En brefMort de Code Spaces : les erreurs fatales d’un service Cloud Jerome Saiz le 19 juin 2014 à 10h14, dans la rubrique Menaces Commentaires (9) cloudcloud computinghosted Le service Code Spaces, qui offrait l’hébergement en ligne de code source, n’est plus. Le service a été fermé après qu’un pirate eût pris le contrôle de l’interface d’administration et détruit un certain nombre de données hébergées par les clients. En surface il s’agit d’une banale affaire d’extorsion de fonds : un pirate a soumis Code Spaces à une attaque par déni de service pendant près d’une semaine (une pratique quasi-quotidienne sur les réseaux), en réclamant une somme d’argent pour faire cesser l’assaut. Parallèlement, l’attaquant était aussi parvenu à prendre le contrôle de l’interface d’administration du service sur Amazon AWS. Et lorsque l’équipe de Code Spaces a tenté de reprendre pied en voulant changer les mots de passe, le pirate a réagi en détruisant des données. « La majeure partie de nos données, de nos backups, les données de configuration des serveurs virtuels et les backups hors-site ont étés partiellement ou totalement détruits« , expliquait alors sur le site l’équipe de Code Spaces. Et l’on voit alors l’autre problème : en dépit de son slogan rassurant (« Rock Solid, Secure and Affordable Svn Hosting, Git Hosting and Project Management« ), Code Spaces était semble-t-il beaucoup plus amateur qu’il ne voulait bien l’avouer : en particulier car les sauvegardes dites « hors-site » pouvaient être accédées directement depuis la console d’administration de la production, et parce que les fonctions n’étaient pas clairement séparées entre la production, les backups et l’administration. Par ailleurs il est impossible de savoir si Code Spaces utilisait les mesures de protection offertes par Amazon AWS (authentification à double facteur, restriction sur le réseau source, ACL très granulaires), mais il paraît difficile d’imaginer, si c’était le cas, comment le pirate est parvenu à obtenir un tel contrôle sur l’ensemble du service. Bref, « Rock Solid » n’était à l’évidence qu’un voeu pieux. Mais ça, bien sûr, les clients ne pouvaient pas le savoir… Alors certes le service affirme avoir un plan de secours. Mais sans données à récupérer, il ne sert à rien. Et surtout, la situation financière de la société était telle au moment de l’attaque que le coût du traitement de cette affaire (rembourser les clients, notamment) rend impossible la continuité de l’activité. Le service va donc fermer. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!