avril, 2009

San Francisco, RSA Conference : Un sondage effectué par l’ISC2 auprès de 1500 professionnels de la sécurité certifiés CISSP et travaillant sur le territoire US indique que près de 70% des personnes interrogées ont vu leur budget réduit en raison de la situation économique générale. 55% d’entre eux, cependant, pensent qu’ils ne devraient pas subir de nouvelles mesures restrictives durant le reste de l’année en cours. La moitié des personnes consultées ont également avoué avoir perdu l’un de leurs collaborateurs durant les derniers mois. Si un tiers du panel affirme posséder un pouvoir de décision concernant l’embauche de ses collaborateurs, seulement 44 % d’entre eux pensent qu’ils auront à pourvoir un nouveau poste dans le courant de l’année. Les domaines de recherche sont d’ailleurs relativement verticaux : gestion de risques, sécurité opérationnelle, certifications, administration et mise en pratique de la sécurité, architecture et modèles de sécurité.

San Francisco, RSA Conference : Un observatoire de veille technologique sécurité gratuite ? Ce n’était sans doute pas le but recherché, mais en lançant l’idée d’un « palmarès des meilleurs sites et blogs sécurité », RSA a offert à la communauté un outil passionnant : une liste presque exhaustive de tout ce que le monde anglophone compte de webs dans le domaine de la protection des technologies de l’information. Le tout classé en catégories strictes : blogs techniques, non-techniques, « corporates », de divertissement, Podcasts les plus populaires… cette classification laisse parfois le lecteur dubitatif ; considérer le blog du Sans comme « divertissant » ou Infosec Rambling comme « non technique » prouve au moins une chose : c’est que les lecteurs à l’origine de cette liste ont eux-mêmes un sens de l’humour geek assez poussé.

San Francisco, RSA Conference : Contre toute attente, alors que les rumeurs d’absorption de Sun par IBM tournaient petit à petit à l’aigre, voilà qu’Oracle offre 9,5 $ par action et emporte la « Solaris company » pour un montant global estimé aux environs de 7,4 milliards de dollars (ramenés à 5,6 milliards après estimation des liquidités et dettes de Sun). Malgré l’importance de la somme mise en jeu, Safra Catz, Président d’Oracle, estime que l’opération sera profitable plus rapidement qu’on ne pouvait l’espérer.

Pour Oracle, la corbeille de mariage est généreuse. Avec notamment un système d’exploitation solide –Solaris-, socle indispensable au SGBD, outils de développement et logiciels applicatifs d’entreprise. Avec également le langage Java, outil de développement pourtant activement promu par IBM des années durant.

Mais cette union soulève également un certain nombre de questions, et ce, particulièrement dans le domaine de la sécurité. En premier lieu, qu’adviendra-t-il de l’offre « gestion des identités » de Sun ? Combinés à l’offre SSO d’Oracle et logiciels associés (Oblix, Thor), les services d’annuaire de Sun et outils de gestion des identités font de ce nouveau tandem l’acteur le plus important du secteur… loin devant IBM lui-même ou encore Computer Associates. Encore faudra-t-il que des « ajustements » de gamme et des efforts d’unification soient prodigués afin que la gamme devienne cohérente et que la somme des parties forme effectivement un tout.

Autre secteur sensible dans le domaine de la sécurité, la virtualisation. L’on peut d’ores et déjà prédire qu’il n’y aura aucune « grande révolution » pour ce qui concerne le support des bases Oracles par un hyperviseur. Larry Ellison, CEO d’Oracle, avait déjà, avec la modestie et la discrétion qui le caractérisent, annoncé l’adoption d’une base Xen plutôt qu’un socle VMWare. Or, c’est également Xen qui a été adopté par Sun pour constituer son offre xVM. Reste que VMware est également au catalogue, et représente une part non négligeable des services fournis autour des serveurs blade du constructeur. Reste également en suspend la question du devenir de Virtual Box, une VM « station », concurrente de VMware Station et de Virtual PC, destinée à un marché que maîtrise peu l’éditeur de bases de données.

San Francisco, RSA Conference : L’issue de l’histoire ne faisait pratiquement aucun doute : la reprise des activités « Appliances de sécurité » de Nokia par le géant Israélien Check Point est enfin finalisée, officielle et définitive. D’un point de vue pratique, cette opération de « croissance externe » ne change que très peu de choses, puise déjà les boîtiers IP de Nokia étaient commercialisés par le réseau commercial de Check Point. Les procédures d’acquisition de licences seront simplifiées puisque concentrées autour d’un opérateur unique.

