Spécial sécurité : Sécurité de bout en bout, en attendant Seven et Stirling
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères ont continuer de suivre avec intérêt les innovations de la RSA Conference qui se déroule actuellement à San Francisco.
Sommaire :
- 1 - Microsoft : End to end security, en attendant « Seven » et Stirling
- 2 - 70% des budgets sécurité frappés par la récession
- 3 - Un pirate dans ma télévision
- 4 - Tour des web sécu en 80 urls
1 - Microsoft : End to end security, en attendant « Seven » et Stirling
San Francisco, RSA Conference : Pour la deuxième année consécutive, Scott Charney, Corporate Vice President, Trustworthy Computing, revient sur le « end to end trust », la sécurité –les réseaux de confiance- de bout en bout. Si, lors de la précédente RSA Conference, tout cela était encore très théorique en avril 2008, les choses, depuis, ont pris du corps. Tout d’abord avec une réelle prise de conscience de la part des communautés de développement de l’importance du SDL, du « Security Development Lifecycle ». Une prise en compte de la sécurité des applications de leur conception jusqu’à leur exploitation au jour le jour. Il faut dire que Microsoft, tout au long de l’année écoulée, n’a pas été le seul à militer en faveur d’une meilleure conscience dans l’écriture des programmes, dans l’entretien de ceux-ci … L’Owasp, pour ne citer qu’un autre de ces militants, a largement contribué à cette prise de conscience. Ajoutons également –le récent rapport de Microsoft sur « les données de sécurité » le confirme- que les efforts de stabilisation des programmes et noyaux portent ses fruits. De patch en patch, de service pack en restriction d’exécution (UAC de Vista), la protection des logiciels MS est, sinon absolue, du moins relativement efficace. Une stratégie de protection du poste de travail qui continuera avec Windows 7, notamment, cite Scott Charney, avec « Bit Locker to go » (sécurisation des données « hors TPM » pour les périphériques de stockage mobiles) ou bien App Locker (signature des applications dépendant d’une politique de groupe définie par l’administrateur), ou encore Direct Access, un tunnel IPSec sur IPv6, qui permet de connecter dynamiquement un poste distant à un serveur en particulier, en fonction du la nature de la tâche à effectuer. Les anciens utilisateurs du RAS apprécieront.
End to end trust,continue George Stathakopoulos, (General Manager Security Engineering and Communication) c’est aussi –et surtout pour les architectes systèmes- la gamme d’outils de protection actuelle et à venir destinée aux serveurs. Forefront tout d’abord, et sa prochaine version Stirling, dont une nouvelle préversion est téléchargeable à des fins d’évaluation. Il faut ajouter à cette évolution naturelle de la technique et des programmes, une évolution dans le comportement de Microsoft. Avec notamment l’ouverture de Stirling à d’autres programmes, d’autres solutions de sécurité proposés par de tiers acteurs : Brocade, Guardium, Imperva, Juniper Networks, Kaspersky, Q1 Labs, StillSecure, Sourcefire Inc., Tipping Point. Le dernier en date, en provenance de RSA, porte sur les technologies de prévention de fuite d’informations. Viendront ensuite de nouvelles techniques, de nouveaux serveurs, tel que Geneva, outil de gestion des identités qui étendra au monde extérieur et à la notion d’identité « revendiquée » (ou réclamée) les déjà trop vieux « Active Directories » qui étaient restreints au périmètre des utilisateurs et des machines d’un domaine. Jusqu’où cela s’arrêtera-t-il ? End to end trust n’a pas de limite. Tel que défini par Charney il y a un an, cette chaine de confiance couvre tout, de la microélectronique à la macrogestion et comprend :
- Les composants et processeurs spécialisés, tels que les TPM
- Le système d’exploitation et ses composants « signés », accompagnés d’outils de vérification capables d’assurer un suivi des journalisations des mises à jour (afin que l’installation d’une ancienne DLL vulnérable et exploitable ne puisse demeurer inaperçue, par exemple)
- Les applications, elles-mêmes approuvées par une politique de signatures assurée par l’administrateur, par l’éditeur via le noyau, ou même par l’usager. Sur ce point de nombreux progrès sont encore à faire, si l’on en juge par l’efficacité des « scarewares », dont l’installation « volontairement acceptée » par l’usager, ne doit son « authentification » qu’à une attaque en ingénierie sociale bien conduite
- Les personnes. Or, s’assurer de l’identité d’une personne sur Internet est la chose la plus difficile et la plus risquée qui soit. Même les meilleures contremesures techniques sont susceptibles de tomber sous les coups de boutoir des spécialistes du vol d’identité.
