Richard Garsthagen est à la fois blogueur et Senior Evangelist VMware EMEA. Pas franchement le genre à dire du mal de la main qui le nourrit. Mais l’un de ses derniers billets risque de lui faire battre des records de hits. De par son titre déjà, alarmiste en diable : « Scary! Is your VMware server being hacked??? ». Car inspiré par les conférences de la dernière BH de Barcelone, notre évangéliste-blogueur s’est demandé combien de consoles de management VMware seraient visibles sur Internet. Car, rappelle-t-il, une bonne station d’administration est généralement située dans son propre réseau isolé, et à plus forte raison coupée du monde extérieur qu’est le réseau public.

Garsthagen se met donc à appliquer les méthodes de Johnny « I hack Stuff » Long et se met à balayer Internet à la recherche de signatures particulières via les API VMware. Adresse IP, numéro de version et de « build », en moins de 24 heures, le scanner à architectures VM avait amassé une conséquente collection de serveurs « exposés » (ESX, ESXi et vCenter), dont certains, précise l’auteur, étaient de « très vieilles versions dont on pouvait se demander si elles avaient bien reçu leur lot nécessaire de correctifs ».Question aussi rhétorique qu’ironique.

Mais le terme « scary » était-il bien approprié ? Une machine « visible » n’est pas nécessairement une machine « exploitable ». Certes, connaître le numéro de version d’un serveur, c’est déjà offrir sur un plateau une indication guidant un cracker ou un pentester vers telle ou telle collection d’exploits. Mais guère plus que ne peut le faire « l’infamous nMap » de Fyodor, longtemps accusé de faire le jeu des black hats. C’est oublier que le scanner n’est pas la faille, que la carte n’est pas le lieu. En ces temps où « l’advanced persistent threat » fait figure d’épouvantail et où les hordes de crackers aux yeux bridés se tapissent derrière chaque remaniement ministériel, au tournant de chaque communiqué de presse publié par un vendeur de firewall, titrer « Scary » suivi d’un triple point d’exclamation n’est qu’une adaptation quasi pavlovienne à l’ambiance actuelle. Cela n’atténue en rien l’intérêt d’un tel test.

Il ne faudrait surtout pas résumer le papier de Garsthagen à cette simple et amusante étude. Car l’auteur signale également avoir commis un très intéressant « how to » qui traite de l’installation d’Ossec, un outil gratuit diffusé par Trend Micro et qui joue le rôle de « chien de garde comportemental » dans l’univers VMware. Ossec utilise une base de connaissance issue d’une compilation bien tempérée de log d’ESX et ESXi, base qui permet à cet automate d’émettre une alerte lorsque des actions anormales et répétitives sont commises dans le cadre d’une architecture VMware.

Nos confrères du Monde rapportent une décision de la Commission Européenne visant à protéger les citoyens des dérives d’usage possible des composants RFID. Un communiqué de presse de l’Anec (European Association for the Co-ordination of Consumer Representation in Standardisation), un autre, plus long, de la Commission reviennent sur les problèmes maintes fois rebattus soulevés par ces « spy chips ». Mais la conclusion est très éloignée du ton conquérant des titres. « les entreprises effectueront une évaluation complète des risques liés à la vie privée et prendront des mesures pour déterminer les risques décelés avant qu’une nouvelle application de puce intelligente ne soit mise sur le marché ». Les entreprises, pas une commission indépendante diligentée par l’UE. Pas un groupe de travail du « working party 29 ». Et ceci sans présumer des « meilleurs efforts » prodigués par l’industrie, sous l’impulsion des instances Européennes, pour que cette technologie ne puisse être exploitée pour faciliter des vols d’information. Ce qui, jusqu’à présent, s’est souvent avéré impossible. Les signataires de l’accord réunissant ce conseil d’entreprises vigilantes promettent de « s’assurer que les problèmes de protection des données soient réglées avant que des produits soient mis sur le marché». Des propos qui n’engagent qu’à très peu de choses, les grands utilisateurs de RFID (réseaux de distribution) n’étant pas les concepteurs de ces composants, et les failles desdits composants ou de l’architecture les contrôlant sortant de leurs domaines de compétence. Reste que la Commission a entamé là un processus visant à éviter les « abus d’usage » tels qu’il en a déjà été constaté aux Etats-Unis (découverts notamment grâce aux enquêtes de Katherine Albrecht, de SpyChip.com ). L’on peut également rappeler l’existence de l’ouvrage de mm Michel Alberganti et Patrice Georget intitulé La RFID, quelles menaces, quelles opportunités .

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe . A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense … ) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

DETAIL DU PROGRAMME

Vulnérabilités aujourd’hui et demain : Panorama des menaces & Solutions

CNIS Event fait le point sur les menaces d’aujourd’hui et de demain. Des experts expliqueront quelles sont les menaces pour le système d’information, détailleront les vulnérabilités comme les attaques potentielles. Ils approfondiront également la question en expliquant sur quoi elles portent mais surtout parleront de la manière dont on pourrait se prémunir. Certains acteurs du secteur viendront appuyer les faits en détaillant leur propre vision. D’autres viendront raconter de quelle manière, ils se défendent par exemple sur le Web 2.0 ou encore par rapport à leur flotte mobile. De nombreux experts seront présents et répondront autour d’une table ronde aux questions des patrons, DSI, RSSI, personnel IT présents dans la salle 

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les CIL, les avocats et juristes de l’entreprise. Tous sont concernés par la question des vulnérabilités des systèmes d’information car elles pourraient permettre des intrusions, des vols de données ou de propriété intellectuelle … Il faut connaître et comprendre à qui et à quoi on a à faire pour pouvoir envisager et organiser sa défense. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Ouverture sur un panorama des Menaces actuelles et futures, David Bizeul, CERT SG
• 9H20 – Stuxnet, Découverte d’un programme malveillant hors norme, présentation de JM Doan, expert du Cert LEXSI
• 9H40 – Les APT, nouvelles menaces ? Quelle dangerosité ? Le rapport avec le cyber-espionnage, Nicolas Ruff,  EADS, animateur de l’OSSIR et membre de l’ARCSI et du Forum ATENA
• 10H00 – Minute Juridique : deux avocats débattent et répondent aux questions de l’assemblée sur les obligations de l’entreprise en termes de protection du SI, Cloud et Sécurité, Maîtres Garance Mathias et Olivier Itéanu
• 10H30 – PAUSE Networking
• 10H50 – Retour expertise terrain : lutter contre les vulnérabilités, réalité au quotidien, par Philippe Langlois, CEO de P1 Security
• 11H10 – Panel sur les vulnérabilités d’aujourd’hui et de demain, menaces et solutions : (1) Eric Caprioli, avocat, (2)Edouard Jeanson, Directeur du centre de compétences sécurité Sogeti pour la réalité terrain, (3) Pascal Lointier, Président du Clusif, (4) Hervé Schauer, HSC Consulting, (5) Philippe Langlois, CEO de P1 Security. Animé par un journaliste Sécurité.
• 11H55 – Clôture de la conférence

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent