 |
|
||||
|
 |
 |
|||
|
|
||||||||||||
|
|||||||||||||
|
|||||||||||||
|
|||||||||||||
|
La sécurité informatique : une explosion annoncée
Le marché de la sécurité informatique est en croissance. Au niveau mondial, il est prévu une croissance régulière des logiciels en sécurité de 30% par an, $3 milliards en 98, $4 en 99 et $5 en 2000 (IDC). Les firewalls sont là pour durer mais leur part totale régresse de par leur intégration dans le réseau, les logiciels autour du chiffrement et les anti-virus demeurent les logiciels majeurs, mais la plus forte croissance revient aux logiciels de gestion et d'administration. Nous proposons en introduction au guide security 2001 un regard plus global de l'actualité de la sécurité, qui ne se limite pas à l'actualité des sociétés et des produits, mais aussi à l'actualité des technologies, des attaques et des évolutions structurelles comme le déplacement d'une partie du business, du logiciel vers le service. 2000 est l'année de confirmation de l'explosion de l'infogérance en sécurité, un marché qui atteindra $2,3 milliards en 2003 (Frost & Sullivan). C'est aussi l'année de naissance d'IPv6, qui a été choisi pour les mobiles de 3e génération, et l'année de l'explosion des réseaux sans fil avec IEEE 802.11b. Cela génère de nouveaux problèmes de sécurité.
Introduction
HSC est un cabinet de consultants offrant une large gamme de prestations à dominante technique dans le domaine de la sécurité informatique. Si elles exigent le maintien d'une excellence technique/technologique, la diversité et le nombre de nos interventions nous permettent aussi de rester en phase avec les évolutions d'un marché très dynamique. Cabinet indépendant, HSC bénéficie cependant de relations suivies avec de nombreux éditeurs (Bull, Checkpoint, Cisco, Netasq, Nortel et Solsoft.), notamment par le biais des programmes partenaires. Comme tout exercice de ce style, notre choix des événements marquants de l'année ne prétend ni à l'exhaustivité, ni à la neutralité absolue. Nous sommes cependant convaincus que les sujets retenus offriront au lecteur un panorama réaliste et intéressant d'une année riche en changements, et lui permettront de mieux appréhender les évolutions à venir.
Les faits marquants d'avril 2000 à mars 2001
Le premier fait marquant de l'année 2000-2001 est le démarrage d'IPv6.
La raison principale est l'avènement d'IP sur les mobiles. A Toronto fin juillet, le MWIF (Mobile Wireless Internet Forum) a en effet officiellement entériné la décision prise conjointement par Osaka et Toronto d'adopter IPv6 pour 3GPP, à savoir l'intégration de TCP/IP sur les mobiles dits de 3ième génération (UMTS). Pour beaucoup, ce choix rend inéluctable la migration de l'Internet vers IPv6. Nous allons citer ci-après plusieurs des arguments qui étayent cette hypothèse. Tout d'abord, l'Internet sans fil et les assistants personnels ne sont pas "un nouveau moyen d'accés a l'Internet". Même si actuellement ils ne concernent que des personnes qui utilisent Internet avant-tout sur un écran 1280x1024 au bureau ou à leur domicile, ils le seront cependant à moyen terme, le moyen d'accès à l'Internet du tout un chacun.
La fusion de l'Internet sans fil et de l'assistant personnel ou téléphone constituera sans aucun doute LE standard d'accès à l'Internet.
Un autre aspect à prendre en compte est bien sûr la facilité d'accès des téléphones et PDA au regard des PC, qui contraignent encore trop souvent l'utilisateur final à paramétrer des adresses IP voire à configurer des serveurs DHCP.
