Principales plateformes de stockage cloud trouvées avec de graves failles de sécurité

Des chercheurs en cybersécurité de l’ETH Zurich ont découvert de graves vulnérabilités cryptographiques dans plusieurs plateformes de stockage cloud chiffrées de bout en bout (E2EE).

Ces vulnérabilités pourraient permettre à un acteur malveillant d’accéder illégalement aux données sensibles des clients.

Jonas Hofmann et Kien Tuong Truong, chercheurs à l’ETH Zurich, dans un nouveau rapport, révèlent que dans le cadre d’un serveur malveillant, ils ont effectué une analyse cryptographique approfondie sur cinq grands fournisseurs de stockage cloud E2EE — Sync, pCloud, Icedrive, Seafile et Tresorit — qui cumulent plus de 22 millions d’utilisateurs et exposent leurs revendications de sécurité sur le marché des services de stockage.

« Les vulnérabilités qui traversent le stockage cloud E2EE mettent en évidence un point aveugle critique dans notre compréhension du domaine. Nos résultats suggèrent fortement qu’à son stade actuel, l’écosystème du stockage cloud E2EE est largement défaillant et nécessite une réévaluation significative de ses fondements », ont écrit Truong et Hofmann dans le rapport.

Les chercheurs ont basé leur analyse sur un modèle de menace dans lequel un attaquant a le contrôle d’un serveur malveillant et la capacité de lire, modifier et injecter des données à volonté – une approche réaliste pour les acteurs étatiques et les hackers hautement qualifiés.

Lors de l’analyse, les chercheurs ont découvert des vulnérabilités sur les cinq plateformes qui permettaient à un serveur malveillant sous le contrôle d’un adversaire d’injecter facilement des fichiers dans le stockage chiffré des utilisateurs à volonté, de falsifier les données des fichiers et même d’accéder directement au contenu des fichiers.

Cela contredisait les revendications marketing des plateformes et donnait aux clients un faux sentiment de sécurité concernant la sécurité de leurs données.

Les chercheurs ont identifié dix classes d’attaques sur les cinq plateformes de stockage cloud, qui ont été réparties en quatre catégories : confidentialité, données de fichiers cibles, métadonnées et injection de fichiers arbitraires dans le stockage de l’utilisateur.

Examinons les classes d’attaque :

• Manque de matériel de clé authentifié permettant aux attaquants d’insérer leurs propres clés de chiffrement (Sync et pCloud)

• Clés publiques non authentifiées (Sync et Tresorit)

• Rétrogradation du protocole de chiffrement qui permet d’essayer de forcer les mots de passe des utilisateurs (Seafile)

• Pièges de partage de lien qui codent le mot de passe nécessaire pour déchiffrer (Sync)

• Modes de chiffrement non authentifiés tels que CBC permettant à un attaquant de falsifier le contenu des fichiers de manière semi-contrôlée (Icedrive et Seafile)

• Fragmentation non authentifiée des fichiers permettant à un adversaire de permuter des fragments et de supprimer des fragments de fichiers (Seafile et pCloud)

• Falsification des noms et emplacements de fichiers (Sync, pCloud, Seafile et Icedrive)

• Falsification des métadonnées de fichiers (affecte les cinq fournisseurs)

• Injection de dossiers (Sync)

• Injection de clés de fichiers malveillants, ainsi que de contenu de fichiers malveillants dans le stockage de l’utilisateur (pCloud)

« Toutes nos attaques ne sont pas sophistiquées par nature, ce qui signifie qu’elles sont à la portée d’attaquants qui ne sont pas nécessairement qualifiés en cryptographie. En effet, nos attaques sont très pratiques et peuvent être réalisées sans ressources significatives », ont ajouté les chercheurs.

« De plus, bien que certaines de ces attaques ne soient pas nouvelles d’un point de vue cryptographique, elles soulignent que le stockage cloud E2EE tel qu’il est déployé dans la pratique échoue à un niveau trivial et ne nécessite souvent pas une analyse cryptographique plus approfondie pour être contourné. »

En découvrant les vulnérabilités, Hofmann et Truong ont suivi des pratiques de divulgation éthique et ont informé Sync, pCloud, Seafile et Icedrive de leurs découvertes le 23 avril 2024, avec une fenêtre de divulgation standard de 90 jours.

Bien que Seafile et Icedrive aient tous deux reconnu le problème, l’équipe d’Icedrive a choisi de ne pas traiter les problèmes soulevés. En revanche, Seafile a promis de corriger le problème de rétrogradation du protocole avec une mise à jour future.

De plus, le 27 septembre 2024, les chercheurs ont contacté Tresorit pour discuter des améliorations potentielles dans leurs conceptions cryptographiques particulières.

Pcloud n’a pas encore commenté le rapport des chercheurs, tandis que Sync, dans une déclaration à BleepingComputer, a déclaré : « Notre équipe de sécurité a pris connaissance de ces problèmes la semaine dernière, et nous avons depuis pris des mesures rapides pour y remédier. Nous avons également contacté l’équipe de recherche pour partager les résultats et collaborer sur les prochaines étapes. »