Les failles critiques du Black Hat sur au moins six services cloud d’Amazon Web Services auraient permis aux attaquants d’exécuter du code à distance, de voler des données, voire même de prendre le contrôle d’un compte utilisateur à leur insu, selon une recherche présentée aujourd’hui au Black Hat. L’équipe Nautilus de Aqua Security a détaillé les vulnérabilités, qui ont depuis été corrigées par le géant des services cloud, lors d’une conférence intitulée : Violation des comptes AWS via des ressources fantômes. Mais d’abord, ils ont discuté avec The Register de la façon dont des criminels sophistiqués, tels que ceux soutenus par des États-nations, pourraient prédire les noms des compartiments AWS S3, puis également utiliser une nouvelle méthode appelée « Monopole du compartiment » pour essentiellement précharger du code malveillant dans un compartiment et attendre que l’organisation cible l’exécute involontairement. Selon les chercheurs, cela aurait pu entraîner des attaques « catastrophiques » dans n’importe quelle organisation dans le monde ayant déjà utilisé les six services cloud en question. « Au final, toute vulnérabilité pouvant conduire à la création d’un compte administrateur et à une prise de contrôle de facto est risquée, et les conséquences pourraient être dévastatrices pour une organisation », a déclaré Assaf Morag, analyste principal des données au sein de l’équipe de recherche de Aqua Nautilus, à The Register.
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du