Détail du programme

Virtualisation & Sécurité : où et comment se protéger ?

CNIS Event fait le point sur l’intégration massive de la technologie de virtualisation dans les Systèmes d’Information et les problèmes de sécurité que cela génère, connus et inconnus. Réseaux, serveurs, PC : la virtualisation est partout et à tous les niveaux. On ne peut parler de Cloud sans imaginer virtualiser. Une virtualisation qui permet de démultiplier les infrastructures rapidement, de stockage, de réseau, d’applications, de machines.

La matinée débutera par un Panorama des différents environnements virtuels existants car comment envisager de se protéger quand on ne sait pas exactement où pourrait se glisser les failles du système ? Où sont les failles potentielles et les menaces dans les environnements intégrant la technologie de virtualisation ? Etat de l’Art. Quels sont les moyens actuels pour se protéger efficacement ? Tour d’horizon avec les experts. Les experts seront également là pour expliquer la réalité terrain, donner des conseils et répondre à toutes ces interrogations. Autour d’une table ronde, ils viendront débattre et répondre  aux questions des patrons, DSI, RSSI, personnel IT présents dans la salle

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL (Correspondant Informatique & Liberté), les avocats et juristes de l’entreprise, les consultants également. Tous sont concernés par la virtualisation des environnements informatiques. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Panorama des environnements virtuels et de leurs failles par un expert sécurité reconnu, (ANSSI ou un CERT)
• 9H20 –  Expert terrain, point de vue d’un acteur sécurité,
• 9H40 – Quelles solutions aujourd’hui pour protéger les environnements virtuels ? Détails, Expertise terrain
• 10H00 – Expertise terrain, point de vue de Luis Delabarre, CTO de Trend Micro
• 10H20 – PAUSE Networking
• 10H40 – Minute Juridique : virtualisation, quels impacts juridiques ? Cloud ou autre accès distant … quels sont les droits des entreprises avec Olivier Iteanu, avocat du barreau de Paris
• 11H00 – Expertise terrain, point de vue de Sourcefire
• 11H20 – Démonstration pour expliquer pourquoi il est indispensable de protéger son environnement virtuel : exemple de hack de VM à VM.
• 11H40 – Panel sur les nouveaux dangers dus à la virtualisation et solutions: Eric Caprioli, avocat à la cour pour l’aspect légal à considérer,  réalité terrain sur les bonnes pratiques quand on virtualise, Gerome Billois, Solucom, Nicolas Ruff, Chercheur Sécurité chez EADS, membre de ARCSI et de l’OSSIR , Responsable sécurité qui a mis en œuvre une politique de sécurité pour sécuriser son environnement virtuel , un acteur du secteur qui expliquera sa vision, un second acteur du secteur. Animé par Jérôme Saiz, SecurityVibes
• 12H25 – Clôture de la conférence

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe . A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense … ) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

Mois faste, mois pair, avec son lot habituel de failles critiques et son incontournable « cumulatif Internet Explorer » bimestriel : voici le mardi des rustines du mois d’août annoncé par le blog du MSRC. 22 trous, 13 bulletins dont deux critiques, à savoir le fameux cumulatif MS11-057 et une faille DNS Server sous Windows 2008 et 2008 R2 référencée MS11-058. On peut noter au passage la correction de deux bugs dont un mineur dans RDP et un autre dans TCP/IP, particulièrement lorsqu’il est « enrichi » des fonctions de gestion de la QoS. Paradoxalement, pour un mois « plein », ce bulletin, bien que relativement conséquent, est généralement moins critique que celui publié début juillet. A tel point que les membres du MSRC mettent plus en avant le concours BlueHat lancé en ce début de semaine que la liste des rustines.

Chez Adobe, c’est aussi le mardi des rustines, avec des trous dans Flash, Shockwave et AIR. La mise à jour de flash peut être directement téléchargée sur le site de l’éditeur (version pour Internet Explorer ou pour les autres navigateurs ). Shockwave 11.6.1.629 (touché coulé) est étalement à récupérer s’il a été installé sur les postes de travail, de même que la toute dernière version de AIR 2.7.1, toutes versions de noyaux confondus : Windows, OSX et Android.

« Nous aussi, on nous attaque » clame le gouvernement Chinois. Et pas qu’un peu, puisque nous avons essuyé plus d’un demi-million d’attaques l’an passé, disent en substance les techniciens du Cert CC Chinois. 14,7% de ces attaques sembleraient même provenir des Etats-Unis. Ce communiqué a été relayé notamment par Threat Post, qui fait remarquer que cette déclaration intervient le surlendemain de l’article que le Quotidien du Peuple publiait en réponse à une étude assez accusatrice diffusée la semaine passée par McAfee.

