Spécial sécurité : VMworld, la sécurité périmétrique à l'heure de la virtualisation

Aujourd'hui, nos confrères de CNIS, magazine dédié à la sécurité des systèmes d'information, détaillent les principales nouveautés de VMworld Europe - la manifestation organisée par VMware la semaine dernière - et la façon dont certaines de ces annonces remettent en cause les dogmes actuels en matière de sécurité. Egalement au programme : le bilan mi-désabusé, mi-complice d'Alex Türk, président de la CNIL, quant au respect de la vie privée numérique en France et en Europe.

Sommaire

1 - VMware View : remote console (presque) sans réseau

2 - vShield, un seul nom une multitude de boucliers

3 - La Cnil : observatoire ou autorité ?

1) VMware View : remote console (presque) sans réseau

VMworld Copenhague : Compte tenu de la proximité de son pendant nord-américain, l’on pouvait s’attendre à une édition « US réchauffée sauce Hollandaise ». Il n’en fut rien. VMworld Europe a offert, à ses quelques 5000 visiteurs, son lot d’annonces, tant de la part de VMware que des nombreux éditeurs vivant dans la sphère ESX.

L’annonce la plus remarquée fut probablement celle de la « console » VMware View 4.5, la révélation de VMworld San Francisco. Les changements par rapport aux versions précédentes sont radicaux, longuement décrits par Scott Davis sur son blog « View Point ». De façon lapidaire, précisons que la 4.5 n’est plus une simple VDI, mais peut continuer à fonctionner en mode déconnecté, supporte Windows 7, l’assignation d’application à partir de la console d’administration VMware View, et tourne sur une multitude de plateforme dont – modernité oblige - les iPad et iPhone d’Apple, les terminaux Android et bien sûr les clients fins et hosts traditionnels.

4.5 n’est pas, conceptuellement parlant, une nouveauté absolue. Citrix prépare de son côté un contre-feu baptisé Xen-Client, l’hyperviseur « on the go ». C’était, dans le cadre d’une architecture radicalement différente, une vision de la virtualisation également partagée par Softgrid, racheté depuis par Microsoft. Dans un tout autre domaine, l’on peut également se rappeler de la genèse de la suite Open Office version Java et « téléchargée » en mémoire sur des clients-fins. Dans tous les cas, le mode de fonctionnement est le même : il s’agit d’installer dans la mémoire du terminal « endpoint » la totalité d’une application et de la synchroniser à périodes régulières avec le serveur d’application central. Si le lien disparaît, la session « locale » se transforme en session autonome, attendant simplement que réapparaisse le brin réseau. Un mode qui n’est pas nécessairement plus sécurisé qu’une redirection de machine virtuelle, mais qui évite tout risque de chômage technique en cas d’accident ou de coupure (in)volontaire de réseau. Le monde virtuel/connecté doit s’adapter aux impératifs de la mobilité ou, plus simplement, aux probabilités d’accident. Car plus une informatique se « cloudifie », plus elle est dépendante des couches de transport qui elles-mêmes échappent aux Directions Informatiques, plus elle exige la mise en place de parachutes fonctionnels. A quand, chez Microsoft, un hyper-V- RDPclient autonome ?

