Spécial sécurité - RSA Conference : les startups poussent dans du sable
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères ont observé avec intérêt les innovations de la RSA Conference avant d'analyser les répercutions possibles du rachat de Sun par Oracle dans la sécurité.
Sommaire
1 - RSA Conference : les startups poussent dans du sable
2 - Rachat Oracle-Sun : un casse-tête sécurité
3 - Check Point/Nokia : c’est dans la poche
4 - Des captchas sans dessus-dessous
RSA Conference : les startups poussent dans du sable
San Francisco, RSA Conference : Une petite dizaine d’entreprises pratiquement inconnues –mais prometteuses-, réunies dans un espace distinct, c’est l’innovation sandbox de la RSA Conference. Une initiative qui rappelle fortement le « startup village » du Comdex, peu de temps avant la descente aux enfers de cette manifestation. Qui sont ces jeunes pousses de la sécurité ? Très souvent des entreprises cherchant à commercialiser un outil de défense du poste de travail ou du terminal mobile. Mais ce n’est pas là une règle absolue. Il y a là de la graine à « success story » qui ne demande qu’à prospérer sous le soleil du Nasdaq.
SafeMashups, comme son nom l’indique, est une petite entreprise spécialisée dans les « mashups », les agrégations de données à fin de présentation en ligne. Or, la mise en relation de plusieurs applications Web pour la collection d’informations peut parfois poser de sérieux problèmes de sécurité, notamment dans le cadre de la gestion des droits d’accès. C’est pourquoi le laboratoire de SafeMashups a mis au point un protocole de transport sécurisé baptisé MashSSL. A noter que le kit de développement de ce canal de communication chiffré est « royalty free ». La documentation et les exemples fournis sur le site de l’éditeur sont une lecture préalable nécessaire pour comprendre l’usage de cette bibliothèque.
BehavioSec, pour sa part, est une entreprise suédoise, qui a mis au point un programme centralisé d’analyse comportementale des actions humaines. Contrairement à des outils tels que NexThink, qui s’appuient sur un relevé des activités IP, BehavioSec ne prend en compte que les paramètres biométriques : la rapidité de frappe et son rythme général, les « motifs » des mouvements de souris etc. Ces mécanismes de modélisation de l’activité humaine ont, chacun, fait l’objet d’analyses et de communications par de multiples laboratoires privés ou d’universités. Mais jamais encore ces techniques n’avaient été réunies en un seul et même logiciel de supervision et d’administration.
MokaFive, pour sa part, n’est pas à franchement parler une idée nouvelle. Ce projet universitaire (Stanford) combine, dans une « solution de virtualisation », les avantages de l’accès distant et la sécurité d’un poste de travail virtualisé et hébergé dans un « cloud ». Le procédé virtualise des machines Windows, des Macs, des systèmes Linux, et ne nécessite qu’une clef USB ou la mémoire d’un smartphone pour démarrer le système et accéder à la station de travail. Le moteur appelé LivePC engine est une extension reposant sur le player VMware. Les données et le noyau étant totalement isolés les uns des autres, toute infection ou attaque peut être éliminée par simple extinction de la VM. Une démonstration édifiante de ce que peut faire Mokafive, le « navigateur qui n’a pas peur », peut être téléchargé sur le site de l’éditeur. Il s’agit d’une version virtuellement indestructible de Firefox tournant sur un micro noyau linux et protégé par l’onion router Tor.
Ohanae est un enfant hybride combinant à la fois les avantages d’un « PasswordSafe » - coffre à mots de passe pour SSO personnel -, de générateur automatique de mots de passe complexes, d’espace de stockage local chiffré, d’anti-keylogger, d’antiphishing et de répertoire de sites favoris. Les « secrets » sont stockés dans une clef USB quelconque ou la mémoire d’un appareil mobile et pouvant être dupliqués à tout instant. Son côté « magique » peut sembler un peu trop beau pour être à la fois absolument « inviolable » et « universel ». Mais quelques soient les éventuels défauts de cet outil, ils seront toujours moins dangereux que l’usage répété d’un seul et même mot de passe, indépendamment de sa complexité.
PureWire est l’un des bientôt nombreux acteurs qui se spécialisent dans la fourniture d’accès Web « purifiés ». Ils ne sont qu’une poignée à l’heure actuelle, qui s’occupent du filtrage des accès Internet selon un modèle « Software as a service ». Face aux coûts et aux immobilisations qu’occasionnent les profusions de proxy, de logiciels de protection périmétrique, les filtres antivirus, antispam, antiscripts, antiphishing et proches cousins, il était logique que quelques entreprises cherchent à offrir des services externalisés répondant à ce genre de demande. Certains passent par des réseaux de prestataires répartis dans le monde entier, d’autres n’offrent qu’un accès centralisé à l’échelle d’un pays… affaire à suivre.
Network Intercept est la remise au goût du jour d’un vieux principe : celui du proxy filtrant externalisé. Le proxy en question compresse - donc accélère - un certain nombre de contenus, filtre les contenus dangereux, chiffre la liaison, isole et protège l’usager – itinérant ou non - contre toute attaque directe… et assure un certain nombre de fonctions d’identification dans ses versions « intranet/extranet d’entreprise ». Les offres grand public de ce genre –bien que moins perfectionnées- avaient fleuri à l’époque où les modems étaient encore utilisés. Les entreprises, pour leur part, n’ont jamais vraiment adhéré à ce genre d’offre, considérant que les machines de cet intermédiaire pouvaient constituer un point de vulnérabilité unique. La crise économique aidant, il se po urrait bien que ce genre de crainte s’efface devant les promesses de ROI avancées par ces prestataires de services.
