Le Cloud computing a transformé l’industrie informatique, car les services peuvent désormais être déployés en une fraction du temps qu’il prenait auparavant. Les solutions informatiques évolutives ont donné naissance à de grandes entreprises de cloud computing telles qu’Amazon Web Services (AWS), Google Cloud et Microsoft Azure. D’un simple clic, le personnel peut créer ou réinitialiser l’infrastructure entière d’une ressource informatique dans trois modèles de services informatiques cloud différents : Logiciel en tant que Service (SaaS), Plate-forme en tant que Service (PaaS) et Infrastructure en tant que Service (IaaS). Ces modèles présentent trois défis uniques pour mener des enquêtes médico-légales sur le cloud.
Modèles de services de Cloud Computing
Avec les services informatiques traditionnels, le propriétaire est responsable de tous les services, de l’équipement réseau à l’application elle-même. Le Cloud computing propose ces solutions SaaS, PaaS et IaaS pour rendre le déploiement et la gestion des ressources informatiques plus efficaces.
Examinons chacun de ces modèles plus en détail ci-dessous.
IaaS
Le propriétaire est partiellement responsable du système d’exploitation et de l’ensemble du middleware, de l’exécution, des données et des applications dans les environnements IaaS de cloud computing. Cependant, le déploiement du système d’exploitation, la virtualisation et tous les équipements matériels, de stockage et de réseau sont gérés pour le client par le fournisseur de cloud. Ce modèle donne au client le meilleur contrôle sur l’infrastructure sous-jacente des ressources informatiques. Des exemples d’IaaS sont la création d’hôtes avec AWS Elastic Computing Cloud (EC2), Digital Ocean et Rackspace.
PaaS
Le PaaS est moins inclusif dans la responsabilité des ressources de cloud computing. C’est là que le propriétaire est uniquement responsable des données et des applications, mais pas de l’infrastructure cloud essentielle, y compris le réseau, les serveurs, les systèmes d’exploitation ou le stockage. Ce modèle de service est principalement utilisé par les développeurs créant des applications ou des logiciels. Des exemples de PaaS sont AWS Elastic Beanstalk, Windows Azure et Apache Stratos.
SaaS
Le SaaS est un environnement d’hébergement cloud computing tout compris dans lequel le propriétaire de l’application fournit l’application au fournisseur de cloud, et il est entièrement hébergé et géré par le fournisseur de services cloud. Des exemples de SaaS sont Google Apps, Dropbox et Slack. Ces applications sont entièrement gérées par le fournisseur de services Cloud (CSP), et les utilisateurs utilisent les applications en grande partie via un navigateur Web.
Informatique en nuage et criminalistique
Les questions médico-légales qui sont propres à l’informatique en nuage sont la compétence, la multi-location et la dépendance à l’égard des CSP. La criminalistique du cloud est un sous-ensemble de la criminalistique numérique basée sur l’approche unique d’investigation des environnements cloud. Les CSP ont des serveurs dans le monde entier pour héberger les données des clients. Lorsqu’un cyberincident se produit, la compétence juridique et les lois qui régissent la région présentent des défis uniques. Une ordonnance d’un tribunal rendue dans une juridiction où réside un centre de données ne sera probablement pas applicable à la juridiction d’un autre hôte dans un autre pays. Dans les environnements CSP modernes, le client peut choisir la région dans laquelle les données résideront, et cela doit être choisi avec soin.
L’une des principales préoccupations d’un enquêteur est de s’assurer que les preuves numériques n’ont pas été altérées par des tiers afin qu’elles puissent être admissibles devant un tribunal. Dans les modèles de services PaaS et SaaS, les clients doivent dépendre des fournisseurs de services cloud pour accéder aux journaux, car ils n’ont pas de contrôle sur le matériel. Dans certains cas, les fournisseurs de services de sécurité masquent parfois intentionnellement les détails des journaux aux clients. Dans d’autres cas, les EFPC ont des politiques selon lesquelles ils n’offriront pas de services de collecte de journaux.
Le maintien d’une chaîne de traçabilité est très difficile dans un environnement cloud par rapport à un environnement médico-légal traditionnel. Dans un environnement de criminalistique traditionnel, l’équipe de sécurité interne contrôle qui mène des opérations de criminalistique sur une machine, tandis que dans le cloud, l’équipe de sécurité n’a aucun contrôle sur qui le CSP choisit de recueillir des preuves. S’ils ne sont pas formés selon une norme médico-légale, la chaîne de garde peut ne pas tenir devant un tribunal.
Résumé
Dans le cloud computing, il existe trois modèles de services et au moins trois défis propres à la criminalistique du cloud. Chaque niveau de modèle de service pour le cloud computing partage une responsabilité partielle avec le fournisseur de services cloud. Cette relation pose des défis uniques lors de la conduite d’enquêtes médico-légales dans le cloud, car tout incident peut empêcher la recevabilité des preuves devant un tribunal.
Étant donné que les serveurs cloud peuvent être hébergés dans plusieurs pays, les données médico-légales peuvent l’être également. Cela pose des problèmes de compétence juridique. Les fournisseurs de services Cloud n’agissent pas toujours en votre faveur lorsqu’il s’agit de mener des enquêtes médico-légales, car vous leur coûtez du temps et de l’argent pour des problèmes moins préoccupants pour eux. Ces défis sont propres au sous-ensemble du domaine de la criminalistique, la criminalistique du cloud.
À propos de l’auteur : Tyler Wall est ingénieur principal en cybersécurité, chercheur passionné en cybersécurité et amateur d’IoT. Il a sept ans d’expérience dans les opérations de sécurité et a dirigé trois programmes de surveillance de la sécurité à des niveaux de maturité plus élevés. Il est titulaire d’un Master of Science en Gestion de la cybersécurité et sera achevé en janvier 2020. Il détient également les certifications Certified Information Systems Security Professional (CISSP), Certified Ethical Hacker (CEH) et Certified Forensic Security Responder (CFSR).
Note de la rédaction: Les opinions exprimées dans cet article de l’auteur invité sont uniquement celles du contributeur et ne reflètent pas nécessairement celles de Tripwire, Inc.