Spécial sécurité : à la RSA Conference, alliances et embrouilles dans le cloud
Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, décortiquent la pluie d'annonces de la RSA Conference, manifestation spécialisée dans la sécurité. Des annonces qui tournent pour l'essentiel autour de la sécurisation du cloud computing, et où l'on voit, notamment, Microsoft sortir un nouveau projet d'architecture pour authentifier et identifier les utilisateurs (U-Prove). Egalement au programme : un retour sur la dernière faille affectant IE.
Sommaire :
1 - Cloud : mariages et sujets de discorde
2 - Cloud : mariages et sujets de discorde (suite)
3 - Pour pirater, appuyez sur F1
1) Cloud : mariages et sujets de discorde
La RSA Conference réveille un peu l’actualité « cloud computing ». Avec notamment l’annonce de CA qui se rallie à la Cloud Security Alliance (CSA) et promet de contribuer au prochain « guide de la sécurité dans le nuage ». Hewlett Packard, de son côté, et toujours pour le compte du CSA, vient d’achever la rédaction d’un rapport intitulé « Les menaces majeures du cloud computing ». 14 pages d’analyse des risques potentiels qui entourent l’informatique nébuleuse. Car aussi dématérialisée soit-elle, l’informatique vaporeuse souffre plus ou moins des mêmes maux que son ancêtre : botnet à la sauce Zeus, troyen voleur de crédences et d’identités, accès non autorisé à des ressources, ennemi intérieur, vulnérabilité au niveau des partages, fuite d’information, détournement de trafic et de comptes… à cela faut-il encore ajouter les risques propres aux techniques cloud, et notamment les failles que l’on pourrait trouver dans ces mille et une API chargées de présenter de manière unifiée les données et services provenant de multiples points répartis sur la planète.
La lecture du document HP nécessite un préalable à la fois sémantique et technique. Car les néologismes, les sigles, les nouveaux modes de travail finissent rapidement par former un joyeux mélange. De la collocation au Saas, Paas, Haas et autres services immatériels, il est utile de se reporter au petit lexique publié par le Sans il y a quelques semaines. Un lexique s’étendant sur deux volets fort bien vulgarisé.
Une fois ces principes de base acquis, l’on peut aborder franchement les articles parfois dérangeants de Hoff dans les colonnes de Rational Survivability. Hoff qui, fin janvier dernier, titrait paradoxalement « La sécurité du cloud n’a aucune importance »... Ou plus exactement revêt nettement moins d’importance que les contraintes de conformité. Si, au moment de migrer vers une infrastructure répartie, l’entreprise est scrupuleusement conforme et normée, les questions de sécurité se résoudront d’elles-mêmes. A l’occasion de la RSA conference, c’est la fille de Hoff, âgée de 6 ans, qui prend le relais et parle de rationalisation du Cloud et de respect des politiques de mots de passe complexes. Le cloud computing ? Mais c’est presque simple.
Mais les réticences sont encore vives. Art Coviello, patron de RSA déclarait lors de son discours d’ouverture « Quelque chose bloque la pleine réalisation de la vision cloud. Et en un mot, c'est la sécurité. Avec 51 % des DSI citant la sécurité comme leur plus grand souci en ce qui concerne le cloud computing, il est clair que la sécurité n’a pas suivi le rythme de l'évolution vers le cloud que l’on constate aujourd'hui dans des entreprises de plus en plus virtualisées et hyper-étendues. Nous avons ainsi sévèrement réduit la vision cloud et les conséquences sont évidentes. Bref, où qu’ils se trouvent, les gens doivent être capables d'avoir confiance dans le cloud, même si littéralement et métaphoriquement ils ne peuvent pas le voir. »
Et l’on se doit d’ajouter que c’est un patron américain qui parle à des patrons américains, et donc potentiellement clients d’entreprises américaines, c'est-à-dire situées dans le périmètre de recours juridique d’un même pays, et craignant moins qu’un patron européen l’expatriation de leurs propres données.
