Comme chaque année maintenant, a eu lieu la nuit du hack 2010 avec au moins 600 personnes qui ont pu assisté à différentes conférences et ateliers sur des sujets autour de la sécurité (allant du crochetage de serrure au cassage de mot de passe à l'aide d'un GPU).

La croisière s'amuse

J'ai surtout apprécié 2 conférences, la première sur un framework intéressant pour faire du XSS appelé Xeek, et la seconde sur justement le cassage de mot de passe via un GPU.

Le premier m'a rappelé que pour la sécurité du Cloud Computing, on avait les mêmes problèmes qu'en environnement mutualisé. Une fois les barrières classiques franchies (Firewall, etc.), si l'application d'un client est trouée, elle permettra à un attaquant de frapper de l'intérieur si on n'a pas blindé l'environnement et l'étanchéité entre les clients (ce qui est loin d'être évident à faire).

Le deuxième m'a assez bluffé quand j'ai vu un password de 7 caractères (ndh2010) se faire cracker en quelques minutes via la carte graphique d'un mac portable. En dehors du fait que maintenant mes mots de passe font 23 caractères incluant du cyrillique, cela m'a fait penser à un usage futur probable du cloud, le cloud de cassage de mot de passe ou "Crack Cloud".

Ainsi, au lieu de passer 2 mois à casser un mot de passe de 9 caractères, il ne suffira plus que quelques heures sur un cloud de GPU pour un coût inférieur à 1000 Euros.

Cela m'a fait réfléchir à la question de l'intérêt pour un pirate de voler des comptes EC2 ou autre cloud publique pour se constituer un "Crack Cloud" voire même plus globalement un MalCloud c'est à dire un Cloud orienté pour des activités "evils".

Mais en fait, ce MalCloud existe déjà. En effet, depuis plusieurs années maintenant les pirates se constituent des réseaux de machines zombies, réseau nommé botnet, qu'ils pilotent à distance pour exécuter des tâches distribuées comme des dénis de service distribués (ou DDoS). Cela veut il dire que les pirates seraient à l'origine même du concept de Cloud et que les botnets seraient les premiers Clouds effectivement en production sur l'Internet ? Dans ce cas ils auraient dû breveter l'idée, ils auraient surement gagner plus d'argent en attaquant légalement les majors du Cloud actuellement en place plutôt qu'en revendant le million de comptes mails pour 100 Euros et polluer ma boîte aux lettres...