2) vShield, un seul nom une multitude de boucliers

VMworld Copenhague : Côté sécurité, ces bureaux virtualisés sont protégés par plusieurs outils qui, depuis peu, ont été rebaptisés vShield : vShield Edge, qui assure les fonctions NAT/VPN/Firewall/équilibrage de charge à l’échelle de tout un datacenter vSphere. Vient ensuite vShield App, firewall applicatif (VPN/NAT/Firewall) plutôt destiné à la protection et à la segmentation des zones logiques définies au sein d’une architecture vSphere. Alors que Edge peut être considérée comme une coquille enveloppant une infrastructure virtualisée complexe (l’ensemble des machines vSphere d’un opérateur par exemple), App représente plus la partie sur laquelle vont reposer les définitions de politiques de groupe, la séparation des groupes de VM par centre d’applications (DMZ, services bureautiques, bases de données…) ou niveaux de qualité de service. Ajoutons à cet inventaire vShield Zone, qui tiendrait à la fois du NIDS, du firewall et de l’outil de filtrage reposant sur les ACL. Le dernier de la liste, vShield Endpoint, est le moins conventionnel des trois. Il s’agit d’un outil de protection des « stations » VDI, dont le code exécutable (l’agent) fonctionne au niveau du système hôte, et non plus dans chaque machine virtuelle. Cette technique évite de dégrader les performances CPU et mémoire de chaque station virtuelle sans risquer son intégrité, et élimine les problèmes d’administration, de déploiement et de mise à jour desdits agents en concentrant en un point unique les opérations de maintenance. Techniquement parlant, la partie active du logiciel de sécurité (assimilé à un appliance virtuel) est intégrée dans sa propre VM située dans la partie serveur (vSphere) de l’architecture virtualisée. Le dialogue entre la partie endpoint et le code actif s’effectue via des API ouverte à tout éditeur souhaitant adapter sa suite, et les outils de réglages d’administration sont réunis dans vCenter/vCloud Director. Pour l’heure, le premier et le plus connu de ces partenaires s’appelle Trend Micro. Gageons qu’avec la généralisation des services Cloud, cette forme d’externalisation des défenses périmétriques devrait remporter un certain succès.

Reste que cette segmentation complexe peut perdre un administrateur, dans un monde où les frontières entre datacenter et découpage logique par fonction n’est pas toujours, lui non plus, marqué par des frontières précises. Se pose également la question de la cohabitation avec les outils de protection périmétriques tiers qui s’intègrent dans la stratégie vShield. F5, Checkpoint, Juniper, etc. ne deviendront-ils pas un jour des concurrents plus que des partenaires, des entreprises « opéables » plus que des compagnons de route ? L’on garde à l’esprit la fusion entre VMware et Bluelane, le spécialiste du patch vituel. L’intégration de la technologie et des hommes s’est opérée sans anicroche, au plus grand bonheur des utilisateurs de vShield… mais au détriment des clients traditionnels « non virtualisés » de BlueLane qui ont perdu un outil très apprécié des gestionnaires de grosses bases de données Oracle par exemple.

Ajoutons également que derrière les affirmations convaincues des différents acteurs (tant du côté VMware que de celui des « équipementiers virtuels »), on est étonné de l’assourdissant silence à propos des défauts et des risques de cette nouvelle approche de la sécurité. Le mantra« c’est virtuel, donc c’est plus sûr par construction et par définition » masque un peu trop souvent le fait que même virtuels, les logiciels de protection sont eux aussi fabriqués de main d’homme, donc imparfaits, et généralement issus d’une transposition du monde matériel vers un monde virtuel… donc doublement imparfait compte tenu des problèmes de traduction que cela peut parfois comporter.

Aucune de ces réserves ne doit cependant occulter le fait qu’une nouvelle forme de sécurité périmétrique est en train de prendre forme… et peut-être de se standardiser, un espoir formulé par plusieurs clients VMware rencontré à Copenhague.

3) La Cnil : observatoire ou autorité ?

C’est désormais devenu un rendez-vous annuel, que celui d’Alex Türk, Président de la Commission Nationale Informatique et Libertés – Cnil - à l’occasion des Assises de Monaco. L’occasion de faire le point sur l’état du « fichage » en France et en Europe, fichage effectué tant dans le monde administratif que dans l’industrie. Que faut-il craindre le plus ? Alex Türk ne tranche pas, il constate, il dénonce. Il dénonce tout d’abord la montée en puissance, souvent incontrôlée des caméras de surveillance (privées ou publiques) qui, indirectement, constituent un instrument de géolocalisation. Et de citer les quelques 60 000 caméras de surveillance qui constellent la Grande Bretagne et peuvent photographier jusqu’à 300 fois par jour un même individu au centre de Londres. Il existe, explique le « Monsieur Fichier » Français, de notables différences d’attitudes entre les différents pays de la communauté. Le Royaume-Uni peut nous sembler excessivement permissif en termes de libertés individuelles, l’Allemagne, de son côté, est considérablement plus regardante. La semaine précédant les Assises avait été marquée par une série d’articles de la presse britannique sur le foisonnement d’informations à traiter que générait ce déluge de caméras, et sur le recrutement de particuliers «  CCTV Watchers » qui passent leur temps à jouer les supplétifs de la police derrière un écran vidéo. Malgré la promotion de cette technique de surveillance dans les textes de la future Loppsi, le patron de la Cnil prétend demeurer vigilant et garder un œil critique sur les usages sécuritaires de la vidéosurveillance.