Partis sur une telle lancée, on ne peut passer à côté… d’une troisième étude, celle de Sterling Commerce. « 72 % des entreprises européennes prévoient de recourir aux services d’intégration B2B disponibles sur le cloud pour réduire leurs coûts. 65 % des personnes interrogées considèrent la sécurité comme l’aspect le plus important d’un service d’intégration B2B reposant sur le cloud ». Autant pour Hoff. Et l’étude de continuer « Plus de 50 % d’entre elles indiquent que ce choix va diminuer les coûts opérationnels, grâce à une meilleure affectation des ressources informatiques et à une meilleure planification des dépenses. Plus de 35 % des personnes interrogées estiment que les erreurs résultant des processus manuels diminueront ; ce sont ces traitements manuels qui constituent le principal obstacle à leurs capacités d’intégration B2B, et près d’un tiers des répondants espèrent gagner en visibilité à travers leurs processus B2B. »
2) Cloud : mariages et sujets de discorde (suite)
Quel thème Scott Charney a-t-il choisi pour ouvrir son « keynote RSA Conference » ? Celui du cloud, bien entendu. Le vice-président « informatique de confiance » de Microsoft explique que sans confiance « de bout en bout », il ne pourrait exister de cloud computing (encore et toujours la sécurité) et cette confiance débute par une bonne authentification et identification. Le décor est posé, l’action débute avec un remake de la pièce « Microsoft invente une architecture de gestion des identités ». Mais bien entendu, rien à voir avec ce balbutiement qu’était Passport ou l’un de ses concurrents de l’époque (le fameux et très discret Liberty Alliance). Non, cette fois, promis, c’est du solide. Le communiqué de presse émis à cette occasion explique : Microsoft lance « une version CTP (Community Technology Preview) de U-Prove, solution de gestion d’identité numérique, qui permet aux fournisseurs en ligne de mieux servir leurs clients et les citoyens en protégeant leurs identités, grâce à la capacité de limiter la diffusion d’information lors des interactions en ligne. Pour inciter la communauté à essayer U-Prove et à donner son avis, Microsoft diffuse dès à présent les éléments au cœur de cette technologie sous licence Open Specification Promise, ainsi que des kits de développement .NET et Java en Open Source et des démonstrations. »
Certes, il faudra lire attentivement les petites lignes en bas de contrat et considérer avec attention ce que Microsoft entend imposer avec cette « norme ». Mais, assure-t-on du côté de Redmond, les mots licence Open Specification signifient que Microsoft abandonne toute propriété intellectuelle sur le projet et s’efforcera de fournir des kits de ressources dans différents langages pour que les développeurs puissent disposer d’une base de travail le plus rapidement possible. Logique, ce n’est généralement qu’avec des spécifications ouvertes et gratuites et un minimum d’outils et d’APIs également gratuits que l’on fabrique des standards solides, surtout en matière de protocoles informatiques. Mais des spécifications « ouvertes », il y en a eu beaucoup qui n’ont pas dépassé le stade du projet. Encore faut-il que Microsoft sache convaincre des IBM, des Sun, des Oracle, des Google, des Amazon, des instituts de recherche, des administrations tant nord-américaines qu’européennes. Un premier ballon d’essai est lâché avec un accord de collaboration liant Microsoft et l’Institut Fraunhoffer dans le but de créer un prototype intégrant U-Prove et la plateforme d’identité Microsoft afin de mettre en place les futures cartes d’identité électronique du gouvernement allemand.
On l’aura compris, l’informaticien de la rue (sic) est convaincu que le cloud est porteur d’espoir, mais que les risques ne sont pas nuls. Une occasion que saisit Qualys, l’un des principaux chevaliers blancs du cloud, en diffusant d’une part un outil de détection de malwares Web gratuits (à récupérer contre quelques données personnelles), et en ouvrant d’autre part un service équivalent (mais bien plus complet) délivrant après analyse un sceau de « bonne tenue » garantissant sinon une parfaite inviolabilité, du moins le passage d’un contrôle technique relativement complet. Le service se nomme Go Secure, et se vend 995 euros par an et par serveur Web, et vient compléter la suite de logiciels et services de tests de conformité et de sécurité commercialisés par Qualys.
Sécurité, cyberespace, Web et bonnes pratiques, même air et même chanson chez IBM, qui profite également de la RSA Conference pour annoncer la création d’un institut « for advanced security ». Il s’agit en fait d’une structure de lobbying destinée à sensibiliser et informer tant le secteur privé, industriel, universitaire que public sur les problèmes et dangers rencontrés dans le cyberespace. La façon dont est tourné le communiqué de presse diffusé par IBM ne laisse planer aucun doute : c’est le marché de la sécurité Scada que vise Big Blue.
3) Pour pirater, appuyez sur F1
Amusante découverte, que celle que Jerry Bryant nous dévoile sur le blog du MSRC : un double problème affectant Internet Explorer et win32hlp (fichiers d’aide) permettrait à un attaquant, via une page Web forgée, de compromettre la machine d’un internaute de passage en le convainquant d’appuyer sur la touche F1 de sa machine. Un fichier .hlp est une sorte d’exécutable capable de lancer des actions automatiques. Le reste du communiqué laisse également entendre que cette attaque doit être prise très au sérieux, car de « dangereux irresponsables » n’auraient pas respecté les règles de divulgation souhaitées par Microsoft. Il ne faut pas chercher très loin pour découvrir qu’en effet, cette faille et son exploitation ont été signalées par Maurycy Prodeus sur le site polonais Isec. L’explication théorique et la preuve de faisabilité montrent à quel point le principe de fonctionnement de cette attaque est simple et efficace. A noter que les machines 64 bits ne sont pas affectées par ce PoC très précis, et qu’aucune exploitation « dans la nature » n’a encore été relevée… pour l’instant. Un bulletin d’alerte a été, depuis, émis sur les canaux Technet. Deux méthodes de contournement sont proposées, l’une d’entre elles recommandant de… ne pas utiliser la touche F1 et de n’appeler l’aide sous aucun prétexte lors d’une navigation sur Internet. La seconde est plus réaliste, et consiste à modifier les ACL à l’aide de l’ordre :
echo Y | cacls "%windir%winhlp32.exe" /E /P everyone:N
Las, cette fois, c’est la totalité de l’aide qui est supprimée. En attendant l’arrivée d’un véritable exploit, il est peut-être plus sage d’attendre et de voir venir.
C’est pour la bonne cause ! clame Stephan Esser qui relance un « month of PHP bug » rebaptisé pour les besoins du politiquement correct « month of PHP security ». Le principe est inchangé : toute personne en possession d’un bel exploit PHP est prié de communiquer le fruit de ses recherches au comité de patronage. Les résultats seront publiés dans le courant du mois de mai. Pour encourager les vocations de hacker, des prix seront attribués aux 16 meilleurs inventeurs. Le premier prix est récompensé par un chèque de 1000 dollars, un ticket d’entrée à la prochaine Syscan et une licence de CodeScan offerte.