Au final les sites de commerce électronique qui voudront tirer parti de la manne conjuguée des utilisateurs de portable et du marché asiatique ne pourront donc le faire qu'en supportant IPv6. L'évolution du marché de la sécurité du logiciel vers le service
Dans un article en date du 24 juillet, le journal RedHerring, spécialisé dans le domaine mouvant des start-up, fait état d'une évolution du marché de la sécurité, traditionnellement axée autour d'une offre logicielle, vers une offre dont les services constituent le coeur. Un des exemples les plus médiatiques est peut-être Counterpane. Fondée par Bruce Schneier, cette entreprise n'a pas connu le succès retentissant promis aux millions du capital risque, mais son offre connaît cependant un succès certain auprès de nombreuses dot-com
La sécurité est un environnement hautement concurrentiel, et le marché des firewalls ne fait certes pas exception à la règle. Dans cette optique il y a longtemps que les études de marché constituent des armes de prédilection pour un éditeur soucieux d'affirmer sa suprématie sur ses concurrents. Malheureusement, l'énormité des enjeux nuit trop souvent à l'objectivité et à la sérénité des sociétés chargées de réaliser ces études. La confrontation de Cisco et Check Point constitue un exemple récent de cet état de fait.
Ainsi les partenaires Check Point ont reçu dans un bulletin mensuel de Check Point un article expliquant qu'une étude indépendante par Dataquest/Garter plaçait Check Point en position de leader des VPN IPsec. Ce bulletin faisait écho à la diffusion le mois précédent d'un communiqué de presse de Check Point sur le même sujet. Au-delà de cette guerre d'annonces et de contre annonces, on remarquera que Check Point a délivré l'agréement OPSEC d'Arrowpoint juste après que cette société soit acquise par Cisco. L'offre d'ArrowPoint concerne la commutation applicative à haut-débit, sur des URLs ou des cookies.
Cette escarmouche est à analyser dans le cadre du changement de stratégie de Check Point. Check Point a en effet décidé de ne revendre FW-1 que sur des systèmes d'exploitation standards tels que Windows 2000, Linux et FreeBSD, et a stoppé l'intégration de son module de filtrage IP dans les routeurs, commutateurs, modems, et boîtiers spécialisés. Ce changement de politique vient essentiellement d'un conflit de canaux de distribution : un FW-1 acheté via Nokia ne comptait pas dans les ventes de FW-1. S'il est désormais impossible d'acquérir FW-1 via le fournisseur de la plate-forme, il faudra toujours l'acquérir auprès de Check Point. Certains distributeurs ont utilisé cela pour gonfler leurs ventes d'un coté en disant j'ai vendu des Nokia et de l'autre j'ai vendu des Check Point. Avec le nouveau système cela n'est plus possible. Check Point et Nokia ont signé leur accord pour 2 ans de novembre 2000 à novembre 2002.
Mais cette évolution facilite aussi pour ces fabricants la migration vers un Unix Natif : le coûteux duo FW-1/VPN-1 étant alors remplacé par le performant et gratuit couple Netfilter/FreeSWAN, associé à une interface de configuration.
Depuis septembre dernier Microsoft proposait en effet en version bêta son firewall Microsoft ISA, en téléchargement. Il s'agit d'un Microsoft proxy server étendu, avec un filtre IP et une interface graphique qui n'a pas impressionné les professionnels de la sécurité. Ce firewall est un logiciel qui fonctionne sous Windows 2000. L'entrée de Microsoft sur le marché des firewalls était prévue, mais risque de surcroît de ne pas passer inaperçue, particulièrement sur les marchés captifs de Microsoft et des PME-PMI. Par ailleurs, Microsoft n'hésite pas à mettre en avant le filtrage de session dont serait capable ISA, un argument au coeur du discours marketing de Check Point, qui semble donc être dans la ligne de mire de la firme de Redmond. Il faut cependant garder à l'esprit que l'évolution vers les firewalls en boîtiers simples à administrer et sécurisés reste la plus pertinente. Les firewalls sur Windows 2000 sont en effet un anachronisme vu le coût d'exploitation. La meilleure plate-forme pour un produit de sécurité ne pouvant se contenter d'un boîtier reste Unix, sachant que les boîtiers eux-mêmes sont également des PC sous Unix. Dans une grande entreprise au sein de laquelle des unités distantes pourraient être tentées par un produit Microsoft, un boîtier gérable de manière centralisée ou en infogérance serait ainsi préférable. Attaques sur les téléphones mobiles
En attendant l'arrivée d'attaques plus évoluées et dangereuses, le SPAM a d'ores et déjà fait son entrée sur les mobiles. Ainsi, de nombreux utilisateurs de l'opérateur de téléphonie mobile Orange, filiale de France Telecom, ont reçu un message publicitaire dans leur boîte vocale. Orange offre en effet un service permettant d'enregistrer un message,
puis de le renvoyer vers d'autres boîtes vocales. Ce service aurait donc été utilisé pour ce SPAM. La méthode pour obtenir les numéros de téléphone n'avait pas été établie, mais pourrait être due à une erreur de conception du système. Les fournisseurs de services & produits en sécurité épinglés
Kitetoa a épinglé durant l'année plusieurs fournisseurs de services et produits en sécurité, qui avaient laissé des serveurs WWW accessibles à tous. Ainsi même Bull a été victime d'un piratage d'un de ses serveurs WWW : www-domino1.bull.fr, situé a Louveciennes. Le serveur Web sous WNT et Lotus Domino laissait en effet l'accès libre à l'arborescence de la machine, sur laquelle se trouvait une liste de clients et prospects, avec les noms et coordonnées des responsables, la liste de leurs équipements dans chaque département, etc. Ce serveur visiblement Intranet était donc également accessible depuis Internet.
