Lors d'un discours qu'il a prononcé à Sydney à l'occasion de la conférence annuelle de l'Association internationale des professionnels de la Sécurité Privée (International Association of Privacy Professionals), le ministre australien de l'Intérieur et de la Justice, Brendan O'Connor, a déclaré que les organisations criminelles exploitaient de plus en plus les services en ligne pour atteindre leurs propres objectifs. « Les cybercriminels ne cherchent pas seulement à voler des informations hébergées dans les clouds, ils peuvent aussi y cacher des données, » a-t-il fait savoir. À titre d'exemple, il a cité le cas de fournisseurs de services basés dans des pays peu regardant en matière de cybercriminalité « qui peuvent offrir des hébergements et des services de stockage confidentiels, facilitant ainsi le stockage et la distribution de données criminelles, à l'abri de toute détection par des organismes chargés d'appliquer la loi. » Par exemple, les cybercriminels peuvent utiliser le cloud secrètement pour stocker et vendre du matériel pédopornographique. « Les cybercriminels ont le pouvoir de contrôler les serveurs de ces clouds : ils peuvent empêcher l'accès d'utilisateurs légitimes à des sites web et cibler des sites pour y diffuser des messages ou des images de manière répétée, » a-t-il expliqué.
« Certains pensent également que les clouds peuvent être détournés pour servir de base au lancement de cyber attaques, y compris en utilisant la puissance de calcul des clouds pour casser les données chiffrées après avoir testé toutes les combinaisons de mots de passe possibles. » Selon le dirigeant, l'attaque, fin 2009, contre Google et plusieurs autres entreprises, a rappelé combien les systèmes et les données étaient vulnérables. « L'attaque, qui consistait aussi à pirater les mails de personnes ciblées, a montré la particulière vulnérabilité des informations personnelles et des échanges privés dans l'espace en ligne » a-t-il déclaré. Selon lui, la transparence et la confiance entre les fournisseurs de services cloud, les entreprises et les organismes gouvernementaux, permettraient de limiter les risques posés par la cybersécurité.
Attention à la sécurité des clouds
Pour montrer l'exemple, le gouvernement australien a décidé de s'appuyer sur l'unité High Tech Crime Unit de la Police fédérale australienne (AFP) qui a mis en place un système de traçage développé par CrimTrac pour repérer les matériels pédopornographiques. « Après une large consultation menée auprès du gouvernement, l'Australian Government Information Management Office (Agimo) enquête actuellement sur un certain nombre de questions, comme la vulnérabilité des systèmes de stockage de données offshore; les questions juridiques relatives à l'extra-territorialité en matière de conformité et de vie privée, et les aménagements contractuels nécessaires pour atteindre des niveaux de sécurité appropriés,» a déclaré le ministre. «Parce que les fournisseurs de services cloud ne sont pas interchangeables, les difficultés inhérentes à permuter entre les fournisseurs devront également être prises en compte, avec la possibilité de récupérer les informations en cas de catastrophe ou de défaillance du vendeur. »
En outre, pour les gouvernements, les risques de sécurité ou de confidentialité peuvent être augmentés dans le cas où le cloud héberge des clients indépendants, et partage entre eux du matériel et des ressources logicielles, sans compter que la concentration des ressources et des données en un seul lieu représente en soi une cible de choix pour les cybercriminels. «Étant donné les avantages du cloud computing, et pas seulement pour les entreprises, mais aussi pour les gouvernements et les particuliers, il est impératif de travailler ensemble sur ces enjeux afin de pouvoir profiter pleinement de tout ce que le cloud computing a à offrir», a conclu Brendan O'Connor. Ces déclarations vont dans le même sens que la mise en garde faite au mois de novembre par l'Australian Prudential Regulation Authority (APRA). Celle-ci avait publié une lettre ouverte mettant l'accent sur la nécessité de bien apprécier les risques liés à tout type d'externalisation et de délocalisation, y compris dans le cloud computing.