Dans une communication de 14 pages très denses, une équipe de chercheurs de l’Université de Boston (MIT) explique comment il est possible de cartographier toute l’infrastructure d’un hébergeur de « Cloud Computing » -dont les serveurs d’applications-, d’exploiter les porosités entre VM « hostées », de récupérer des informations par des techniques de type « side channel attack » et même d’envisager des techniques d’agression en analysant le trafic DNS et en tirant des estimations statistiques pouvant permettre d’injecter un code sur le même serveur que celui utilisé par la victime. Le cas d’école visait les services Cloud offerts par Amazon (EC2) mais, précisent les chercheurs, peut s’étendre à tous les autres prestataires, tel que Azure de Microsoft.
Les modélisations d’attaques peuvent paraître parfois assez rocambolesques… comme le sont pratiquement toutes les techniques quasi divinatoires qui reposent sur des mesures, des probabilités et des analyses de variations parfois ténues. Mais l’expérience prouve que ces techniques fonctionnent, très bien même. Il est peu probable que cette étude relativement savante ait un quelconque impact sur la mode du Cloud et sur les décisions d’investissement des entreprises clientes. Il est également peu probable que ce soit la dernière étude du genre.