Mais Bull est loin d'être le seul à connaître de pareilles mésaventures.
La première arme de la guerre économique, c'est l'information. Si le piratage d'un site Web est rarement sans effet sur l'entreprise, force est de reconnaître que des attaques plus subtiles peuvent-elles avoir des conséquences dramatiques. Faux communiqués de presse, études de marché commanditées, rumeurs dans les newsgroups...Autant d'outils pouvant être utilisés dans le cadre d'une campagne de déstabilisation. Ainsi Alcatel, qui au cours de l' année 1998, doit à ce type d'attaques d'avoir vu sa capitalisation baisser de 160 à 100 milliards de francs. Il suffit d'ailleurs parfois d'un acte individuel, comme dans le cas d'Emulex, pour faire trébucher sérieusement le cours d'une société. Dans ce cas précis, le FBI a arrêté un étudiant de 23 ans soupçonné d'être à l'origine du faux communiqué de presse responsable, et d'avoir ainsi engrangé prés de $ 250 000. Dans son édition du 15 octobre 2000, la revue CRYPTO-GRAM, traite d'ailleurs dans son éditorial du même évènement. L'article de Bruce Schneier est intitulé "Semantic Attacks: The Third Wave of Network Attacks". Je recommande chaudement sa lecture, qui permet d'appréhender les attaques à venir et d'y sensibiliser efficacement sa hiérarchie et ses clients. Une partie de l'article traite d'ailleurs de la falsification du passé.
Dans le domaine de la sécurité, il existe d'ailleurs des exemples connus de ce type de phénomènes, certaines figures de la sécurité ayant fait circuler des CV qui présentent une relecture surprenant de l'histoire de ce domaine. Le piratage de sites web par des groupuscules politiques
Il n'a pas fallu attendre longtemps pour que les factions et groupuscules de tout ordre utilisent l'Internet, souvent par le biais de piratages de sites Web. Un exemple significatif est la série de piratages effectuée par GForce Pakistan, qui a ainsi imposé son message politique sur 66 sites webs entre le 30 juin et le 18 août, soit plus d'un site par jour. Les copies des sites pirates sont sur attrition, par exemple pour www.reservelabs.com du 18/8/2000 : http://www.attrition.org/mirror/attrition/2000/08/18/www.reservelabs.com/ La neutralité (politique/idéologique) d'un site ne constitue en rien une garantie de sécurité vis-à vis de ce type d'attaques, la liste des sites web ci-dessous montrant que les critères des attaquants sont pour le moins fluctuants, s'ils existent.
