence. Les plus notables sont : la réduction des coûts de maintenance d’une infrastructure informatique, la réduction de la consommation énergétique, la disposition rapide d'une plateforme prête à l'emploi pour le déploiement des applications, la disposition d'une solution de sauvegarde simple et accessible à tous, même aux non-informaticiens, etc. Cependant, devant toutes les possibilités offertes, il demeure des réticences dans son adoption. Ces réticences sont liées, pour la plupart, au facteur de sécurité, qui reste encore un véritable défi :

• la fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats, les smartcards, la technologie OTP et bien d’autres ;
• l’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;
• l’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;
• le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;
• une action malveillante lancée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;
• les menaces persistantes avancées qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaques difficile à détecter pour un fournisseur de services cloud ;
• la perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;
• les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;
• utilisation frauduleuse des technologies cloud en vue de cacher l'identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation (la plupart des FAI proposent 30 jours d’essai gratuits) ou des accès achetés frauduleusement ;
• le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;
• les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l'architecture externe d...