Plus d'un million de conducteurs se retrouvent dans l'incapacité d'effectuer des réparations suite au piratage de Jaguar Land Rover,

La faute à des systèmes de diagnostic accessibles via le cloud

Plus d’un million de conducteurs se retrouvent dans l’incapacité d’effectuer des réparations suite au piratage de Jaguar Land Rover
La faute à des systèmes de diagnostic accessibles via le cloud

Les systèmes informatiques mondiaux du constructeur automobile britannique ont été arrêtés à la hâte dimanche suite à une cyberattaque. Y faisant suite, de nombreux possesseurs de véhicules se sont retrouvés dans l’incapacité d’effectuer des réparations. Le tableau ravive le débat sur les avantages et les inconvénients de la dépendance à des services fournis depuis le nuage.

La cyberattaque a laissé des pans entiers de l’activité de Jaguar Land Rover (JLR) paralysés, y compris les garages qui ne pouvaient plus effectuer de diagnostics ni commander de nouvelles pièces auprès de JLR. Les mécaniciens du réseau de concessionnaires franchisés JLR, ainsi que les concessionnaires indépendants, utilisent les systèmes de diagnostic et le catalogue de pièces électroniques de l'entreprise pour vérifier les composants dont ils ont besoin pour des modèles spécifiques, puis les commander pour livraison.

L’informatique en nuage supprime les exigences relatives au matériel spécifique. Peu importe que le garage ait un processeur vieux de 10 ans ou un tout neuf. S’il dispose d’un navigateur Internet alors il peut accéder au logiciel. En sus, il a accès à des mises à jours instantanées. Les outils de diagnostic et les catalogues de pièces exploitent les données en temps réel collectées partout dans le monde.

Les concessionnaires optent en général pour l’informatique dans le nuage afin d’effectuer des économies sur les ordinateurs et les équipements informatiques requis pour leur service. Cette approche vient néanmoins avec son lot d’inconvénients dont l’un est celui mis en avant par ce piratage : indisponibilité du service.


Les avantages du cloud computing sont une évidence. Les plus notables sont : la réduction des coûts de maintenance d’une infrastructure informatique, la réduction de la consommation énergétique, la disposition rapide d'une plateforme prête à l'emploi pour le déploiement des applications, la disposition d'une solution de sauvegarde simple et accessible à tous, même aux non-informaticiens, etc. Cependant, devant toutes les possibilités offertes, il demeure des réticences dans son adoption. Ces réticences sont liées, pour la plupart, au facteur de sécurité, qui reste encore un véritable défi :

• la fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats, les smartcards, la technologie OTP et bien d’autres ;
• l’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;
• l’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;
• le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;
• une action malveillante lancée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;
• les menaces persistantes avancées qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaques difficile à détecter pour un fournisseur de services cloud ;
• la perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;
• les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;
• utilisation frauduleuse des technologies cloud en vue de cacher l'identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation (la plupart des FAI proposent 30 jours d’essai gratuits) ou des accès achetés frauduleusement ;
• le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;
• les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l'architecture externe d'interfaçage avec les utilisateurs.

Source : JLR

Et vous ?

Que pensez-vous des services informatique dans le nuage ? Votre entreprise s’appuie-t-elle sur un tel service ? Si oui, quels en sont les usages ? Quelles sont les précautions qu’elle préconise pour bénéficier des avantages dudit service dans le cloud tout en minimisant l’impact des inconvénients de cette approche ?

Voir aussi :

Le Danemark interdit les Chromebooks et Google Workspace dans les écoles en raison des risques de transfert de données, et ravive le débat sur les possibilités offertes par Linux et l'open source

L'Éducation nationale confirme la fin des offres gratuites Office365 et Google Workspace dans les écoles en raison du non-respect du RGPD, emboîtant le pas à l'Allemagne, au Danemark et aux Pays-Bas

L'armée américaine choisit Google Workspace pour une poignée de ses soldats qui n'ont pas besoin des capacités de collaboration complètes d'Army365, la solution cloud proposée par Microsoft 365

Google estime qu'il est temps de facturer les petites entreprises qui se servent de sa messagerie et d'autres applications, après plus d'une décennie d'utilisation gratuite