En téléchargement depuis le site de l’éditeur, Sophos Computer Security Scan est un outil qui permet d’établir l’état de vulnérabilité exact de la machine testée … grâce à un inventaire complet de l’ordinateur, contenu applicatif compris. C’est d’ailleurs l’un des avantages de l’outil que Michel Lanaspèze, Directeur Marketing chez Sophos France a choisi de mettre en avant « Tel un outil d’inventaire, il répertorie l’ensemble des applications installées sur le poste et même si l’utilisateur a modifié le nom de l’application ce sera le nom original qui sera remonté. Ainsi toutes les applications web 2.0 « grand public » du type P2P, VoIP, IM seront détectées. Naturellement le rôle premier de ce scan sera de vérifier la présence de tout malware sur le endpoint, rootkit y compris. Autre point positif, c’est depuis un poste central que l’administrateur peut vérifier tous les scans qu’il aura lancé ». Secunia & consorts, attention voilà de la concurrence …
Alors pourquoi cet outil plutôt qu’un autre ? Car l’on se doute que chaque éditeur de solution de protection du poste client possède son propre outil gratuit afin que le client potentiel puisse mesurer l’étendue de ses problèmes comme celle de ses besoins … « Un agent non intrusif qui s’installe et se désinstalle complètement automatiquement » répond Michel Lanaspèze. « Le grand problème de ces produits est que généralement est déjà installé sur le poste toute une panoplie de défense anti-malware de toutes sortes et que rarement les produits concurrents du marché sont compatibles, chaque scan essayant de prendre la main dès le lancement de la machine. Sophos a pallié le problème en analysant les principaux produits du marché et en enlevant de son propre scan toute fonction qui pourrait être incompatible. Le second point qui retient les administrateurs d’utiliser de tels produits gratuits est l’accumulation de code sur ses postes clients qui nécessitent du travail pour les nettoyer après coup afin de laisser la machine le plus « propre » possible. Là encore, nous avons imaginer un agent qui se désinstalle automatiquement et complètement dès la fin de son scan. Et ce même si le poste a « planté » pendant la phase de désinstallation car la procédure sera reprise automatiquement dès le redémarrage de la machine. » Alors rassuré ? Rappelons tout de même que ce genre de produit remet les idées en place à un administrateur quant au niveau de protection de son parc de machines et que l’éditeur fournisseur de scan, loin d’être altruiste pousse sa propre solution de protection payante en avant lors de la phase suivante. Là chez Sophos, la suite en question s’appelle Endpoint Security & Data Protection. Un nom sans fin qui rappelle à certains que Sophos a récemment intégré les solutions du spécialiste sécurité Utimaco au sein de ses propres gammes. Ainsi des fonctions anti-malwares complètes (déclinaison de tous les anti-xx possibles), contrôle des applications web 2.0, et pour chaque application détectée, toutes les versions possibles, parefeu, contrôle des accès (NAC) côté client, DLP (toutes sortes de formats de données typiques pré-chargés disponibles) avec un contrôle fin des périphériques (vérification des numéros de série des clés usb autorisées …) et enfin chiffrement intégral possible du disque.
Un parcours classique pour Eric Leblond, aujourd’hui CTO d’EdenWall Technologies, avec une formation mathématique et une lente bifurcation au fur et à mesure de ses études vers l’informatique. Puis le premier job arrive avec un poste chez un opérateur qui lui demande des compétences à la fois en réseau et en sécurité. Il est également bercé par une culture opensource dès ses débuts en évoluant au sein d’une SS2L (Société de Services dans le Logiciel Libre) où il y rencontre notamment son futur associé, Vincent Deffontaines. Leur idée de génie : avoir pensé à associer leur savoir en système-réseau à celui de la sécurité en imaginant un parefeu, en l’occurrence Netfilter (filtrage réseau sous Linux), doublé d’une couche « identité ». Sachant que le noyau du pare-feu ne « voit » que des paquets IP, ces derniers sont signés par l’utilisateur grâce à une communication de signalisation via un agent et comme le pare-feu est directement connecté à une base de données le renseignant, les décisions peuvent être directement prises à son niveau. C’est le 1er septembre 2003 qu’à lieu la première publication de la brique d’identification sous la forme d’un moteur sans interface qui donna lieu à la création d’INL. INL dont la vocation était alors de fournir une offre commerciale autour du moteur opensource. Puis c’est en 2006 que l’ensemble des briques de l’offre INL est proposé sous la forme de boîtiers hardware prêts à l’usage, aujourd’hui EdenWall propose une gamme complète d’appliances sécurité basée sur la technologie NuFW. Une version opensource du parefeu identifiant continue sa propre existence aux côtés de la version professionnelle qui propose en sus des fonctions de haute disponibilité, celles classiques d’une couche UTM … Depuis mars dernier, l’interface du moteur devient à son tour opensource facilitant l’installation de ce dernier pour ceux qui le télécharge. Une façon de « pousser » à l’adoption du produit partout dans le monde.
En même temps, INL devenu l’an passé EdenWall Technologies, lance Prelude Pro 1.0, un produit du monde SIEM, Security Information Event Management, racheté par la société pour la gestion des évènements sécurité (agrégation et corrélation pour aboutir de l’information pertinente). Avant cette offre ancienne de dix ans était très peu abordable du fait de sa complexité, aujourd’hui, nul besoin de compétences particulières pour lire les graphiques et pouvoir localiser l’origine d’une attaque …
Pour le Gartner, une nouvelle génération de parefeux est en train de naître dotées non seulement de fonctions IDS-IPS mais aussi celles d’un SIEM, ce qui devrait permettre d’avoir un système d’alertes ou d’actions qui réponde à des problématiques bien spécifiques de luttes défensives selon Eric Leblond. Ainsi une nouvelle histoire à la « Kerviel » pourrait peut-être être évitée à l’avenir …
A noter le coup de pouce financier de RAPID (Régime d’Appui aux PME pour l’Innovation Duale) avec derrière la DGA (Direction Générale de l’Armement) et la DGCIS (Direction Générale de la Compétitivité , de l’industrie et des services) pour EdenWall et son partenaire, Dalibo, spécialiste de la base de données opensource PostgreSQL. Une subvention pour modifier le parefeu de façon à supporter non plus une dizaine de milliers d’utilisateurs mais un million et également faire évoluer le protocole utilisé afin de l’alléger avec comme objectif à terme les systèmes embarqués.