WEBVTT 00:00.330 --> 00:01.350 Instructeur : Dans cette 00:01.350 --> 00:03.780 leçon, nous allons discuter des attaques de machines 00:03.780 --> 00:07.410 virtuelles, y compris les évasions de VM, les sauts de VM, les évasions de bac à 00:07.410 --> 00:09.360 sable et d'autres problèmes de VM. 00:09.360 --> 00:12.680 Tout d'abord, nous avons les VM escapes, c'est-à-dire les échappements de machines virtuelles. 00:12.680 --> 00:14.940 Une évasion de VM est un type d'attaque dans lequel un 00:14.940 --> 00:16.230 acteur de la menace tente de sortir 00:16.230 --> 00:18.120 d'une machine virtuelle isolée et d'envoyer 00:18.120 --> 00:19.380 des commandes directement à 00:19.380 --> 00:21.270 l'hyperviseur sous-jacent. 00:21.270 --> 00:23.820 Chaque machine virtuelle étant censée être isolée, 00:23.820 --> 00:25.350 il devrait être très difficile 00:25.350 --> 00:27.300 de procéder à une évasion de VM. 00:27.300 --> 00:29.580 Après tout, chaque système d'exploitation invité 00:29.580 --> 00:31.200 ne devrait même pas savoir qu'il fait 00:31.200 --> 00:32.910 partie d'une machine virtuelle, car 00:32.910 --> 00:34.710 il pense toujours avoir un accès total 00:34.710 --> 00:36.330 à la machine physique émulée fournie 00:36.330 --> 00:38.340 par l'hyperviseur. 00:38.340 --> 00:40.260 Pour qu'une évasion de VM soit efficace, 00:40.260 --> 00:42.780 l'attaquant doit trouver un moyen d'interagir directement 00:42.780 --> 00:44.880 avec les ressources physiques sous-jacentes, 00:44.880 --> 00:46.830 telles que la mémoire, le disque dur ou le traitement 00:46.830 --> 00:48.990 du serveur physique. 00:48.990 --> 00:51.210 Cela se produit généralement en exploitant une vulnérabilité 00:51.210 --> 00:53.220 dans le code de l'hyperviseur lui-même. 00:53.220 --> 00:54.480 Il y a eu quelques cas de ce 00:54.480 --> 00:56.760 genre et des correctifs ont été développés et 00:56.760 --> 00:59.310 publiés par les fabricants dès qu'ils ont découvert 00:59.310 --> 01:00.840 ces vulnérabilités. 01:00.840 --> 01:04.080 L'évasion de VM est plus facile à réaliser sur un hyperviseur 01:04.080 --> 01:06.330 de type 2 que sur un hyperviseur de type 1. 01:06.330 --> 01:08.940 Si vous utilisez un hyperviseur de type deux ou post-it, l'attaquant 01:08.940 --> 01:10.650 pourrait être en mesure d'accéder au système 01:10.650 --> 01:12.210 d'exploitation sous-jacent qui héberge 01:12.210 --> 01:14.400 vos machines virtuelles. 01:14.400 --> 01:16.170 S'ils y parviennent, ils peuvent alors 01:16.170 --> 01:17.370 escalader leurs privilèges 01:17.370 --> 01:19.620 et accéder à d'autres machines virtuelles hébergées 01:19.620 --> 01:21.203 sur ce même appareil et, de fait, créer 01:21.203 --> 01:23.820 une fuite de machines virtuelles. 01:23.820 --> 01:25.620 Pour éviter qu'une machine virtuelle ne s'échappe, 01:25.620 --> 01:26.910 il est toujours important de s'assurer 01:26.910 --> 01:29.790 que votre système d'exploitation invité, votre système d'exploitation 01:29.790 --> 01:33.270 hôte et votre hyperviseur sont tous patchés et mis à jour. 01:33.270 --> 01:36.750 Deuxièmement, nous avons le VM hopping ou le saut de machine virtuelle. 01:36.750 --> 01:38.970 Le VM hopping est un type d'attaque dans lequel 01:38.970 --> 01:40.440 l'acteur de la menace tente de 01:40.440 --> 01:43.860 passer d'une machine virtuelle à une autre sur le même hôte. 01:43.860 --> 01:46.530 Une attaque par saut de VM se concentre sur l'exploitation 01:46.530 --> 01:48.750 de l'hyperviseur du logiciel de virtualisation 01:48.750 --> 01:51.360 ou d'une fonction permettant de passer d'une machine 01:51.360 --> 01:53.730 virtuelle à l'autre, supposée isolée. 01:53.730 --> 01:56.340 Le VM hopping ressemble à un VM escape, mais il y a une différence 01:56.340 --> 01:57.960 essentielle : le VM hopping se concentre 01:57.960 --> 02:00.090 désormais sur le déplacement d'une machine 02:00.090 --> 02:02.340 virtuelle à l'autre. 02:02.340 --> 02:03.818 En revanche, lorsque nous parlons 02:03.818 --> 02:06.720 d'évasion de VM, il s'agit d'atteindre l'hyperviseur sous-jacent 02:06.720 --> 02:08.550 ou le système d'exploitation hôte. 02:08.550 --> 02:10.170 Pour vous protéger contre les sauts de VM, vous 02:10.170 --> 02:11.820 devez toujours vous assurer que votre hyperviseur 02:11.820 --> 02:13.603 est à jour et correctement patché. 