Toujours en quête d’un procédé capable d’intercepter les robots créateurs de comptes bidons, Google vient d’inventer un nouveau mécanisme capable de discerner un internaute « humain » d’une machine. C’est le « what’s up captcha », qui repose sur un principe très simple : le correspondant interrogé doit déterminer, parmi un choix de 6 images, laquelle est à l’endroit, ou, dans le cadre d’applications pour terminaux mobiles, « redresser » une image volontairement tournée. Le principe serait, explique le blog Tech-Ex, moins confus et plus simple à interpréter que les groupes de lettres et chiffres actuellement présentés. Reste que, statistiquement, une attaque « brute force » du procédé peut rapidement venir à bout dudit filtre. Les personnes aveugles sont incapables de franchir cette forme de filtrage, et l’on peut s’attendre à ce que les « robots humains » employés à décoder du captcha pour un salaire de misère se jouent de cette prétendue difficulté technique. Le captcha, c’est un peu comme la conquête du Graal ou le bug de l’an 2000 : un mythe qui peut rapporter gros à son vendeur et qui ne résiste généralement que le temps d’une vesprée.

San Francisco, RSA Conference : Une petite dizaine d’entreprises pratiquement inconnues –mais prometteuses-, réunies dans un espace distinct, c’est l’innovation sandbox de la RSA Conference. Une initiative qui rappelle fortement le « startup village » du Comdex, peu de temps avant la descente aux enfers de cette manifestation. Qui sont ces jeunes pousses de la sécurité ? Très souvent des entreprises cherchant à commercialiser un outil de défense du poste de travail ou du terminal mobile. Mais ce n’est pas là une règle absolue. Il y a là de la graine à « success story » qui ne demande qu’à prospérer sous le soleil du Nasdaq.

SafeMashups, comme son nom l’indique, est une petite entreprise spécialisée dans les « mashups », les agrégations de données à fin de présentation en ligne. Or, la mise en relation de plusieurs applications Web pour la collection d’informations peut parfois poser de sérieux problèmes de sécurité, notamment dans le cadre de la gestion des droits d’accès. C’est pourquoi le laboratoire de SafeMashups a mis au point un protocole de transport sécurisé baptisé MashSSL. A noter que le kit de développement de ce canal de communication chiffré est « royalty free ». La documentation et les exemples fournis sur le site de l’éditeur sont une lecture préalable nécessaire pour comprendre l’usage de cette bibliothèque

BehavioSec, pour sa part, est une entreprise Suédoise, qui a mis au point un programme centralisé d’analyse comportementale des actions humaines. Contrairement à des outils tels que NexThink, qui s’appuient sur un relevé des activités IP, BehavioSec ne prend en compte que les paramètres biométriques : la rapidité de frappe et son rythme général, les « motifs » des mouvements de souris etc. Ces mécanismes de modélisation de l’activité humaine ont, chacun, fait l’objet d’analyses et de communications par de multiples laboratoires privés ou d’universités. Mais jamais encore ces techniques n’avaient été réunies en un seul et même logiciel de supervision et d’administration.

MokaFive, pour sa part, n’est pas à franchement parler une idée nouvelle. Ce projet universitaire (Stanford) combine, dans une « solution de virtualisation », les avantages de l’accès distant et la sécurité d’un poste de travail virtualisé et hébergé dans un « cloud ». Le procédé virtualise des machines Windows, des Macs, des systèmes Linux, et ne nécessite qu’une clef USB ou la mémoire d’un smartphone pour démarrer le système et accéder à la station de travail. Le moteur appelé LivePC engine, est une extension reposant sur le player VMware. Les données et le noyau étant totalement isolés les uns des autres, toute infection ou attaque peut être éliminée par simple extinction de la VM. Une démonstration édifiante de ce que peut faire Mokafive, le « navigateur qui n’a pas peur », peut être téléchargé sur le site de l’éditeur. Il s’agit d’une version virtuellement indestructible de Firefox tournant sur un micro noyau linux et protégé par l’onion router Tor.

Ohanae est un enfant hybride combinant à la fois les avantages d’un « PasswordSafe » -coffre à mots de passe pour SSO personnel-, de générateur automatique de mots de passe complexes, d’espace de stockage local chiffré, d’anti-keylogger, d’antiphishing et de répertoire de sites favoris. Les « secrets » sont stockés dans une clef USB quelconque ou la mémoire d’un appareil mobile et pouvant être dupliqués à tout instant. Son côté « magique » peut sembler un peu trop beau pour être à la fois absolument « inviolable » et « universel ». Mais quelques soient les éventuels défauts de cet outil, ils seront toujours moins dangereux que l’usage répété d’un seul et même mot de passe, indépendamment de sa complexité.

