Spécial sécurité : la vengeance de l’informaticien vengeur
Depuis le début du mois d’août, LeMagIT vous propose de découvrir en avant-première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre. Aujourd’hui, retour sur Terry Childs le hacker de Frisco. La virtualisation selon Sun. Et McAfee qui veut sécuriser le nuage.
Sommaire
- 1 - La vengeance de l’informaticien vengeur
- 2 - Sun s’attaque à ESX, HyperV et XenSource
- 3 - McAfee traverse dans les clouds
La vengeance de l’informaticien vengeur
Des nouvelles de Terry Childs, l’ingénieur informaticien brimé par sa hiérarchie qui, pour se venger, avait chiffré une grande partie des données de la ville de San Francisco. En oubliant bien entendu de confier la clef à son successeur. Le SF Chronicle, dans un très court papier, nous apprend que les conséquences de cet acte coûteront à la ville près de 1 million de dollars. Un chiffre astronomique, qui mérite une lecture attentive. En fait, les conséquences du hack de Childs se chiffreraient à moins de 15 000 dollars de surcroît de travail et 182 000 dollars pour corriger la situation. Chiffre qui, par le jeu des estimations et du taux de facturation des entreprises de conseil, ne reflète probablement pas exactement le dol réel.
Le million de dollars, quant à lui, représente le montant nécessaire à la refonte du système informatique (consultants and upgrades to the network). C’est donc là un travail qui de toute manière aurait été nécessaire tôt ou tard, une nécessité que l’acte désespéré de Childs n’a fait que mettre en évidence.
Mais ce n’est pas tout… derrière cette manchette tapageuse se déroule un mini drame moins spectaculaire et certainement plus inquiétant. Quelque part, dans l’écheveau de câbles et de routeurs du réseau de San Francisco, se cache un RAS, un accès distant, probablement un routeur posé par Terry Childs, ou qui s’annonce comme tel. La présence de l’équipement aurait été sniffée fin août, et, l’on s’en doute, personne n’a pu y ouvrir une session faute de crédence d’administration valide. L’emplacement même de l’intrus est inconnu. Il faut préciser que SF est un véritable paradis pour poseur de fibres, et il n’est pas certain que la cartographie physique des raccordements soit parfaitement dressée. Retrouver une adresse MAC à l’échelon d’un MAN n’est pas une mince affaire, surtout si le port en question a été posé par une personne compétente et ne souhaitant pas se faire repérer. La mission n’est pas impossible mais risque d’être fastidieuse.
Pendant ce temps, Terry Childs attend d’être jugé. Sa caution a été fixée à 5 millions de dollars ce qui, au cours moyen du consultant Californien, correspond à peu près au coût du chantier de mise à niveau de Los Angeles.
Sun s’attaque à ESX, HyperV et XenSource
Après le rachat, puis le toilettage de VirtualBox, gestionnaire de machines virtuelles pour stations de travail, Sun annonce la sortie de xVM Server. Une contre-attaque très attendue, qui vient se jeter sur les brisées de Microsoft, Citrix et VMWare notamment. Tout comme Xen et ESXi, cet xVM se suffit à lui-même et ne nécessite pas de système hôte. Là encore cela n’étonnera personne, puisque xVM part d’un socle Xen dont le noyau Linux a été remplacé par un Open Solaris. Ossature Open source, moteur Open Source, xVM sera téléchargeable gratuitement dès le début du mois prochain. Notons au passage que la version de Microsoft HyperV « non intégrée à 2008 server » (les américains disent « bare metal ») devrait être téléchargeable gratuitement dès le début octobre également.
Mais revenons à xVM. Ses systèmes invités officiellement conseillés sont Windows (serveur 2008 y compris), Solaris, Open Solaris et Linux RH, version 64 bits affirment les documents techniques. Un xVM Ops Center V2, console d’administration et ses agents associés, est également mis en vente. Elle permettrait de gérer le fonctionnement, l’équilibrage mais également la migration d’une machine d’une plateforme à une autre, sans interruption (live migration). Est également compris dans les services les plus haut de gamme de xVM Ops Center la haute disponibilité, le provisionnement des VM et des noyaux, les déploiements de mises à jour, la gestion de parc et le contrôle-supervision des bases matérielles. Si l’on excepte la version d’entrée de gamme, très limitée, Ops Center, selon les modules de services fournis, sera vendu 500 dollars par an en édition Premium, 2000 $ sous l’appellation xVM Infrastructure Enterprise et 5000$ pour xVM Infrastructure Datacenter.