La gestion de politique de sécurité
Dès 1992 HSC a toujours développé l'idée que :
La mise en oeuvre fait généralement appel à un langage de haut-niveau pour définir sa politique de sécurité avec une vision globale, et la possibilité de voir graphiquement et topologiquement sa politique de sécurité, plus rarement de l'éditer sur la topologie. En mai 1999, au IEEE Symposium on Security and Privacy à Berkeley en Californie, Lucent Bell Labs (New Jersey, USA) et le Weizmann Institute ont présenté le résultat de leurs travaux, intitulé "a role-based management toolkit". Ces travaux ont depuis donné naissance à un prototype appelé Firmato, qui est devenu une spin-off de Lucent, puis qui a fusionnée avec une autre spin-off de Lucent appelée Lumeta, elle-même issue d'Internet Mapping Project et dans laquelle on trouve notamment Bill Cheswick. Les travaux présentés à l'IEEE Symposium apportent une formalisation du modèle entité-relationnel tel qu'utilisé par Solsoft NP. Un compte rendu de la conférence est consultable à l'adresse suivante : http://chacs.nrl.navy.mil/ieee/cipher/old-conf-rep/conf-rep-SP99.html
L'année 2001 a par ailleurs vu la tenue à Bristol du second "Policy Workshop", entièrement consacré à ce domaine. Joseph Pato des laboratoires HP de Cambridge (USA) a ouvert cette édition en rappelant que le développement de la sécurité doit se faire parallèlement à celui des services en lignes, ceci n'étant possible que globalement par le biais de la gestion de politiques de sécurité (security policy-based managment). Références :
Le piratage du forum économique mondial de Davos constitue un archétype de la dichotomie opérée encore trop souvent entre sécurité physique et sécurité logique, ceci au détriment de cette dernière. De surcroît, il ne s'agit pas dans ce cas précis de la simple modification de page Web, mais bel et bien du vol de nombreuses données confidentielles (1400 n° de carte de crédit appartenant aux participants, ainsi que leur n° d'appel téléphonique, ce qui pour des chefs d'entreprise est un problème), tel que la presse s'en est fait l'écho. S'il est emblématique, l'incident de Davos, n'est cependant pas isolé. Cette année encore, de nombreux sites d'organisation à très forte visibilité, telles que l'OPEC, ont été victimes de piratages à l'occasion d'événements spécifiques. À noter que dans ce cas précis, le pirate s'était heureusement contenté d'insérer des commentaires dans le code source des pages HTML. La page modifiée est consultable à l'adresse suivante : http://www.attrition.org/mirror/attrition/2000/09/12/www.opec.org/
Un autre piratage ayant défrayé la chronique est celui, beaucoup plus discret, mais aux conséquences probablement plus importantes, qui a touché 40 entreprises aux USA et un nombre inconnu dans le reste du monde. Cette série de piratage aurait permis à leurs auteurs de s'emparer des données relatives à plus d'un million de comptes. Le point commun à toutes ces plates-formes attaquées n'est autre que l'utilisation des technologies Microsoft : Windows NT 4.0, IIS 4.0, and SQL 7.0/7.0 Enterprise. Il semble cependant que la plupart des vulnérabilités exploitées disposaient depuis longtemps d'un correctif. Les premières attaques pour Palm-Pilot
Le premier Cheval de Troie pour Palm-Pilot n'est apparu que fin août.
Pour en savoir plus :
Le marché a poursuivi cette année sa concentration, et les opérations de rachat et autres fusions n'ont pas manqué dans les différents secteurs de la sécurité. Nos voisins d'Outre-manche et d'outre-Atlantique n'ont pas été inactifs, et Baltimore, l'éditeur de composants logiciels permettant de bâtir une infrastructure de clés, a ainsi acheté Content Technologies, leader de l'analyse de contenu. Ce dernier apporte son logiciel phare MIMEsweeper, ainsi que son gigantesque fichier commercial. Baltimore, déjà très agressif, ne manquera certainement pas d'utiliser ces deux atouts
pour étendre sa main-mise sur le marché.
