Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

En bref

Mort de Code Spaces : les erreurs fatales d’un service Cloud

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Le service Code Spaces, qui offrait l’hébergement en ligne de code source, n’est plus. Le service a été fermé après qu’un pirate eût pris le contrôle de l’interface d’administration et détruit un certain nombre de données hébergées par les clients.

En surface il s’agit d’une banale affaire d’extorsion de fonds : un pirate a soumis Code Spaces à une attaque par déni de service pendant près d’une semaine (une pratique quasi-quotidienne sur les réseaux), en réclamant une somme d’argent pour faire cesser l’assaut.

Parallèlement, l’attaquant était aussi parvenu à prendre le contrôle de l’interface d’administration du service sur Amazon AWS. Et lorsque l’équipe de Code Spaces a tenté de reprendre pied en voulant changer les mots de passe, le pirate a réagi en détruisant des données. « La majeure partie de nos données, de nos backups, les données de configuration des serveurs virtuels et les backups hors-site ont étés partiellement ou totalement détruits« , expliquait alors sur le site l’équipe de Code Spaces.

Et l’on voit alors l’autre problème : en dépit de son slogan rassurant (« Rock Solid, Secure and Affordable Svn Hosting, Git Hosting and Project Management« ), Code Spaces était semble-t-il beaucoup plus amateur qu’il ne voulait bien l’avouer : en particulier car les sauvegardes dites « hors-site » pouvaient être accédées directement depuis la console d’administration de la production, et parce que les fonctions n’étaient pas clairement séparées entre la production, les backups et l’administration.
Par ailleurs il est impossible de savoir si Code Spaces utilisait les mesures de protection offertes par Amazon AWS (authentification à double facteur, restriction sur le réseau source, ACL très granulaires), mais il paraît difficile d’imaginer, si c’était le cas, comment le pirate est parvenu à obtenir un tel contrôle sur l’ensemble du service.

Bref, « Rock Solid » n’était à l’évidence qu’un voeu pieux. Mais ça, bien sûr, les clients ne pouvaient pas le savoir…

Alors certes le service affirme avoir un plan de secours. Mais sans données à récupérer, il ne sert à rien. Et surtout, la situation financière de la société était telle au moment de l’attaque que le coût du traitement de cette affaire (rembourser les clients, notamment) rend impossible la continuité de l’activité. Le service va donc fermer.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

9 réponses à Mort de Code Spaces : les erreurs fatales d’un service Cloud

  1. Jonathan dit :

    L’affaire ferait presque sourire si elle n’avait pas un impact aussi dramatique (données, emplois, etc.)… C’est ce qui était arrivé en octobre dernier à MavenHosting, hébergeur canadien qui a perdu ses fichiers, mais aussi ses bases de données ainsi que les backups de ces dernières, menant à la faillite de nombreuses TPE et PME.

    Sur la forme, plusieurs coquilles :
    – « après qu’un pirate en ait pris le contrôle et ait détruit » : « après que » est toujours suivi de l’indicatif et non du subjonctif. Il faut donc écrire « après qu’un pirate en a pris le contrôle et a détruit »
    – « une pratique quasi-quotidienne sur les réseau » : oubli du pluriel sur « réseaux »
    – « Parallèlement l’attaquant » : virgule manquante, devrait être « Parallèlement, l’attaquant »
    – « le pirate a réagit en détruisant des données » : devrait être « a réagi »
    – « et parce que et les fonctions » : un « et » de trop
    – « un voeu pieu » : devrait être « un vœu pieux »

    après
    qu’un pirate en ait pris le contrôle et ait détruit – See more at:
    http://securityvibes.wpengine.com/menaces-alertes/cloud-spaces-mort/#sthash.iEq3oLfs.dpuf
    après
    qu’un pirate en ait pris le contrôle et ait détruit – See more at:
    http://securityvibes.wpengine.com/menaces-alertes/cloud-spaces-mort/#sthash.iEq3oLfs.dpuf
    après
    qu’un pirate en ait pris le contrôle et ait détruit – See more at:
    http://securityvibes.wpengine.com/menaces-alertes/cloud-spaces-mort/#sthash.iEq3oLfs.dpuf

    • En effet ce n’est pas le premier incident de ce type, mais la piqûre de rappel est toujours bienvenue. Il est malheureusement très facile de prendre pour argent comptant les promesses de services en ligne, mais plus difficile d’en contrôler la véracité (et nous sommes les premiers à procéder de la sorte). Et même si le client d’un service « sur étagère » peut difficilement négocier ou obtenir des garanties du fournisseur, ça nous rappelle au moins l’intérêt de gérer nos propres backups, même pour des informations dans le nuage.

      Sur la forme, merci pour votre relecture efficace ! La première version de cet article a été publiée avant relecture complète, et ça se voit 🙂

    • JP dit :

      « en eut pris le contrôle. »

  2. Un backup hors-site est par définition inaccessible via le seul Internet, je ne comprends pas comment le pirate a pu en endommager.

    • C’est bien ce que tout le monde reproche à Cloud Spaces 🙂 Et c’est bien pour cela que l’on parle d’erreurs fatales ! En effet, les sauvegardes hors-site ne doivent pas être accessibles, sinon cela tue leur intérêt…

  3. thomas-l dit :

    En parlant de forme, le nom du fournisseur n’est-il pas plutôt ‘Code Spaces’ plutôt que ‘Cloud Spaces’ ???
    Enfin je dis ça, je dis rien …

  4. chloe dit :

    Certes, il n’y a pas mieux qu’une authentification forte à double facteur pour minimiser les risques sur le Web en ce moment, surtout depuis la découverte de Heartbleed et la percée majeure du cloud computing. Cette méthode de double authentification est aussi utilisé efficacement par chaque employé de google. Mais PME et particulier pourraient bénéficier de cette solution en choisissant Lastpass.

  5. Annuit Coeptis dit :

    Mdrrrr, ok cette article à 2 ans, mais je le trouve tellement marrant!! enfaite je me dis bien fait pour la gueule de code spaces. Faire les malin en tentant de changer le mot de passe plutôt que de coopéré avec le pirate, c’est être un grand idiot et prendre les gens pour des crétins. Si un pirate attaque mon site, au lieu de le sous-estimé comme font la plupart des crétins qui croit tout connaître en sécurité mieux que quiconque, je tenterais de dialoguer avec lui, et sachant que les admin de se site devait être riches, il aurait pu payé, ce que moi j’aurais fait. Et après cela, j’aurais sécurisé un peu mieux mon site. Car sous-estimé les gens c’est belle et bien pour les crétins, quand un pirate t’attaque il faut prendre en compte le fait qu’il a peut-être trouver d’autre vulnérabilité autre que de faire un DDoS, et forcément, il ne vous dira pas quel vulnérabilité il a trouver sinon vous seriez en mesure de boucher les failles, donc il fait un ddos. Bref, bien fait pour la gueule de code spaces, que je n’ai jamais connu, mais qui devait être une belle brochette de crétin se pensant plus fort que quiconque. En tout cas, bien joué au pirate.
    Enfaite ce qui me fait surtout sourire, c’est la négligance de ces crétins qui se croient fort mais qui non même pas fait de backup sur des server offline, alalalala, belle bande de crétin ça. J’aimerais qu’un admin de se site passe par là lire mon message pour ragé encore plus de son erreur de naze. lol, jouer avec le code source des gens (pas faire de backup c’est ce foutre de la gueule des gens/clients quand même) enfin bref.

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.

Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.

BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.

Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.