Spécial sécurité : Cisco, la sécurité pensée par le réseau

Aujourd'hui, nos confrères de CNIS, un magazine spécialisé dans la sécurité des systèmes d'information, ont décidé de décrypter la dernière annonce de Cisco en matière de sécurité des réseaux qui intègre de façon innovante, les contraintes de plus en plus fortes liées à la mobilité et à la dispersion des données. Nos confrères commentent ensuite l'absurde histoire de Blippy, un réseau social dont les numéros de cartes de crédit de ses membres se sont retrouvés référencés sur Google.

Sommaire :
1 - Cisco : la sécurité pensée par le réseau
2 - Ta carte de crédit en [censuré] sur Google

1 - Cisco : la sécurité pensée par le réseau
« Borderless Network » résume la stratégie Cisco actuelle. Autour de ce thème, la firme décline nombre de ses avancées technologiques, que ce soit de simples mises à jour ou l’arrivée de nouveaux produits, le lancement d’une gamme : tout est Borderless Network. La vision ? Un réseau sans frontière sur lequel il faut garantir en permanence qualité de services et sécurité. « La grande tendance actuelle est comment je couvre mon infrastructure avec un accès à mon entreprise à n’importe quel moment, depuis n’importe où » commente Christophe Perrin, Sales business Development Manager chez Cisco. Ainsi comment contrôler ses flux et ses données lorsque la mobilité est au cœur de l’entreprise avec le nomadisme des employés et l’explosion des terminaux d’accès, avec le passage de l’infrastructure en mode Cloud du fait de l’avènement des applications en mode SaaS ? Côté sécurité, la réponse de Cisco est l’annonce de nouveaux éléments pour adapter le réseau aux nouvelles exigences sécuritaires. Ainsi Cisco AnyConnect Mobile Security est constitué d’une part du vpn client Cisco en version 2.5. Un nouveau mode de fonctionnement qui tient compte de la mobilité des employés et qui permet de s’assurer que quelle que soit la transaction engagée, celle-ci est protégée par un tunnel sécurisé. Jusqu’à présent pour lancer son Vpn, il fallait en faire la démarche et l’utilisateur qui, pour une raison ou une autre, ne lance pas son tunnel sécurisé n’est plus protégé que par les éléments de sécurité installés sur son poste. Le nouveau client Vpn enlève ce choix à l’utilisateur : transparent, dès qu’il détecte qu’il n’est plus sur le réseau de l’entreprise, il se connecte sur le serveur le mieux situé. Il est à noter qu’il s’installe sur n’importe quel support, sous n’importe quel OS. Puis en combinant le vpn avec les fonctions d’Ironport récemment racheté par l’entreprise, l’on obtient une protection pour les nomades travaillant en mode SaaS. D’un côté la technologie Cisco ASA qui associe parefeu, IPS et concentrateur Vpn, de l’autre, la technologie WSA d’Ironport pour protéger les accès aux applications en mode SaaS. Dès que l’utilisateur sort de l’entreprise Anyconnect prévient ASA qui lui-même transmet à WSA qui lance la politique d’usage dans ce contexte. Par conséquent en fonction de l’identité et de la localisation géographique, une politique s’applique avec filtrage d’urls à l’appui. Pour optimiser les fonctions de filtrage, il est également possible de souscrire à un service Scansafe, qui connecte dans le Cloud au serveur le plus proche, le terminal du nomade. A terme, AnyConnect sera adapté afin de permettre de rediriger les flux nomades vers le serveur Scansafe le plus proche. Enfin TrustSec qui regroupe toutes les architectures de politiques d’accès a également évolué à différents niveaux. L’identification de l’utilisateur ou de l’équipement réseau se fait au travers de 802.1x, entre autres, qui peut désormais être appliqué par port. Le« policy server » qui évalue l’identité au travers d’un Cisco Secure ACS est, quant à lui, complètement réécrit. Pour les invités, un portail est à disposition (ouverture et tracing). S’ajoute dorénavant à la sempiternelle Access List des constructeurs et au Vlan, une nouvelle façon de procéder avec un tag. C’est en quelques sortes un label qui est renvoyé au commutateur et qui est transporté avec tous les paquets. L’intérêt ? Au lieu d’écrire une règle en fonction de l’adresse IP, on l’écrit en fonction du label et donc en fonction d’un groupe d’appartenance. Enfin selon le profil, l’on pourra obtenir le chiffrement des flux entre un utilisateur et un commutateur. Attention, toutes ces dernières fonctions avancées ne sont pas intégrées dans tous les équipements …

2 - Ta carte de crédit en [censuré] sur Google
Jennifer Van Groove de Mashable vient de mettre le doigt sur ce qui est probablement le GoogleHacking le plus fructueux et la gaffe Web 2.0 la plus incroyable de l’histoire du Web. En lançant une requête Google simple, les membres du réseau social Blippy voient leurs numéros de carte de crédit exposés aux yeux de tous.

Qu’est-ce que Blippy ? Probablement l’application Web 2.0 la plus vaine et la plus sotte qu’il ait jamais été donné de voir depuis les débuts d’Internet. Son but unique est de permettre à ses participants de signaler, un peu à la mode Twitter, la moindre dépense qu’ils ont pu effectuer à l’aide de leurs cartes de crédit. Un mécanisme qui a failli être exploité par Facebook avec son service Beacon, lequel proposait d’automatiser ces « signalements d’achats en ligne » en service « opt out ». Contrairement au projet initial Facebook Beacon, Blippy est un service « opt in » : les personnes qui y sont réunies ont volontairement enregistré leur profil dans le but spécifique d’étaler sur la place publique le quotidien de leurs menues dépenses.

Par quelle monumentale erreur quelques numéros de cartes ont-il pu se retrouver dans les données accessibles par Google ? A l’heure où nous rédigeons ces lignes, la direction du réseau social ne s’est toujours pas prononcée. Les éditorialistes de Mashup conseillent vivement à leurs lecteurs de napalmiser leurs comptes Blippy… et Google s’est montré incapable de purger ses caches.

Début janvier, Blippy avait fait les gros titres des journaux après avoir convaincu quelques «  venture capitalists » d’investir 1,6 million de dollars pour lancer l’entreprise. Le pdg de la jeune pousse avait même été convié devant les caméras du Colbert Report. Il semblerait qu’aucune leçon n’ait été tirée du passé. Les spéculateurs misent des fortunes à la simple évocation de mots sans en connaître la signification. Il y a 10 ans à peine, c’était le mot Internet. Il y a 6 ans, le nom Linux, aujourd’hui, ce sont les vocables Web 2.0 et Réseau Social

.

Pour approfondir sur Editeurs