Un autre rachat de taille est celui d'Axent par Symantec. Ce dernier, connu pour ses utilitaires pour Windows et notamment ses anti-virus, récupère ainsi des produits tels que le firewall Raptor, ou encore les logiciels ESM (gestion) et Netrecon (tests). De son côté, Nortel Networks devance Cisco, Lucent, ou encore Alcatel, et acquiert Alteon et son offre complémentaire de commutateurs moyenne gamme. Quant à ISS et Check Point, ils semblent pour le moment chercher à maintenir leur position dans leur domaine, sans développer la même gamme que NAI et Symantec. À noter également le rachat d'Internet Dynamics par Redcreek. Ce dernier, qui propose des boîtiers de chiffrement IPsec et fait partie des pionniers dans ce domaine, ne devrait conserver que le logiciel de gestion de politiques de sécurité, et l'adapter à la gestion des tunnels IPsec des boîtiers Redcreek. Le marché français a lui aussi connu son lot d'acquisitions. Dans le désordre, on peut ainsi citer l'intégrateur Neurocom, qui a mis la main sur la société de conseil en monétique OMI, MSI racheté par Intesis (groupe Finmatica), Axidia par l'Américain Scient, GPS Consulting par Net2S, et CF6 par Telindus. Il est d'ailleurs à noter que si les rachats d'Edelweb par ON-X ou d'Intrinsec par Neurones étaient restés dans des montants raisonnables, cela n'est pas le cas dans les opérations récentes. Le rachat de CF6 par Telindus, ou la valorisation par ses investisseurs d'une société de service comme Lexsi, ont atteint des sommets qui laissent perplexe. IB Group a quant à lui fait coup double, avec le rachat de l'intégrateur Boréal et du leader du conseil en sécurité, XP Conseil. Enfin, dans le cadre du démantèlement du groupe Bull en Bull, Intégris et Evidian, Schlumberger reprends Bull CP8 (Bull Smart Cards). Parallèlement, quelques sociétés étrangères se sont implantées en France cette année. Entrust, le dernier grand du secteur des PKI a ainsi créé sa filiale française, tout comme la société Finlandaise SSH, leader du chiffrement logiciel dans les réseaux, et StoneSoft, qui propose de la haute disponibilité pour FW-1. Moins heureusement, la société marchFIRST, qui a racheté la société USweb/CKS, qui elle-même avait racheté la société française Sysicom, ne semble pas au mieux financièrement, et l'action s'est effondrée de manière spectaculaire. Cette société est notamment un intégrateur en sécurité, qui a réalisé de nombreux projets sécurité en France, dans les banques, assurance, industrie, secteur public et opérateurs. MarchFIRST compte 10000 employés et dans le cadre des plans de redressement que beaucoup d'entreprises du secteur connaissent en France, les filiales de petite taille comme celles en France soient les premières touchées.
L'analyse de contenu constitue un autre marché très porteur. Dans les réseaux, l'analyse de contenu est le complément indispensable ou inévitable au firewall et au serveur de messagerie. En France, les principaux bénéficiaires de ce dynamisme sont les éditeurs classiques d'anti-virus : Trendmicro avec Interscan, Baltimore (anciennement Content Technologies) avec la gamme sweeper, NAI avec la suite Mc Afee, et Symantec avec Norton anti-virus. À l'heure actuelle, l'analyse de contenu repose en effet principalement sur les anti-virus, qui comprend outre ceux cités ci-dessus, de nombreux (CA, F-Secure, Sophos, Tegal, etc.).
La partie en fort développement est l'analyse de contenu dans le réseau. D'autres filtrages se développent, sur des critères géographiques ou sur le type de contenu, mais ceux-ci sortent du cadre de la sécurité des réseaux.