McAfee traverse dans les clouds
Pour être à la mode, il faut désormais avoir la tête dans le nuage. Demain, nous promet le « cloud computing », le service d’un logiciel nous viendra de la nébuleuse Internet et non plus de notre disque dur. Demain ? Aujourd’hui même, affirme McAfee, qui nous réinvente la sécurité informatique. Car Artemis est une idée merveilleuse. Il s’agirait d’une technologie capable de lutter contre les virus les plus récents grâce au mécanisme suivant : à chaque analyse de fichier suspect, l’agent local, situé sur le poste de travail, vérifie si l’élément n’est pas déjà répertorié dans sa base de signatures (l’inamovible base dont on annonce la mort depuis plus de vingt ans). En cas d’échec de la requête, l’agent prend une empreinte du fichier et l’expédie via Internet vers un SOC appartenant à McAfee. Lequel SOC possède bien entendu une base de données à la fois plus complète et mise à jour en temps réel. L’ordre de mise en quarantaine ou d’autorisation de passage revient vers le client, affirme le communiqué, en moins d’une seconde. Ainsi, l’usager serait « mieux protégé » car, grâce à cet accès direct au saint des saints de l’éditeur, il réduirait considérablement la fenêtre de vulnérabilité provoquée par les lenteurs des procédures de mise à niveau des bases locales.
Les esprits chagrins feront remarquer que ce n’est là qu’un procédé de plus pour renforcer un peu plus le principe de la détection antivirus « par analyse de signature ». L’usager est littéralement attaché en permanence –pris en otage ?- à son fournisseur de service. En outre, il y avait déjà pas mal de problèmes jusqu’à présent avec les moteurs de mise à jour des principaux éditeurs d’A.V. (voir les travaux de Thierry Zoller sur le sujet). En rendant un processus de filtrage dépendant d’un accès Wan, l’on pourrait craindre certains risques de réponses forgées –on a connu moins compliqué. Et cela sans oublier les toujours possibles attaques en déni de service. Faisons confiance à l’imagination des auteurs de virus.
Quelles sont les chances de succès de ce modèle de vente ? Tout comme les multiples promesses des expériences SaaS (Software as a Service) ou les certitudes de retour sur investissement faramineux qu’annonçaient les prestataires ASP d’hier, cette façon d’insensiblement déposséder l’usager de tout élément tangible de son informatique risque de poser de sérieux problèmes à la fois psychologiques et stratégiques. Psychologique, car, pour des particuliers ou des TPE, il est parfois difficile de concevoir l’achat d’une chose que l’on ne peut toucher. Stratégique, car cette forme d’externalisation place entre les mains de deux partenaires incontrôlés –l’opérateur télécom et le fournisseur de services- une partie des biens du client. Biens qui disparaissent ou son fragilisés si l’un des deux partenaires venait à disparaître ou à faillir.
Mais tout n’est pas si sombre, sur le front du cloud computing sécu. Il faut prendre en compte le fait que les antivirus, les firewall, les outils traditionnels de protection périmétrique relèvent de plus en plus du domaine des « consommables », ce que les américains désignent par le mot-valise « commodity ». Des fonctions qui, bien qu’importantes, peuvent parfaitement souffrir d’être prises en compte par des sociétés extérieures… pour autant que les contrats de services précisent avec exactitude les limites des fonctions et surtout le lieu de travail du sous-traitant. Accepter de confier à un sous-sous-traitant ne serait-ce que la comparaison de signature de « contrat-EADS-Bordurie.xls » par la filiale Syldave de TotalAntiVirInc comporte certains risques de fuite d’information. Et ce n’est pas là la plus désagréable des conséquences. Ce fut l’une des principales entraves au développement des offres de sécurité par « managed services ». Moins ambitieux, le projet de McAfee pourrait bien ne pas souffrir de la défiance des éventuels acheteurs.