- Les données… combien de fois les alertes des différents éditeurs s’achèvent par un trop traditionnel « n’ouvrez pas de document provenant de sources inconnues ». Face à ce risque, les solutions sont encore rares : signature authentifiant la provenance et l’intégrité du fichier, ouverture des données dans une « sandbox », gestion des identités et contrôle d’accès des usagers réclamant une information.
- Les audits, qui vérifient régulièrement la cohérence des 5 points précédemment décrits.
2 - 70% des budgets sécurité frappés par la récession
San Francisco, RSA Conference : Un sondage effectué par l’ISC2 auprès de 1500 professionnels de la sécurité certifiés CISSP et travaillant sur le territoire US indique que près de 70% des personnes interrogées ont vu leur budget réduit en raison de la situation économique générale. 55% d’entre eux, cependant, pensent qu’ils ne devraient pas subir de nouvelles mesures restrictives durant le reste de l’année en cours. La moitié des personnes consultées ont également avoué avoir perdu l’un de leurs collaborateurs durant les derniers mois. Si un tiers du panel affirme posséder un pouvoir de décision concernant l’embauche de ses collaborateurs, seulement 44 % d’entre eux pensent qu’ils auront à pourvoir un nouveau poste dans le courant de l’année. Les domaines de recherche sont d’ailleurs relativement verticaux : gestion de risques, sécurité opérationnelle, certifications, administration et mise en pratique de la sécurité, architecture et modèles de sécurité.
3 - Un pirate dans ma télévision
San Francisco, RSA Conference : Adobe vient d’annoncer la possible intégration de sa plateforme Flash dans tout appareil appartenant à la sphère « audio-vidéo grand public » : du décodeur TV au périphérique mobile, en passant par les nouveaux lecteurs DVD Blue Ray et autres home-cinéma. Officiellement, cette extension des outils flash –du player à toute la chaine de transmission- devrait permettre d’assouplir la diffusion de flux haute définition à l’ensemble des équipements de l’électronique de loisir.
Eclairée par la lanterne très polarisée de la sécurité, cet événement pourrait être, tout comme la langue d’Esope, la meilleure et la pire des choses. La meilleure car elle assurerait à la profession une phénoménale source de revenus, la pire, car elle aurait de très fortes chances d’étendre le domaine de la lutte virale sur des terrains jusqu’à présent épargnés. Avec l’apparition des premières prises Ethernet sur les téléviseurs, amplificateurs haut de gamme, lecteurs DVD, l’on pouvait redouter qu’un jour il faille « distribuer un patch Tuesday » dans la mémoire des équipements « bruns ». L’on peut, dès à présent, prévoir de quelle manière lesdites prises seront exploitées.
4 - Tour des web sécu en 80 urls
San Francisco, RSA Conference : Un observatoire de veille technologique sécurité gratuite ? Ce n’était sans doute pas le but recherché, mais en lançant l’idée d’un « palmarès des meilleurs sites et blogs sécurité », RSA a offert à la communauté un outil passionnant : une liste presque exhaustive de tout ce que le monde anglophone compte de webs dans le domaine de la protection des technologies de l’information. Le tout classé en catégories strictes : blogs techniques, non-techniques, « corporates », de divertissement, Podcasts les plus populaires… cette classification laisse parfois le lecteur dubitatif ; considérer le blog du Sans comme « divertissant » ou Infosec Rambling comme « non technique » prouve au moins une chose : c’est que les lecteurs à l’origine de cette liste ont eux-mêmes un sens de l’humour geek assez poussé.