Un VPN est un réseau privé virtuel. En sécurité, un VPN sera composé de tunnel chiffrés. Dans les réseaux TCP/IP le protocole normalisé pour batir des VPN ainsi sécurisés est IPsec. Le marché est découpé en trois présentations marketing d'équipements souvent très similaires (le fond de panier sera plutôt un commutateur pour la performance, le filtrage IP est omniprésent, et la possibilité de faire des tunnels IPsec est de base) :
L'un des événements les plus médiatisés dans le domaine de la cryptographie a sans conteste été le choix pour l'AES (Advanced Encryption Standard) de l'algorithme Rinjdael. Il est à noter que si ce dernier est déjà disponible sur la grande majorité des systèmes et même sur une carte à puce, il est cependant pas encore intégré dans les normes, où la manière de l'intégrer n'a pas été décidée. Quelque temps auparavant, une page de la cryptographie se tournait déjà, avec le communiqué de presse de RSA, qui annonçait la mise en domaine public sur l'algorithme à l'origine de son nom, ceci quelques semaines avant l'expiration du brevet correspondant. RSA aura ainsi jusqu'au bout su tirer parti de la notoriété de l'algorithme, qui devait tomber dans le domaine public quelques semaines plus tard. Cela ouvre de nouvelles perspectives pour la sécurité, car RSA notamment avant son rachat par Security Dynamics réclamait des royalties sur l'usage de l'algorithme. PGP avait déjà ouvert la voie en offrant au grand public d'utiliser des moyens de chiffrement forts dans le cadre du courrier électronique grand public. Son créateur Philippe Zimmerman a quitté NAI, l'éditeur de PGP. La start-up californienne Starium annonce quant à elle un boîtier de chiffrement pour le téléphone vocal, utilisant le triple-DES avec une clé de 168 bits, dont l'une des principales particularités sera d'être proposé à un prix inférieur à $100, à comparer avec les $3000 et plus auxquels sont proposés ses concurrents.
On savait déjà que l'algorithme de chiffrement utilisé par le GSM n'était pas inviolable, mais un problème connu de longue date dans les milieux spécialisés a récemment fait l'objet d'une certaine publicité. Dans la mesure où les téléphones portables n'authentifient pas les stations (ni dans le GSM ni dans aucun autre système), une station intermédiaire peut faire croire au GSM qu'il est dans une zone n'autorisant pas le chiffrement, et ainsi capter en toute discrétion les échanges téléphoniques. À noter cependant que cette faille doit être corrigée dans les évolutions du standard GSM.
Une des conséquences du passage au premier plan de la sécurité des systèmes et réseaux est que pas moins de 5 salons ont tenté cette année de s'imposer sur ce thème. Si le salon SESI qui devait accompagner Eurosec a été annulé, ce dernier semble être devenu incontournable, et demeure ainsi la plus importante conférence en sécurité francophone, avec de très nombreux orateurs et des conférences de qualité. Les conférences Netsec pendant le salon du même nom n'ont parfois attirées un public ne dépassant pas 20 personnes. On pouvait aussi visiter la salon de la Sécurité Informatique organisé par l'anglo-saxon Reed qui n'offrait cependant pas de conférences asssociés. Reste à venir Infosec, établi depuis 15 ans, et organisé par MCI, qui a eu un grand succès en 2000. L'insécurité des développements en ligne
Soumises aux impératifs du marketing, confrontées à la pénurie de compétences, les sociétés de développement ont la plupart du temps des difficultés considérables pour intégrer la sécurité dans les projets qui leur sont demandés. Wanadoo a ainsi été victime d'une faille de sécurité dans les logiciels utilisés pour gérer les forums du FAI, forums dont la réalisation et l'hébergement avaient été confiés à une société tierce. Cf http://www.zdnet.fr/actu/inte/a0016211.html. Si dans le cas ci-dessus, les conséquences visibles n'ont rien de dramatique, il n'est malheureusement pas interdit de penser que les développements de projets autrement plus critiques ne font pourtant pas plus de cas de la sécurité.
Ipin est une technologie de paiement. A la lecture du site web de la société Californienne (www.ipin.com), ce logiciel de gestion de comptes bancaires ne semble pas présenter d'innovations particulières, avec le support des formes classiques d'authentification des individus et de paiement en ligne sécurisés. Parallèlement, on peut noter la renaissance de la technologie de GCtech chez BlueLineInternational, alors que la fusion BNP et Paribas a définitivement enterré Kleline au profit de Cybercomm, dont l'avenir demeure incertain. Microsoft victime d'un piratage de son réseau
Le géant de Redmond a lui même été victime d'une intrusion de l'extérieur sur son réseau interne. Le nombre de serveurs internes auxquels les pirates ont eu accès, les documents confidentiels, sources et autres, qui ont étés dérobés à cette occasion, ne sont pas connus. S'il est évident que la sécurité absolue n'existe pas, la mise en première ligne sur Internet de technologies Microsoft n'offre malheureusement pas le plus haut niveau de sécurité. Dans cette optique, HSC préconise depuis longtemps diverses solutions permettant de continuer à utiliser les produits Microsoft : protection des serveurs IIS par des relais Apache sous Unix, confinement des serveurs WNT sur des segments séparés, utilisation de Corba en lieu et place de DCOM.... Pour en savoir plus : http://cnnfn.cnn.com/2000/10/27/technology/microsoft/
En terme de recherche, la détection d'intrusion est toujours présente, mais en terme de marché, celle-ci n'est plus aussi présente.
