Faut-il l'autorisation d'AWS ou Microsoft pour pentester mon cloud ?

AWS a supprimé en 2019 l'obligation de déclaration préalable pour les tests d'intrusion sur la majorité des services (AWS Customer Support Policy for Penetration Testing). Seuls certains services (DNS amplification, simulations DDoS) restent encadrés. Microsoft Azure autorise également le pentest de ses clients sans déclaration préalable depuis 2017 (Microsoft Cloud Penetration Testing Rules of Engagement), mais il faut respecter la liste des services couverts et la Cloud Unified Penetration Testing Rules of Engagement. En pratique, Laucked documente le périmètre cloud dans les règles d'engagement du client, jamais côté hyperscaler.

Quelle différence entre pentest cloud et pentest applicatif hébergé sur cloud ?

Un pentest applicatif hébergé sur cloud teste l'application (OWASP Top 10, logique métier, API) sans profonde considération pour l'infrastructure sous-jacente. Un pentest cloud teste la configuration IAM, les relations de confiance entre comptes, les buckets/blob mal configurés, les instance metadata accessibles via SSRF, les lambdas/functions mal sécurisées, les VPC peerings et les secrets exposés. Les deux pentests sont complémentaires : ignorer le volet cloud peut laisser passer des chaînes d'attaque critiques (ex : SSRF applicative → metadata AWS → credentials IAM role → S3 exfiltration).

Quelle est la chaîne d'attaque cloud la plus fréquente en pentest ?

La chaîne classique AWS : (1) SSRF applicative permettant de joindre http://169.254.169.254/latest/meta-data/iam/security-credentials/; (2) récupération du token IMDSv1 ou bypass IMDSv2 via TTL incorrect; (3) utilisation du token pour énumérer les permissions IAM; (4) s3:GetObject ou iam:PassRole exposant des secrets ou permettant un privilege escalation; (5) exfiltration vers un bucket contrôlé ou compromission d'une lambda voisine. Sur Azure la chaîne équivalente passe par Managed Identity et l'endpoint http://169.254.169.254/metadata/identity/oauth2/token. Laucked documente chaque mission avec ce type de kill chain ATT&CK.

Quels outils Laucked utilise-t-il pour un pentest cloud ?

Pour AWS : Pacu, Prowler, ScoutSuite, aws-consoler pour pivoter CLI→console, plus outils internes d'énumération IAM. Pour Azure : ROADrecon, MicroBurst, Stormspotter, Azurite. Pour Kubernetes sur cloud : kube-hunter, kubiscan, peirates. Les outils ouvrent la surface, mais l'essentiel du travail reste manuel : compréhension des relations de confiance, lecture des trust policies, exploitation des lambda layers, tests de chaînes d'attaque complètes. Un pentest cloud automatisé ne couvre que 30-40% des findings réels.

Un pentest cloud peut-il casser la production ?

Le risque existe sur 3 actions : snapshot/copie volumineuse de données, tentatives de privilege escalation impliquant la modification de policies IAM, opérations de suppression (même dry-run mal interprété par l'API). Laucked cadre systématiquement en mode convenu avec le client : listes blanches de comptes cibles, fenêtres de test, interdiction formelle des actions d'écriture sans validation, monitoring CloudTrail/Azure Activity Log partagé pendant toute la durée. Les tests destructifs (suppression, rotation de clés) ne sont jamais menés sans validation écrite explicite.

Combien coûte un pentest cloud AWS ou Azure ?

Les fourchettes observées sur le marché français pour un pentest cloud AWS ou Azure sur un compte de taille moyenne (20-50 services actifs, 1-3 environnements) vont de 12 à 35 k€ HT pour 2-3 semaines. Un pentest multi-comptes avec revue d'organisations AWS ou tenants Azure, lambdas/functions et conteneurs, s'étend à 25-70 k€ HT sur 3-5 semaines. Chiffrage Laucked systématiquement sur devis après atelier de cadrage technique avec les équipes DevOps/Platform.

← Blog/20 avril 202615 min de lecture

Pentest cloud AWS et Azure : IAM, mouvement latéral, metadata et exfiltration

Un pentest cloud n'est pas un pentest applicatif déporté. Les chaînes d'attaque qui comptent sur AWS et Azure passent par l'IAM, les metadata endpoints, les trust relationships cross-account, les secrets mal exposés et les services managés mal configurés. Ce guide détaille la méthodologie Laucked, les points de bascule les plus fréquents et ce qui distingue un pentest cloud sérieux d'un simple scan automatisé.

Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

20 avril 2026·15 min de lecture·Fondateurs·LinkedIn

Pourquoi le cloud a ses propres chaînes d'attaque

Un cloud public n'est pas un datacenter virtualisé. Les principes de sécurité fondamentaux changent : l'IAM devient la nouvelle couche de sécurité réseau, les metadata endpoints exposent des credentials éphémères, les relations de confiance entre comptes créent des chemins latéraux invisibles, et les services managés (Lambda, Azure Functions, RDS, Storage) ont chacun leurs misconfigurations spécifiques. Les attaques les plus fréquentes observées par Laucked sur missions cloud mobilisent moins de vulnérabilités logicielles (CVE) et plus d'erreurs de configuration. Le périmètre de test n'est pas l'infrastructure au sens classique mais la combinaison IAM + données + compute + secrets + réseau virtuel. Un pentest applicatif classique ne couvre pas ce périmètre, d'où la nécessité de missions cloud dédiées.