PureWire est l’un des bientôt nombreux acteurs qui se spécialisent dans la fourniture d’accès Web « purifiés ». Ils ne sont qu’une poignée à l’heure actuelle, qui s’occupent du filtrage des accès Internet selon un modèle « Software as a service ». Face aux coûts et aux immobilisations qu’occasionnent les profusions de proxy, de logiciels de protection périmétrique, les filtres antivirus, antispam, antiscripts, antiphishing et proches cousins, il était logique que quelques entreprise cherchent à offrir des services externalisés répondant à ce genre de demande. Certains passent par des réseaux de prestataires répartis dans le monde entier, d’autres n’offrent qu’un accès centralisé à l’échelle d’un pays… affaire à suivre.

Network Intercept est la remise au goût du jour d’un vieux principe : celui du proxy filtrant externalisé. Le proxy en question compresse –donc accélère- un certain nombre de contenus, filtre les contenus dangereux, chiffre la liaison, isole et protège l’usager –itinérant ou non- contre toute attaque directe… et assure un certain nombre de fonctions d’identification dans ses versions « intranet/extranet d’entreprise ». Les offres grand public de ce genre –bien que moins perfectionnées- avaient fleuri à l’époque où les modems étaient encore utilisés. Les entreprises, pour leur part, n’ont jamais vraiment adhéré à ce genre d’offre, considérant que les machines de cet intermédiaire pouvaient constituer un point de vulnérabilité unique. La crise économique aidant, il se pourrait bien que ce genre de crainte s’efface devant les promesses de ROI avancées par ces prestataires de services.

Avec Lancelot le cyber-chevalier blanc, on entre dans le domaine complexe des tableaux de bord d’analyse de risque. Un tel logiciel est trop complexe pour être résumé en quelques lignes. Tout au plus peut-on dire qu’il propose, selon les niveaux de risques constatés et encourus, un certain nombre de remèdes issus de Cobit, d’ISO 27001 etc. C’est, à première vue, l’outil idéal pour contrôler la cohérence des multiples politiques de sécurité de tout un environnement TIC doublé d’un indicateur de conformité, mais très peu de renseignements sont fournis par l’éditeur quand aux moyens de collecte et analyse de pertinence des métriques servant à ladite analyse.

Yubico prétend concurrencer le fameux « token RSA ». C’est donc une clef USB générant un mot de passe à usage unique et ne nécessitant pas de logiciel client annexe. Le principal avantage, insistent ses concepteurs, c’est qu’outre sa totale indépendance par rapport au système d’exploitation installé (la clef n’est jamais qu’un générateur de frappe clavier un peu évolué) le système n’exige aucune alimentation autre que celle fournie par le port USB. Nul changement de pile, aucun renouvellement de composant nécessaire. A noter également que le SDK servant à intégrer l’utilisation de cette clef dans une application particulière repose sur des outils open source.

Mais c’est AlertAccess qui, parmi tous ces concurrents, a remporté cette année le prix de l’innovation. Il s’agit là d’un logiciel édité par AlertEnterprise, destiné à administrer les droits d’accès au système d’information et d’analyser les risques probables que recèlent les applications, les systèmes ou le réseau.

Frustré par la disparition des classements des « contenus pour adultes » concernant certains ouvrages sur Amazon -alors que leurs équivalents pour la communauté homosexuelle et lesbienne semblaient épargnés par cette forme de censure- Weev, un client « hacktiviste » prétend avoir riposté. Une riposte d’ailleurs fort simple, puisqu’elle s’est limitée à utiliser le lien « signalez un contenu inapproprié » contenu au bas de chaque page du site à l’encontre de tout titre vaguement saphique. Mais, pour que l’action soit éclatante et efficace, l’hacktiviste en question a légèrement aidé le destin avec quelques coups de baguette magique informatique. En premier lieu, il s’est lancé dans la création de centaines de comptes fantaisistes. Création massive obtenue grâce aux services d’une de ces officines plus ou moins légales et spécialisées dans le contournement des filtres Captchas. Pour quelques dizaines de dollars, le censeur en herbe est devenu propriétaire d’un petit pactole de comptes et de leurs cookies associés.

Une fois ces comptes ouverts, il s’est mis à générer un faux trafic de protestation par le biais d’un petit script. C’est Ha.ckers qui en parle le mieux, d’autant que ce serait ce même Ha.ckers qui aurait mis le cyber-censeur sur la piste des casseurs de captchas. L’affaire fait grand bruit parmi les lecteurs de littérature rose de tous bords, particulièrement au sein des communautés Twitter.