Malheureusement, si la recherche progresse, le marché s'essouffle. La majorité des systèmes de détection d'intrusion achetés ne sont en effet pas utilisés, faute d'équipes dédiées et spécialisées capables de faire face à de fausses alarmes encore trop nombreuses. Les logiciels de détection d'intrusion ont d'ailleurs le record des logiciels achetés qui ne servent pas. Le secteur qui émerge en marge de la détection d'intrusion est la détection d'incident, notamment par l'analyse des journaux. Derrière le succès de Webtrends dans ce domaine, beaucoup de sociétés se développent comme Netforensics pour les routeurs Cisco, ou NetSecureSoftware et Cyrano en France.
La France n'est pas absente de ce domaine avec les méthodes Mehari, Marion, et Melissa. L'année 2000 a vu la traduction en anglais de la méthode EBIOS du SCSSI. Parallèlement, le Software Engineering Institute de l'Université Carnegie-Mellon, où est également situé le CERT-CC, publie sa méthode d'évaluation des risques informatiques, que l'on pourra consulter à cette url : http://www.cert.org/octave/ ou http://www.sei.cmu.edu/publications/documents/99.reports/99tr017/99tr017chap02.html. Le NIST américain a également publié deux documents intéressants pour recueillir des commentaires publics, portant respectivement sur la détection d'intrusion et les principes de sécurité. S'il doit faire l'objet d'une étude approfondie, ce document présente cependant une synthèse intéressante en termes de recommandations, avec 32 principes de base en sécurité, par exemple isoler les fonctions les unes des autres. Ces documents au format Word sont disponibles sur : http://csrc.nist.gov/publications/drafts.html
Dans le même domaine, le CIS (Center for Internet Security), organisation américaine à but non lucratif a pour ambition d'élaborer une méthode permettant de qua-lifier la sécurité d'une entreprise ou d'une entité. Cette méthode devrait servir à mesurer la sécurité de prestataires ou de partenaires pour s'assurer par exemple que lorsqu'un partenaire est relié à un réseau d'entreprise via un VPN alors il correspond à un certain niveau de sécurité et possède telle ou telle note selon les critères du CIS. Les travaux s'inspirent au départ du travail réalisé par VISA pour vérifier la sécurité des 21 000 organisations qui bénéficient du
logo de VISA.
En ce qui concerne les efforts entrepris dans ce domaine, c'est la norme anglaise BS 7799 qui se trouve au centre de l'actualité des derniers mois. Même si cette norme a été mise en procédure rapide pour passer à l'ISO au niveau international, quasiment tous les pays non-anglo-saxon ont refusé cette norme, qui constitue une approche typiquement anglaise des choses, et souffre de nombreux défauts. Elle rentrerait ainsi en conflit avec nombre d'autres travaux déjà existants et reconnus, et ses propositions ne tiendraient pas compte des modèles de développe-ment. Par ailleurs, suivre ses préconisations équivaudrait à figer la sécurité dans le temps, et dans la mesure où elle n'induit pas de démarche opérationnelle, ne permettrait pas de construire une politique de sécurité. Cette affaire reste à suivre dans la mesure où à l'ISO, les Anglais ont obtenu par dérogation le n° ISO 17799 au cas où cette norme anglaise serait publiée au niveau international.
Dans un jugement rendu le 2 novembre 2000, le tribunal correctionnel de Paris estime que la messagerie Internet est d'une part couverte par la loi sur les télécommunications, et d'autre part qu'un courrier électronique est une correspondance privée, couverte par la loi sur le secret des correspondances. De surcroît, cette règle reste valable en cas d'utilisation à des fins privées d'un ordinateur destiné à un usage professionnel. Pour en savoir plus : Texte du jugement : http://www.canevet.com/jurisp/textes/001102.htm Securité des systèmes d'exploitation
L'institut SANS a publié une étude comparative des méthodes de sécurisation de Solaris : http://www.sans.org/sol11c.pdf. Si le PDF n'est pas de bonne qualité, il reste cependant lisible et constitue un document de base utile.
