Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

En bref

Mort de Code Spaces : les erreurs fatales d’un service Cloud

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Le service Code Spaces, qui offrait l’hébergement en ligne de code source, n’est plus. Le service a été fermé après qu’un pirate eût pris le contrôle de l’interface d’administration et détruit un certain nombre de données hébergées par les clients.

En surface il s’agit d’une banale affaire d’extorsion de fonds : un pirate a soumis Code Spaces à une attaque par déni de service pendant près d’une semaine (une pratique quasi-quotidienne sur les réseaux), en réclamant une somme d’argent pour faire cesser l’assaut.

Parallèlement, l’attaquant était aussi parvenu à prendre le contrôle de l’interface d’administration du service sur Amazon AWS. Et lorsque l’équipe de Code Spaces a tenté de reprendre pied en voulant changer les mots de passe, le pirate a réagi en détruisant des données. « La majeure partie de nos données, de nos backups, les données de configuration des serveurs virtuels et les backups hors-site ont étés partiellement ou totalement détruits« , expliquait alors sur le site l’équipe de Code Spaces.

Et l’on voit alors l’autre problème : en dépit de son slogan rassurant (« Rock Solid, Secure and Affordable Svn Hosting, Git Hosting and Project Management« ), Code Spaces était semble-t-il beaucoup plus amateur qu’il ne voulait bien l’avouer : en particulier car les sauvegardes dites « hors-site » pouvaient être accédées directement depuis la console d’administration de la production, et parce que les fonctions n’étaient pas clairement séparées entre la production, les backups et l’administration.
Par ailleurs il est impossible de savoir si Code Spaces utilisait les mesures de protection offertes par Amazon AWS (authentification à double facteur, restriction sur le réseau source, ACL très granulaires), mais il paraît difficile d’imaginer, si c’était le cas, comment le pirate est parvenu à obtenir un tel contrôle sur l’ensemble du service.

Bref, « Rock Solid » n’était à l’évidence qu’un voeu pieux. Mais ça, bien sûr, les clients ne pouvaient pas le savoir…

Alors certes le service affirme avoir un plan de secours. Mais sans données à récupérer, il ne sert à rien. Et surtout, la situation financière de la société était telle au moment de l’attaque que le coût du traitement de cette affaire (rembourser les clients, notamment) rend impossible la continuité de l’activité. Le service va donc fermer.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

9 réponses à Mort de Code Spaces : les erreurs fatales d’un service Cloud

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.