Spécial sécurité : Linux profite de la lenteur du boot de Windows
Tout au long du mois d’août, LeMagIT vous propose de découvrir en avant première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre. Au menu de cette édition : la mode (naissante) des systèmes Linux pour accéder rapidement aux fonctions de communication, le blog (embryonnaire) délivrant la bonne parole sur Windows 7. Et un exercice de prospective sur l'avenir de l'antivirus digéré par le cloud computing.
Sommaire :
- Boot Windows, le meilleur ami de Linux
- Windows 7, une seule voix, un seul regard
- Support Microsoft : un abonnement Premier dopé
- CheckPoint : un firewall sans firewall
- FIPS, Hachage et signatures, le Nist planche
- Bientôt du Mozilla sous Windows CE
- On achève bien les antivirus
Boot Windows, le meilleur ami de Linux
PC World publie un article expliquant comment les nouvelles générations de machines pourront lancer des applications simples, sans nécessairement démarrer le système d’exploitation principal. C’est notamment, nous expliquent nos confrères, le cas du Dell Lattitude On, qui, outre l’architecture nécessaire à l’exécution d’un Windows, intègre un processeur ARM et une mémoire flash chargée avec un Linux Suse. Intel, pour sa part, invente le « remote wake », capable de sortir un ordinateur de son mode « veille » dès qu’un flux important est détecté sur l’un de ses ports Ethernet. Une sorte de Wake on Lan associé à un filtrage de protocole. Le but d’un tel perfectionnement est de faire répondre présent à la machine en cas d’appel VoIP inopiné.
On pourrait également ajouter à cette liste les projets d’Asus en ce domaine, projets qui consistent à installer une sorte de « mini EEE » sur certaines cartes mères, afin que les fonctions de communication les plus courantes – VoIP, messagerie, I.M., navigation Web - soient accessibles sans qu’il soit nécessaire de lancer le système d’exploitation principal. Mieux encore, rappelons les travaux de Joanna Rutkowska pour le compte de Phoenix, laquelle, entre deux compromissions de machines virtuelles « for fun and profit », contribue au développement d’une architecture matérielle et firmware capable d’exécuter deux noyaux concurrents : Hyperspace. Il s’agit d’un Linux allégé (exécutant les mêmes applications : email, VoIP, I.M., lecteur multimédia, prise de contrôle à distance…) exécuté dans un contexte isolé, parallèlement à un Vista « toutes options confondues ». Il est évident que le micro-noyau Linux démarre pratiquement instantanément.
Vue sous un angle professionnel, cette arrivée d’un Linux gadget destiné à améliorer l’ergonomie des stations de travail n’est jamais qu’une sorte de come-back du terminal presque passif. Avec un navigateur, un téléphone IP, une ou deux applications bureautiques, une UA de messagerie et un mécanisme d’administration à distance, les fabricants d’ordinateurs ne font que commercialiser sous forme d’accessoire ce que Microsoft a tenté de vendre, il y a quelques années, sous le nom de poste allégé, Thin Client ou Terminal Intelligent.
Le marché grand-public, pour sa part, a nettement manifesté son intérêt pour des systèmes à démarrage rapide, capable d’exécuter les programmes les plus courants. Le succès de l’EEE et de ses clones le prouve chaque jour.
Discrètement, les Dell, Intel, Asus et autres Phoenix tentent de faire passer un message clair : on peut vivre sans Windows. Et très bien. Toute la question est de savoir si, et comment, Microsoft compte réagir. Rien n’interdit, si ce n’est un peu d’optimisation de code, de voir MS lancer un contre-feu à coup de Windows CE intégré dans les couches basses du matériel, voire à l’intérieur d’une VM matérielle.
Windows 7, une seule voix, un seul regard
Il fait parler de lui, le premier blog du msdn consacré à Windows 7. Administré et animé par Jon DeVaan et Steven Sinofsky, ce fil d’information sera dupliqué et traduit dans le monde entier, et devrait constituer la « seule source d’information fiable et officielle » relative au futur noyau Microsoft. La profusion de blogs plus ou moins indiscrets, plus ou moins contrôlés, qui avait présidé au lancement de Vista est de l’histoire ancienne. Voilà qui marque la fin des « fuites officielles ».