Concernant le système d'exploitation Windows NT, il a également été l'objet d'une autre étude, réalisée par attrition.org, et qui le place en première position des serveurs piratés tels que recensés par attrition.org. Bien sûr cette première place doit être tempérée au vu des parts de marché non négligeables du dit OS, mais ceci ne doit pas faire oublier les causes premières de ce résultat, à savoir les déficiences prononcées de la sécurité sur ce même système.
L'actualité de la sécurité des systèmes d'exploitation reste dominée d'un coté par le succès de Linux et sa forte croissance cette année, et de l'autre par la complexité des modèles de sécurité de W2K, dont le déploiement n'a pas atteint les objectifs de Microsoft. Windows XP (Whisler) offre une migration plus facile, depuis les systèmes Microsoft existants, et permettra sans doute plus d'exemples de mise en oeuvre sur des réseaux important de la sécurité distribuée avec MS_Kerberos et Active Directory.
La problématique des codes mobiles est revenu à l'honneur avec la volonté affichée par Microsoft d'incorporer un système de signature de code dans son système d'exploitation Whistler, depuis renommé Windows XP.
L'avis microsoft est consultable à : http://www.microsoft.com/technet/security/bulletin/MS01-017.asp HSC rappelle à titre historique, que lors de son étude de Lotus Notes Domino de Novembre 1998, une des surprises avait été la découverte de l'acceptation par Lotus Notes de tout code externe signé par Lotus, en dur dans le code, sans qu'aucun mécanisme de configuration ne puisse l'interdire et quelle que soit la méthode de réception du code par le logiciel. Remise en cause de la signature électronique
L'année 2000 a aussi vu une tentative de remise en cause de la loi sur la signature électronique sur la base des possibilités d'usurpation des numéros de téléphone. La technologie RNIS intègre, sauf erreur de notre part, deux n° d'appelant véhiculés en MSISDN. L'un est le numéro présenté, l'autre est le numéro d'origine de l'appel. Le numéro présenté est aisément modifiable avec un simple testeur RNIS. Il est possible ainsi de lancer des appels et faire afficher le numéro d'appel que l'on veut sur le téléphone du correspondant. Cette possibilité d'usurper, en apparence, le n° de l'appellant, a été cité dans un article disponible à l'url http://www.infojuris.com/immunis/veille/preuveelec.html. Il faut garder à l'esprit que cette usurpation de n° RNIS présenté n'est en rien nouvelle, et qu'il n'y a pas en France de cas connus de ce type de manipulations.
À l'initiative de Microsoft et Cisco, 18 sociétés américaines dans le domaine des technologies on créé un nouveau groupe : Information Technology Information Sharing and Analysis Center (IT ISAC), que l'on pourrait à priori assimiler à une sorte de CERT privé. Initialement limité aux sociétés leaders du monde informatique, les porte-paroles de L'IT ISAC envisagent de lier des liens avec d'autres sociétés, d'autres CERTs et certaines agences gouvernementales. Cette annonce permet de mieux comprendre la décision de Microsoft de ne plus publier ses avis de sécurité par messagerie. Cette décision sur laquelle le géant de Redmond est depuis revenu rendait impossible l'accès aux avis de sécurité hors consultation directe du serveur de Microsoft. À l'occasion de la publication d'un avis Microsoft dans la liste Bugtraq, Microsoft avait d'ailleurs fait savoir que le Copyright ne permettait pas une telle rediffusion. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Last modified on 6 November 2007 at 17:12:00 CET - webmaster@hsc.fr
Information on this server - © 1989-2010 Hervé Schauer Consultants |
|
![[Service]](/gif/icone.services.png){kind=small}
![[Presentation]](/gif/icone.supports.png){kind=small}
]
]
![[Article]](/gif/icone.articles.png){kind=small}