Comment Nessus a trouvé des failles de sécurité dans Dropbox et Google Drive

28 septembre 2015
Publié par Equipe NetExplorer

Failles de  sécurité cloud usa

La semaine dernière, un audit a révélé des failles de sécurité importantes dans Dropbox et Google Drive. Comment ces failles ont-elles été découvertes ?

L'audit de sécurité effectué sur les géants du cloud américains a été demandé par le Journal du Net (JDN). La question était simple : les grands fournisseurs de cloud US, du fait de leurs ressources financières colossales, proposent des solutions au tarif toujours plus bas pour une capacité de stockage toujours plus grande, mais leurs services sont-ils aussi sécurisés que leurs messages marketing l'avancent ? Il s'est avéré que la réponse est non, les 4 fournisseurs de stockage cloud analysés présentent tous des failles importantes de sécurité, et certains résultats (notamment pour Dropbox) sont carrément alarmants.

Les tests ont en partie été réalisés par le logiciel Nessus, qui permet de scanner la vulnérabilité d'un service sur Internet. C'est également ce logiciel qui est utilisé pour analyser NetExplorer. Profitons de cette actualité pour vous présenter ce logiciel, son fonctionnement, et surtout ce qu'il permet de tester.

Comment fonctionne le logiciel Nessus ?

failles de  sécurité cloudFailles de sécurité analysées par Nessus.

Nessus est un logiciel qui permet d'évaluer la sécurité d'un service sur Internet. Il effectue de réelles attaques, comme pourrait le faire un hacker essayant de pirater la solution étudiée par exemple. Une fois le scan effectué, Nessus présente les résultats du test sous forme d'un rapport.

Vous allez vite comprendre l'intérêt de ce logiciel : il permet aux responsables sécurité du service scanné de vérifier qu'il n'existe pas de failles dans leur service. Or, Nessus peut également être utilisé par des hackers pour savoir si justement ils peuvent pirater la solution, et par quels moyens. Vous comprenez donc qu'en plus d'être vulnérables, Dropbox, Google Drive et autres consorts présentent des failles de sécurité qui peuvent facilement être utilisées par des pirates...

 

Failles de sécurité trouvées par Nessus : qu'est ce qui est testé ?

Comme dit plus haut, Nessus scanne un service en réalisant des attaques réelles. Parmi les tests effectués, on retrouve :

  • les mots de passe par défaut, les mots de passe fréquemment utilisés et de faible complexité (nous vous conseillons de vérifier l'indice de complexité de votre mot de passe)
  • les fautes dans le code du logiciel/service analysé
  • les attaques permettant de prendre le contrôle à distance de l'appareil (ordinateur, mobile...)
  • l'accès à des fichiers sensibles (lecture de documents confidentiels)
  • les patchs de sécurité qui n'ont pas été appliqués
  • ...

Rapport généré par Nessus, qu'en retirer ?

A l'issu du scan effectué, le logiciel Nessus génère un rapport qui vous dresse une liste des vulnérabilités du service analysé. Vous êtes donc en mesure de savoir quels types de failles de sécurité sont présentes dans le service Internet, et Nessus vous donne également des préconisations pour les combler. Enfin, il donne aussi une note de criticité pour ces vulnérabilités. Pour rappel, Dropbox et Microsoft One Drive ont une criticité forte, et Google Drive un niveau moyen :  des résultats plus qu'alarmants...

L'analyse de NetExplorer par Nessus

NetExplorer propose des offres de stockage certifié conforme à la norme PCI DSS. Cette norme est requise pour pouvoir stocker des données bancaires. Ainsi, en utilisant un service de stockage en ligne conforme PCI DSS, vous donnez à vos données un niveau de sécurité équivalant au domaine bancaire. Dans le cadre de cette certification, Nessus a réalisé plus de 54 000 tests d'intrusion sur NetExplorer, qui a passé ces attaques avec succès.

Choisir un prestataire de cloud pour stocker vos fichiers en ligne n'est donc pas à prendre à la légère. Alors, faut-il préférer des solutions cloud gratuites ou a petit budget quitte à n'avoir qu'une sécurité médiocre, ou bien passer par un prestataire professionnel ? C'est à chacun d'en juger... N'hésitez pas à nous contacter ou à poser vos questions dans les commentaires si vous souhaitez plus d'informations sur NetExplorer et les garanties de sécurité proposées.

Partager cet article :
sécuriténews