AWS : les 5 points de bascule les plus fréquents

(1) IMDSv1 encore actif sur des EC2 historiques, alors qu'IMDSv2 avec hop-limit=1 protège efficacement contre le SSRF metadata — Laucked le détecte sur 40%+ des missions AWS. (2) s3:GetObject accordé par policy bucket trop permissive (Principal '*' ou account-wide), exposant des backups, logs ou dumps. (3) iam:PassRole trop large dans une policy de développeur, permettant un privilege escalation via lambda ou Glue. (4) Trust policies cross-account mal verrouillées (absence de condition sts:ExternalId ou aws:SourceAccount), exploitable si on compromet un compte amont. (5) Secrets Manager ou Parameter Store accédé largement par des rôles non-nécessaires. Chaque mission Laucked énumère ces points de bascule en priorité et produit un rapport aligné sur les 50 TTP ATT&CK Cloud Matrix pertinents.

Azure : les spécificités à tester

Azure introduit ses propres chaînes : Managed Identity récupérable via SSRF sur le même endpoint 169.254.169.254 mais avec des permissions typiquement plus larges qu'AWS; Entra ID (anciennement Azure AD) avec des patterns d'attaque spécifiques (password spraying sur les endpoints legacy, abus des application permissions vs delegated permissions, privilege escalation via consent); Service Principals mal verrouillés avec credentials exportables; Key Vault accessible largement via les policies d'accès (modèle historique) ou RBAC mal configuré (modèle moderne); Storage Accounts avec SAS tokens long-lived; VNets peerings permettant un mouvement latéral vers des abonnements sensibles. Laucked mobilise ROADrecon et MicroBurst en première passe puis investigue manuellement les relations d'identité et les consents applicatifs.

Kubernetes managé (EKS, AKS, GKE) : le niveau au-dessus

Les clusters Kubernetes managés concentrent un niveau de complexité supplémentaire. Les chemins d'attaque typiques observés en mission Laucked : (1) ServiceAccount avec permissions trop larges montées dans un pod compromis; (2) IRSA (IAM Roles for Service Accounts) sur EKS ou Workload Identity sur GKE/AKS exposant des credentials AWS/GCP/Azure via un simple file read dans le pod; (3) images de conteneurs non signées ou exécutées avec privileged=true; (4) accès au kubelet API non authentifié (port 10250); (5) Secrets Kubernetes stockés en clair dans etcd. La mission combine un volet Kubernetes natif (kube-hunter, peirates, kubiscan) et un volet cloud (énumération du rôle IAM monté dans les pods). Les deux sont indispensables.

La méthodologie Laucked pour un pentest cloud

Phase 1 — cadrage technique (0,5 jour) : énumération non-intrusive de la surface cible, validation des comptes et tenants dans le périmètre, définition des fenêtres d'intervention et des opérations interdites, signature des règles d'engagement. Phase 2 — énumération (1-2 jours) : listing IAM, mapping des trust relationships, identification des services actifs et des endpoints exposés. Phase 3 — tests actifs (3-8 jours) : tentative d'exploitation des misconfigurations détectées, chaînes d'attaque complètes documentées étape par étape, validation non-destructive des impacts. Phase 4 — restitution (1-2 jours) : rapport technique avec CVSS et ATT&CK Cloud Matrix, priorisation par impact business, plan de remédiation actionnable, session de clarification avec l'équipe DevOps. Re-test de validation inclus selon le format.

Ce qui distingue un bon pentest cloud d'un scan automatisé

Un scan automatisé (Prowler, ScoutSuite) produit une liste exhaustive de misconfigurations connues. Un pentest cloud va plus loin sur trois axes : (1) la chain d'attaque — prouver qu'une misconfiguration isolée, combinée à une autre, produit une compromission réelle; (2) le contexte métier — la même misconfiguration IAM n'a pas le même impact si elle touche le compte de production ou un compte de dev; (3) l'évasion — tester les contrôles de détection (GuardDuty, Defender for Cloud) et la capacité du SOC à voir une attaque en cours. Le rapport Laucked superpose les deux lectures : une annexe scan pour la couverture exhaustive, le corps du rapport pour les chaînes d'attaque prouvées. C'est cette superposition qui rend le livrable défendable en audit et exploitable par les équipes plateforme.

Cadrer un pentest cloud avec Laucked

Pentest AWS, Azure ou GCP, missions multi-comptes, Kubernetes managé. Méthodologie alignée MITRE ATT&CK Cloud Matrix, rapport sous 48-72h, re-test de validation inclus.

Cadrer un pentest cloud sur devis

Sources et références