Cette histoire,qui n’est jamais qu’une action de LAO (Lobbying Assisté par Ordinateur) parmi tant d’autres, montre les limites des mécanismes des « contrôles populaires » mis en place sur Internet. Aujourd’hui, il ne s’agit que d’une petite escarmouche, une saute d’humeur sans grande conséquence. Demain, ce pourrait être le fruit d’une action conduite par les « bien pensants » d’une communauté religieuse, d’une secte, d’un parti politique, d’une ligue moraliste ou d’une association militante de n’importe quel bord. « Sur Internet, personne ne sais que vous êtes un chien » avait-on coutume de dire. Mais avec la montée en puissance des réseaux sociaux, avec les offres marketing de plus en plus ciblées et de plus en plus intrusives, subtilement orchestrées par les grands cyber-marchands –dont fait partie Amazon-, l’on peut établir avec beaucoup plus de certitude que « vous êtes peut-être un chien, mais beaucoup plus sûrement un catholique pratiquant amateur de littérature érotique et favorable à la consommation de produits stupéfiants ». Et c’est là assez de matière pour exciter l’ire d’un ministre pourfendeur de violeurs de jeunes filles et de poseurs de bombes, la colère d’un mouvement intégriste, la hargne d’un comité de défense ou la grogne d’un club de pères lapudeur.

IMF 2009, la cinquième Conférence Internationale sur la sécurité des TIC, la gestion des incidents et la recherche de preuves se tiendra à Stuttgart, du 15 au 17 septembre prochain. Mais c’est à partir de ce mois d’avril que débute la campagne d’appel à communication. Les exposés soumis lors d’IMF 2009 seront également publiés dans les colonnes des prestigieux « proceedings » de l’IEEE Computer Society. Les documents ne seront plus recevables passé le premier juin prochain. Le détail des thèmes abordés pourront couvrir aussi bien les aspects techniques et juridiques que les questions relatives aux normalisations, mises en conformité, recherche d’informations, sensibilisation ou surveillance.

On ne se prend toujours pas au sérieux, du côté du Hacker Space Festival. La seconde édition aura lieu du 26 au 30 juin, au tmp/lab/ de Paris. Pardon, de Vitry sur Seine, 6Bis rue Léon Geffroy plus exactement. L’appel à publication, imprimé en corps 5 et caractères pica, probablement pour décourager les moins motivés, dresse l’impressionnante liste des thèmes qui pourront y être abordés. Pas mal d’humour et de dérision, beaucoup de clairvoyance aussi dans le choix de certains sujets autour du sans-fil et de l’usage bien tempéré des fpga.

« Savez vous », demandent les analystes de McAfee « que la réception d’un spam correspond à 0,3 gramme de CO2 ? Soit ce qu’un humain rejette dans l’air après avoir parcouru un mètre à pied ? Cela ne semble rien, mais rapporté au volume de spam mondial annuel, cela représente 1,6 million de fois le tour de la terre par ce même marcheur ». Comment les chasseurs de virus parviennent-ils à établir une telle relation ? Simplement en prenant en compte le bilan énergétique (consommation électrique) de toute la chaine touchée par le spam, et notamment l’énergie consommée lorsque chaque usager doit manuellement trier son pourriel « à la main ». Le spam, aujourd’hui, pèse donc 33 milliards de kilowatt/heure, soit l’équivalent de la consommation de 2,4 millions de foyers, ou encore l’émission de gaz à effet de serre que produirait 3,1 millions de voitures consommant 7,6 milliards de litres d’essence.

Comparativement, le traitement d’un email légitime (qui entraîne une lecture attentive et parfois des travaux informatiques en dépendant) coûte 4 grammes de CO2… mais le volume du spam est tel que malgré une empreinte carbone par courriel bien plus faible, il contribuerait à près du tiers des émissions de gaz carbonique provoquées par le traitement des messages électroniques.

Cette étude, disponible en Anglais comme en Français, est discutable sur bien des points. L’on peut rétorquer que bon nombre d’ordinateurs, routeurs, serveurs, passerelles de sécurité, consomment de l’électricité qu’elles chassent du spam et du virus ou qu’elles ne chassent rien. Il se perd probablement autour de la terre autant de tonnes de gaz à effet de serre pour regarder un DiVX ou achever une partie de « Solitaire » que pour éliminer les dernières offres vantant les mérites d’une petite pilule bleue. Cela ressemble fort à la comptabilité des marchands de CDs de musique de variété qui font entrer dans leurs comptes des œuvres « piratées » par des gamins qui n’auront jamais les moyens de s’offrir un original. Mais malgré ces arguments d’une objectivité discutable, ces métriques ont au moins le mérite d’offrir une image impressionnante de ce fléau.