02:13.603 --> 02:15.843 Vous devez également vous assurer que vos systèmes d'exploitation 02:15.843 --> 02:18.750 invités et l'hyperviseur sont configurés de manière sécurisée à l'aide d'un 02:18.750 --> 02:20.910 guide de configuration des meilleures pratiques afin de 02:20.910 --> 02:22.830 garantir qu'il n'y a pas de connexions erronées entre 02:22.830 --> 02:25.650 les machines virtuelles qui auraient dû être isolées. 02:25.650 --> 02:27.930 Troisièmement, nous avons un bac à sable d'évasion. 02:27.930 --> 02:30.000 Un bac à sable est un mécanisme de sécurité utilisé 02:30.000 --> 02:31.710 pour séparer les processus et les programmes 02:31.710 --> 02:34.620 en cours d'exécution afin de limiter la propagation des défaillances 02:34.620 --> 02:36.840 du système ou des vulnérabilités des logiciels. 02:36.840 --> 02:39.960 Le plus souvent, les bacs à sable sont créés à l'aide de machines virtuelles 02:39.960 --> 02:41.370 ou de conteneurs. 02:41.370 --> 02:44.070 Les navigateurs web, par exemple, utilisent couramment le concept 02:44.070 --> 02:46.440 de bac à sable pour séparer le code web en cours d'exécution 02:46.440 --> 02:48.030 du système d'exploitation protégé ou d'autres 02:48.030 --> 02:49.950 logiciels présents sur le système. 02:49.950 --> 02:51.630 Désormais, une évasion du bac à sable se produit 02:51.630 --> 02:52.620 lorsqu'un attaquant est 02:52.620 --> 02:54.690 en mesure de contourner les protections du bac à sable 02:54.690 --> 02:57.057 afin d'accéder au système d'exploitation protégé pour 02:57.057 --> 02:59.190 d'autres processus privilégiés. 02:59.190 --> 03:01.130 Pour protéger vos systèmes contre les évasions de 03:01.130 --> 03:02.880 bac à sable, il est important de veiller à ce que 03:02.880 --> 03:05.340 vos logiciels et systèmes d'exploitation soient corrigés et mis 03:05.340 --> 03:06.173 à jour, de veiller à ce 03:06.173 --> 03:08.460 qu'un logiciel de protection des points finaux efficace soit 03:08.460 --> 03:11.640 installé sur votre client et de limiter les extensions ou les modules complémentaires 03:11.640 --> 03:13.470 installés dans vos navigateurs web, dans le cas 03:13.470 --> 03:14.490 d'une protection contre les 03:14.490 --> 03:16.920 évasions de bac à sable des navigateurs web. 03:16.920 --> 03:19.530 Quatrièmement, nous avons quelques préoccupations à aborder 03:19.530 --> 03:21.600 lorsque nous pensons aux machines virtuelles et 03:21.600 --> 03:23.160 aux environnements virtualisés. 03:23.160 --> 03:26.250 Cela inclut des éléments tels que les migrations et les données restantes. 03:26.250 --> 03:27.510 L'un des principaux avantages de 03:27.510 --> 03:28.890 l'utilisation d'un environnement 03:28.890 --> 03:30.570 virtuel est que vous pouvez migrer une machine 03:30.570 --> 03:33.270 virtuelle d'un hôte à l'autre, même en cours d'exécution. 03:33.270 --> 03:35.280 C'est ce qu'on appelle une migration en direct. 03:35.280 --> 03:37.290 Désormais, cette migration s'effectue sur le réseau. 03:37.290 --> 03:38.700 Il est donc important de toujours 03:38.700 --> 03:41.276 veiller à ce que la migration s'effectue uniquement sur un réseau 03:41.276 --> 03:43.678 de confiance ou un réseau qui utilise un cryptage approprié 03:43.678 --> 03:46.020 entre le serveur définissant la machine virtuelle et le 03:46.020 --> 03:48.480 serveur recevant cette machine virtuelle. 03:48.480 --> 03:49.830 Toutefois, si la migration en direct 03:49.830 --> 03:51.570 s'effectue via une connexion non cryptée, 03:51.570 --> 03:53.700 il est possible que les données contenues dans cette 03:53.700 --> 03:56.730 machine virtuelle soient exposées à des regards indiscrets ou que leur 03:56.730 --> 03:58.674 intégrité soit compromise par un pirate utilisant 03:58.674 --> 04:01.200 une attaque sur le chemin d'accès. 04:01.200 --> 04:03.150 Pour éviter cela, les images de machines virtuelles 04:03.150 --> 04:04.710 doivent être cryptées avant d'être envoyées 04:04.710 --> 04:06.840 d'un serveur à l'autre sur le réseau. 