San Francisco, RSA Conference : Le petit monde de la défense périmétrique est entrain de vivre ses derniers instants. Demain, aujourd’hui déjà dans certains cas, la sécurité elle aussi va se virtualiser, se vendre sous forme de services et quitter sa dépouille logicielle ou matérielle. Si la chose ne surprend personne dans le domaine des grandes entreprises, elle reste encore difficilement concevable dans la sphère PME/Soho. Et pourtant, la virtualisation des protections du poste de travail isolé est une certitude pour tous les éditeurs et équipementiers présents.
Les premières avancées sont timides, et se focalisent essentiellement autour de la protection des transactions financières (e-commerce, consultation bancaire…), la gestion d’identité ou l’échange de documents (où commence le dlp, où s’achève le périmétrique virtuel ?).
Les premiers à parier sur la virtualisation orientée « endpoint » sont les jeunes pousses traditionnellement réunies dans l’espace « innovation sandbox » de la RSA Conference.
Sandbox 1 : Entersec, transaction bancaire sans « token »
Nom : Entersec.
Nationalité : US (Alpharetta, GA)
Site : Entersecmobile.com (http://www.entersectmobile.com/)
Métier : Entersec a développé une « solution de PKI » utilisant un téléphone (terminal mobile GSM) en guise de générateur de code d’identification. L’échange entre le site consulté et le terminal utilise une liaison IP chiffrée et non un SMS qui pourrait être intercepté ou détourné dans le cadre d’une attaque MIM. Le logiciel embarqué utilise, affirment les ingénieurs d’Entersec, 4 couches différentes de chiffrement et un générateur de clef aléatoire. Les mécanismes de chiffrement sont constamment échangés. La clef à usage unique ainsi obtenue est utilisée en « second facteur » d’authentification.
Sandbox 2 : Pawaa, le format Zip du chiffrement
Nom : Pawaa software
Nationalité : Inde (Bangalore)
Site : www.pawaa.com
Métier : Pawaa est avant tout un format de fichier pivot dans lequel est chiffré tout document destiné à être transmis ou exposé sur le réseau public via un service Cloud par exemple. Outre le chiffrement, le format intègre un certain nombre de règles de politique de sécurité (interdiction de copie, de couper-coller, de modification etc.), qui seront interprétées à leur tour par le « client » Pawaa installé sur le poste du destinataire ou du poste consultant. Le procédé peut séduire tous ceux qui souhaitent utiliser une messagerie publique type Hotmail ou Gmail sans compromettre leurs politiques de sécurité. Pour l’heure, les clients de chiffrement/déchiffrement sont prévus pour les plateformes Windows. Une version Android est à l’étude. Le principal reproche que l’on pourrait adresser à ce programme est son orientation très « poste de travail » et ses carences en termes d’administration centralisée. C’est en revanche une approche « légère » et orientée poste de travail qui pourra convenir à des architecture comptant essentiellement des postes mobiles connectés épisodiquement à un serveur d’entreprise.
Sandbox 3 : Quaresso : chiffrement de session web
Nom : Quaresso
Nationalité : US (Austin TX)
Site : www.quaresso.com
Métier : Protect On Q est un ensemble logiciel (serveur, agent de session sur le poste client, console d’administration) chargé de protéger une session Web contre toute tentative de détournement d’information. Les attaques de type MIM sont évitées grâce à un chiffrement de la session en cours, elle-même déchiffrée par un agent éphémère ne fonctionnant que dans le cadre de la session concernée (lequel agent est téléchargé du serveur à chaque début de session). L’agent se charge également des menaces locales, puisqu’il intègre un détecteur de keylogger et de capture d’écran. La fin de la session s’achève avec le suicide de l’agent. Les zones d’échange, cookies etc. sont également chiffrés. La partie serveur s’installe sous Tomca 6, l’agent nécessite ActiveX ou JRE 1.4.2 et une version d’I.E. 6 à 8. A noter que cette architecture de protection par session peut fonctionner avec le front-end web d’un serveur Citrix Netscaler. L’atout principal de Protect On Q est probablement sa console d’administration et, par le biais d’ycelle, la possibilité de définir des groupes possédant chacun des contraintes de sécurité qui leur est propre.