Mais tout n’est pas noir de l’autre côté de la Manche. Il faut bien admettre que ce pays est très en avance sur ce que nous connaissons en France en matière d’avertissement public sur les fuites d’information. Et notamment lorsqu’il s’agit de pertes de fichiers commises par l’Administration ou dans le secteur bancaire.

Autre sujet de préoccupation, la constitution abusive et injustifiée de fichiers à caractère personnel par des personnes ou organismes n’ayant aucune autorité en la matière. « Il nous est arrivé de trouver, au sein de fichiers tenus par des agences de location immobilière, les numéros NIR (numéro « insee » dit « numéro de sécu sans clef »). C’est totalement illégal, précise Alex Türk, et n’a jamais été approuvé par la Cnil. Nous restons très prudents quant aux usages que l’on peut faire de ce numéro »… et de citer le cas épineux de l’usage de ce fameux NIR dans le cadre d’études épidémiologiques… qui deviennent alors des fichiers nominatifs liés à des données médicales, mais pouvant être consultés à des fins statistiques, en dehors du cadre stricte d’un dossier médical et du secret qui l’entoure.

Inquiétudes, devant le peu de volonté manifeste que semble avoir l’Europe pour que se développe une autorité ou un conseil de surveillance chargé de ces questions. Türk fut un an durant à la tête du fameux « groupe 29 » (Article 29 Data protection Working Party), dont les rapports dénoncent souvent les dérives, les usagers abusifs de nouvelles technologies de flicage et de fichage. Devant l’absence de budget (« y compris pour traduire les documents de travail ou obtenir des crédits de fonctionnement »), Türk jette l’éponge et abandonne la présidence de cette institution à la fois si fragile et si importante.

Léger malaise enfin devant les effets de bord de l’Hadopi et de ses techniques de surveillance qui réduisent progressivement l’idée même de « neutralité du Net » et la liberté de l’internaute. « Léger » malaise, car le patron de la Cnil avoue avoir appuyé de son vote le passage de cette loi visant, selon lui, à protéger le droit d’auteur ».

L’avenir de la vie privée numérique ? Pour Alex Türk, elle dépend avant tout de l’individu et de son éducation. « L’on pourrait définir trois grands profils d’usagers des nouvelles technologies : les « innocents » – ou enfants de moins de 6 ans - qu’il est important d’éduquer pour les protéger contre toute dérive, les « naïfs » - des adolescents aux trentenaires - qui « surfent » avec une confiance sans borne sur les nouvelles vagues « 2.0 » et font peu de cas de leur identité numérique et des traces qu’ils laissent sur la Toile. Les « prosélytes » enfin, qui profitent du système et chantent les mérites de tel réseau social ou de telle technologie « conviviale ». Ce sont les Mark Zuckerberg (Facebook) et autres Google qui font un fonds de commerce de la vie des autres.

Il manque toutefois une quatrième catégorie à l’inventaire d’Alex Türk : les prudents, les avertis, les paranoïaques ou les vigilants, appellation à choisir selon le camp dans lequel on pense se trouver. Une catégorie d’usagers d’Internet qui, tout aussi conscients des risques de dérives du système, souhaiteraient une Cnil un peu moins « sage et réfléchie », plus combative, plus radicale et plus éloignée du pouvoir politique …

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)