Ceci n’est pas sans rappeler la mode des T-shirts. A une époque – il y a plus de 15 ans de cela -, il était de tradition de voir fleurir sur le campus de Redmond des T-shirt arborant l’état d’avancement de tel ou tel projet. Cette folie vestimentaire était telle qu’il se produisait parfois autant de chemisettes que de « builds intermédiaires ». Une simple visite dans une boîte de nuit de Seattle renseignait les curieux avec une exactitude confondante qu’aurait pu envier n’importe quel espion industriel et qui réjouissait les journalistes.
Désormais – espère-t-on -, la seule voix de la vérité sera celle de Engineering Windows 7, dont la version française est d’ores et déjà opérationnelle.
Support Microsoft : un abonnement Premier dopé
A destination des grands clients MS pour qui le support Premier Plus ne suffirait pas, Microsoft propose désormais un service « Premier Ultimate ». Mêmes conditions d’assistance et d’accompagnement sur site et à distance par un ingénieur détaché, mais avec une vision plus poussée de ce fameux accompagnement. Désormais, il sera possible de signer un contrat de service « proactif » pouvant s’étendre sur une durée de trois ans, et focaliser sur une catégorie de programmes adaptés à l’entreprise cliente. Ce qui est franchement nouveau, avec cette offre, c’est que les appels à l’assistance sont illimités, éliminant du coup les facturations horaires du service Premier.
CheckPoint : un firewall sans firewall
Il s’appelle VPN-1 VE, pour Virtual Edition. C’est donc une demi-surprise que la sortie de cette version virtualisée du VPN de CheckPoint, devant servir à protéger les machines virtuelles sous ESX. Pour l’heure, cette édition se contente de sécuriser ce qu’il y a à l’intérieur de l’hyperviseur. La protection d’ESX dans son entier sera pour plus tard.
La disparition de la coquille électronique ne signifie pas pour autant que les licences seront moins coûteuses. Un « paquet » destiné à protéger 5 VM est vendu aux environs de 7500 $, et les licences actuelles de VPN-1 peuvent être converties en VPN-1 VE.
FIPS, hachage et signatures, le Nist planche
Le Nist (National Institute of Standard and Technology américain) vient de publier les premiers brouillons des propositions de normalisation respectivement intitulés « Randomized Hashing for Digital Signatures » et « Recommendation for Applications Using Approved Hash Algorithms ». Les documents sont consultables sur le site de l’Institut.
Simultanément à cette publication, le Nist signale l’approbation de FIPS 198-1 intitulé « The Keyed-Hash Message Authentication Code »
Bientôt du Mozilla sous Windows CE
Pour l’heure, Fennec, la version mobile du navigateur Mozilla, n’est disponible que sur les Nokia N8xx à l’état de préversion. Mais, nous promet Mark Finkle, une édition pour Windows Mobile est également en chantier.
Passionnante prospective que celle que nous laisse entrevoir Laurent Picquepaille sur son blog techno-humaniste : les chercheurs de l’Université du Michigan travaillent sur une nouvelle approche de la chasse aux malwares, l’antivirus intégré au Cloud Computing. Cette nouvelle génération de désinfectant logiciel permettrait de conjuguer les efforts de plusieurs moteurs qui, accessibles par le truchement d’une liaison sur le réseau public, fourniraient une information plus solide à l’usager.
Si l’on peut voir dans ce « nuage de sécurité » une amélioration par union des compétences de chaque acteur de la protection périmétrique, il faut cependant rester prudent quant à la mise en application d’une telle idée. Non seulement parce que précisément les outils de défense sont situés en dehors du périmètre à protéger, mais en outre parce que cette procédure ajoute à la fois une couche d’abstraction et une couche de communication qui, à leur tour, peuvent apporter leurs lots de problèmes de sécurité. S’ajoutent à cette belle idée deux autres obstacles de taille : les questions de facturation d’un tel service d’une part, et les entraves psychologiques à l’utilisation de ces outils. Car, comme dans le cadre de l’externalisation des ressources et des traitements au sein de datacenters, la délocalisation des outils de sécurité peut être ressentie par les DSI comme une dépossession de certaines de ses prérogatives. Paradoxalement, les professionnels de la sécurité, RSSI et CSO, pourraient bien y voir une manière de se débarrasser de l’une des plus ennuyeuses et des plus triviales fonctions de protection, ainsi qu’un moyen de formaliser contractuellement ce qui doit et ne doit pas dépendre d’une fonction antivirale.