Sandbox 4 : Invicea, le navigateur solitaire
Nom : Invincea
Nationalité : US Fairfax, (VA)
Site : www.invincea.com
Métier : Encore une protection utilisant un navigateur web en guise de couche d’isolation. L’on en comptait déjà 3 différentes lors de l’Innovation Sandbox de la RSA Conference de 2009. Mais là s’arrête la comparaison. Invincea utilise effectivement un Internet Explorer conventionnel, mais qui est installé à l’intérieur d’une VM et non pas seulement d’une version « sandboxée » par une segmentation mémoire particulière. Du coup, même en admettant que les mécanismes internes de protection par analyse comportementale arrivent à défaillir, l’attaque est circonscrite à la VM. Laquelle peut aisément être détruite, puis remplacée par une version « fraîche » et intacte. Le comportement d’un code agressif est systématiquement enregistré par un syslog situé soit sur le serveur d’administration, soit, en cas de coupure réseau ou d’utilisation en mode déconnecté, dans un fichier situé dans un espace protégé. La VM est également utilisée pour exécuter les lecteurs de fichiers PDF, fort appréciés ces temps-ci par les amateurs d’exploits. Seule ombre au tableau, le lancement du navigateur (I.E. pour l’instant, une version adaptée à Firefox est en préparation) prend un temps non négligeable lors de la première session.
San Francisco, RSA Conference : l’étude semestrielle de M86 est franchement teintée de pessimisme. Un pessimisme reposant sur des constats techniques. A commencer par la récupération du code du Troyen Zeus par le père du Troyen SpyEye. Séparément y sont déjà pas drôles, j’suis pas pressé de connaître leur numéro de siamois pourrait-on paraphraser. Le spam s’écoule à une vitesse vertigineuse ? C’est pour mieux cibler ses victimes et déployer des trésors d’inventivité dans le domaine du phishing. Notons que cette remarque est parfaitement vérifiée en France, pays très largement épargné par le hameçonnage durant ces dernières années (comparativement aux pays anglo-saxons et hispanophones), et qui, depuis bientôt un an, voit ces tentatives d’escroquerie se raffiner de plus en plus : les fautes d’orthographe, les erreurs de syntaxe, les jeux de caractères ésotériques ont pratiquement disparu des campagnes sévissant sur notre territoire.
Les «kits d’exploits » deviennent de plus en plus « pro », de plus en plus robustes, continuent les chercheurs de M86. Les techniques de compromission également. Si, début 2010, les cocktails d’attaque les plus efficaces utilisaient une combinaison Flash/javascript, la composition a évolué en un mélange Flash/Adobe Reader lors des 6 derniers mois de l’année. Une partie de l’étude s’attache également à une nouvelle forme de compromission des identités employées sur les réseaux sociaux, vols généralement commis à l’aide de grossières (mais efficaces) ficelles tressées avec de véritables fibres d’ingénierie sociale. Dans l’ensemble, l’analyse de M86 est très factuelle, et ne nous promet pas une éternelle et encore très virtuelle vague d’infection des appareils mobiles ou une cyberguerre aussi dévastatrice que les bombardements d’Hiroshima et de Nagasaki réunis.
Le tout dernier « livrable » du Clusif est consacré aux changements apportés par PCI 2.0. A noter quelques assouplissements concernant la conservation de certaines identités, certaines incertitudes en matière de virtualisation …
Syscan Singapour émet son appel à communications, lequel sera clôt le 28 février prochain. Les orateurs sélectionnés sont défrayés à hauteur de 1000 dollars Singapouriens pour le voyage et 1000 $ supplémentaires pour communication innovante.