04:06.840 --> 04:09.810 N'oubliez pas que les serveurs ne sont plus seulement des dispositifs physiques 04:09.810 --> 04:11.580 situés à l'intérieur de nos centres de données, 04:11.580 --> 04:13.680 mais aussi des machines virtuelles qui sont simplement 04:13.680 --> 04:16.410 un fichier situé sur une sorte de système de fichiers. 04:16.410 --> 04:18.930 Et ces fichiers peuvent être volés par un pirate. 04:18.930 --> 04:21.300 Une autre préoccupation majeure lors de l'utilisation de machines virtuelles 04:21.300 --> 04:23.024 dans un environnement en nuage est la présence de données 04:23.024 --> 04:24.420 résiduelles qui pourraient être laissées 04:24.420 --> 04:27.150 lorsque vous déprovisionnez des serveurs virtuels excédentaires. 04:27.150 --> 04:29.520 De nombreux fournisseurs de services en nuage utilisent le 04:29.520 --> 04:31.323 stockage en bloc, ce qui permet de laisser les 04:31.323 --> 04:34.230 données qui ne sont plus nécessaires sur leurs dispositifs de stockage. 04:34.230 --> 04:36.622 Si elles ne sont pas correctement effacées, ces données peuvent 04:36.622 --> 04:38.700 être consultées par des utilisateurs non autorisés. 04:38.700 --> 04:40.620 Pour limiter cette menace, vous devez toujours chiffrer 04:40.620 --> 04:42.270 les emplacements de stockage de vos machines 04:42.270 --> 04:43.680 virtuelles et vous assurer que la clé 04:43.680 --> 04:45.240 de chiffrement est détruite chaque fois 04:45.240 --> 04:47.430 que la machine virtuelle n'est plus nécessaire et qu'elle 04:47.430 --> 04:49.020 est déprovisionnée. 04:49.020 --> 04:50.160 Le dernier point que nous 04:50.160 --> 04:52.650 devons aborder en termes de sécurité est la prolifération 04:52.650 --> 04:54.990 des machines virtuelles (VM sprawl). 04:54.990 --> 04:57.720 La prolifération des machines virtuelles est le déploiement incontrôlé 04:57.720 --> 04:59.664 d'une ou de plusieurs machines virtuelles. 04:59.664 --> 05:01.920 Il s'agit là d'un énorme point de vulnérabilité pour votre 05:01.920 --> 05:03.540 organisation, car vous avez ces machines 05:03.540 --> 05:05.340 virtuelles malveillantes qui sont installées 05:05.340 --> 05:06.540 sans autorisation sur l'ensemble 05:07.403 --> 05:09.030 de votre réseau. 05:09.030 --> 05:11.730 Cela signifie que la gestion du système n'est pas effectuée 05:11.730 --> 05:14.460 pour ces machines, car vous ne savez pas qu'elles existent. 05:14.460 --> 05:15.990 Et parce que vous ne connaissez pas l'existence 05:15.990 --> 05:17.610 de ces machines, vous n'effectuez pas les correctifs 05:17.610 --> 05:20.370 de sécurité et les mises à jour, et vous ne mettez pas en place des solutions 05:20.370 --> 05:23.130 anti-malware ou antivirus pour protéger ces machines. 05:23.130 --> 05:25.845 De ce fait, ces machines virtuelles sont très vulnérables 05:25.845 --> 05:27.300 aux attaques. 05:27.300 --> 05:29.310 Et si un attaquant peut trouver l'une de ces 05:29.310 --> 05:30.843 VM erronées causées par la prolifération 05:30.843 --> 05:33.330 des VM, il sera en mesure de l'attaquer et d'en faire 05:33.330 --> 05:36.480 un point pivot dans le reste de votre réseau, puis de tenter des 05:36.480 --> 05:39.000 évasions de VM ou des sauts de VM dans d'autres zones 05:39.000 --> 05:40.860 de votre réseau. 05:40.860 --> 05:42.270 Gardez cela à l'esprit, car cette 05:42.270 --> 05:45.240 prolifération de VM est un gros problème, surtout si vous avez beaucoup 05:45.240 --> 05:46.725 de sous-traitants et de développeurs 05:46.725 --> 05:49.470 qui travaillent sur votre réseau et qui ne font pas partie de votre 05:49.470 --> 05:51.120 équipe normale, et qu'ils ne suivent pas 05:51.120 --> 05:52.290 vos processus normaux de contrôle 05:52.290 --> 05:54.000 des changements. 05:54.000 --> 05:56.880 Une fois de plus, dans cette leçon, nous avons parlé des exigences 05:56.880 --> 05:59.045 de sécurité auxquelles vous devez penser et des 05:59.045 --> 06:00.810 vulnérabilités qui peuvent aller à l'encontre 06:00.810 --> 06:03.360 de ces exigences de sécurité. 06:03.360 --> 06:06.330 Il s'agit notamment des évasions de machines virtuelles, des sauts de machines virtuelles, 06:06.330 --> 06:09.303 des évasions de bacs à sable et de la prolifération des machines virtuelles.