Avec Lancelot le cyber-chevalier blanc, on entre dans le domaine complexe des tableaux de bord d’analyse de risque. Un tel logiciel est trop complexe pour être résumé en quelques lignes. Tout au plus peut-on dire qu’il propose, selon les niveaux de risques constatés et encourus, un certain nombre de remèdes issus de Cobit, d’ISO 27001, etc... C’est, à première vue, l’outil idéal pour contrôler la cohérence des multiples politiques de sécurité de tout un environnement TIC doublé d’un indicateur de conformité, mais très peu de renseignements sont fournis par l’éditeur quant aux moyens de collecte et d'analyse de pertinence des métriques servant à ladite analyse.
Yubico prétend concurrencer le fameux « token RSA ». C’est donc une clef USB générant un mot de passe à usage unique et ne nécessitant pas de logiciel client annexe. Le principal avantage, insistent ses concepteurs, c’est qu’outre sa totale indépendance par rapport au système d’exploitation installé (la clef n’est jamais qu’un générateur de frappe clavier un peu évolué), le système n’exige aucune alimentation autre que celle fournie par le port USB. Nul changement de pile, aucun renouvellement de composant nécessaire. A noter également que le SDK servant à intégrer l’utilisation de cette clef dans une application particulière repose sur des outils Open Source.
Mais c’est AlertAccess qui, parmi tous ces concurrents, a remporté cette année le prix de l’innovation. Il s’agit là d’un logiciel édité par AlertEnterprise, destiné à administrer les droits d’accès au système d’information et d’analyser les risques probables que recèlent les applications, les systèmes ou le réseau. Rachat Oracle-Sun : un casse-tête sécurité
San Francisco, RSA Conference : Contre toute attente, alors que les rumeurs d’absorption de Sun par IBM tournaient petit à petit à l’aigre, voilà qu’Oracle offre 9,5 $ par action et emporte la « Solaris company » pour un montant global estimé aux environs de 7,4 milliards de dollars (ramenés à 5,6 milliards après estimation des liquidités et dettes de Sun). Malgré l’importance de la somme mise en jeu, Safra Catz, président d’Oracle, estime que l’opération sera profitable plus rapidement qu’on ne pouvait l’espérer.
Pour Oracle, la corbeille de mariage est généreuse. Avec notamment un système d’exploitation solide -Solaris-, socle indispensable au SGBD, outils de développement et logiciels applicatifs d’entreprise. Avec également le langage Java, outil de développement pourtant activement promu par IBM des années durant.
Mais cette union soulève également un certain nombre de questions, et ce, particulièrement dans le domaine de la sécurité. En premier lieu, qu’adviendra-t-il de l’offre « gestion des identités » de Sun ? Combinés à l’offre SSO d’Oracle et logiciels associés (Oblix, Thor), les services d’annuaire de Sun et outils de gestion des identités font de ce nouveau tandem l’acteur le plus important du secteur… loin devant IBM lui-même ou encore Computer Associates. Encore faudra-t-il que des « ajustements » de gamme et des efforts d’unification soient prodigués afin que la gamme devienne cohérente et que la somme des parties forme effectivement un tout.
Autre secteur sensible dans le domaine de la sécurité, la virtualisation. L’on peut d’ores et déjà prédire qu’il n’y aura aucune « grande révolution » pour ce qui concerne le support des bases Oracles par un hyperviseur. Larry Ellison, CEO d’Oracle, avait déjà, avec la modestie et la discrétion qui le caractérisent, annoncé l’adoption d’une base Xen plutôt qu’un socle VMWare. Or, c’est également Xen qui a été adopté par Sun pour constituer son offre xVM. Reste que VMware est également au catalogue, et représente une part non négligeable des services fournis autour des serveurs blade du constructeur. Reste également en suspend la question du devenir de Virtual Box, une VM « station », concurrente de VMware Station et de Virtual PC, destinée à un marché que maîtrise peu l’éditeur de bases de données.
Check Point/Nokia : c’est dans la poche
San Francisco, RSA Conference : L’issue de l’histoire ne faisait pratiquement aucun doute : la reprise des activités « Appliances de sécurité » de Nokia par le géant israélien Check Point est enfin finalisée, officielle et définitive. D’un point de vue pratique, cette opération de « croissance externe » ne change que très peu de choses, puise déjà les boîtiers IP de Nokia étaient commercialisés par le réseau commercial de Check Point. Les procédures d’acquisition de licences seront simplifiées puisque concentrées autour d’un opérateur unique.
Des captchas sans dessus-dessous
Toujours en quête d’un procédé capable d’intercepter les robots créateurs de comptes bidons, Google vient d’inventer un nouveau mécanisme capable de discerner un internaute « humain » d’une machine. C’est le « what’s up captcha », qui repose sur un principe très simple : le correspondant interrogé doit déterminer, parmi un choix de 6 images, laquelle est à l’endroit, ou, dans le cadre d’applications pour terminaux mobiles, « redresser » une image volontairement tournée. Le principe serait, explique le blog Tech-Ex, moins confus et plus simple à interpréter que les groupes de lettres et chiffres actuellement présentés. Reste que, statistiquement, une attaque « brute force » du procédé peut rapidement venir à bout dudit filtre. Les personnes aveugles sont incapables de franchir cette forme de filtrage, et l’on peut s’attendre à ce que les « robots humains » employés à décoder du captcha pour un salaire de misère se jouent de cette prétendue difficulté technique. Le captcha, c’est un peu comme la conquête du Graal ou le bug de l’an 2000 : un mythe qui peut rapporter gros à son vendeur et qui ne résiste généralement que le temps d’une vesprée.