Cette guéguerre des communiqués peut être interprétée à la fois comme une opération diplomatique de dédiabolisation de la Chine sur le terrain de la cyber-guerre, et une volonté de dialogue avec les pays occidentaux. Généralement, lorsque les relations sont tendues, les sites officiels de l’Empire du Milieu font preuve d’un mutisme absolu. En se montrant en position de « victime », le Cert de Pékin botte en touche et renvoie les commentateurs d’Aurora, Titan Rain et Dragon Night à leurs chères études.

Metasploit 4.0, une nouvelle version sous Windows, Linux, Unix générique. Annonce et détails d’installation sur le blog de Rapid7

Elle était pourtant bien orchestrée, cette campagne marketing basée sur les « APT ». Il y avait tout pour réussir le cocktail : Des chiffres en pagaille, des successions d’attaques visant les infrastructures gouvernementales, des « traceback » d’IP pointant directement du doigt l’Empire du Milieu. Y’avait même des journalistes, et pas des moindres, puisque Reuter (via Yahoo News) et beaucoup d’autres ont repris l’essentiel des chiffres du fameux rapport McAfee sur l’opération Shady Rat (RAT pour Remote Access Tools, n’allons surtout pas voir la moindre connotation péjorative).

72 « organisations » visées, des attaques se succédant les unes après les autres : Night Dragon, Aurora, puis les opérations commando de plus en plus ciblées contre quelques grands sous-traitants travaillant pour le compte de la défense US, Lookeed Martin notamment. Et le rapport de mentionner une fois de plus l’existence de ce « péril jaune » qui vient, jusque dans nos brins Ethernet, piller nos fichiers et nos programmes. Il n’existe que deux catégories de grandes entreprises, expliquait en substance le rapport : celles qui avaient été victimes de ce genre d’attaque, et celles qui ne s’en étaient pas encore rendues compte.

Mais le coup de l’attaque qui arrive par la Chine provoque des remous diplomatiques. Un article publié dans le Quotidien du Peuple renvoie le vendeur d’antivirus à ses chères études en expliquant qu’il est un peu simpliste d’accuser arbitrairement les hackers Chinois de tous les maux, très probablement dans le seul but de tirer à soi la couverture médiatique et vendre encore plus d’équipements et logiciels de protection périmétrique.

Il importe peu que McAfee ait tort ou raison, pas plus qu’il est important de savoir si les attaques proviennent effectivement d’éléments « incontrôlés poussés par un élan patriotique » résidants ou non à l’intérieur des frontières de Chine Populaire. Ce qui est intéressant, dans cette histoire, c’est qu’un organe très proche du Parti et du pouvoir ait réagi de manière quasi officielle face à des accusations (ou plus exactement face à l’expression insistante de soupçons) désignant la Chine. C’est là la première fois que la diplomatie Chinoise réagit à une communication émise par une entreprise de droit privé Américaine. Et ce n’est probablement pas la dernière.

Pour en revenir plus techniquement sur les APT à base de Htran, l’arme utilisée par Shady Dragon, on peut se reporter sur deux analyses qui se lisent presque comme un roman d’espionnage : « L’outil HTran utilisé pour cibler des entreprises françaises », feuilleton épique en plusieurs dumps et écrans tcpview signé Sylvain Sarmejeanne, et une sorte de poursuite à échelle mondiale engagée par Joe Stewart, patron de Dell-Secureworks. Htran et Shady Dragon ne sont donc pas des vues de l’esprit, des fantasmes de chasseurs-cueilleurs de bugs et de virus. Mais alors, si ce n’est pas la Chine qui nous les envoie, qui donc cela peut-il bien être ?

Alors que les hordes de vacanciers contestent aux vaches Abondance le droit de brouter ou aux bigorneaux le plaisir de bigorner en paix, les spécialistes et gourous de la sécurité se pressaient dans les salles de conférence de Las Vegas, pour assister à la Mère de toutes les conférences de sécurité : les manifestations jumelles Black Hat/Defcon. Et à lire certains comptes rendus, l’on se dit que côtoyer les vaches Abondance ou les bigorneaux a quelque fois du bon pour la paix de l’esprit. Faire la moitié du tour de la terre pour des choses déjà entendues ou pressenties lors des précédentes conférences Hackito Ergo Sum, SSTIC ou CanSecWest, on ne m’y reprendra plus, résume en substance Cedric Blancher dans un billet à la Edgar Poe : BH, Never more !

D’ailleurs, le « scoop » de cette année, celui qui a remporté la couverture des tabloïds de la sécurité, a plus des airs de règlement de compte gratuit que de POC tiré par les cheveux. Il est signé par un monsieur réputé et sérieux, Tavis Ormandy, qui a souhaité cette année rhabiller de la tête aux pieds l’antivirus de Sophos. Les journaux américains comptent les points et pour une fois, le bouillant Graham Clueley, pourtant réputé pour ses envolées lyriques et ses excès sémantiques, adresse à Ormandy un billet dont le fiel est tout entier contenu dans l’understatement des tournures utilisées. Ces deux textes résument à eux seuls l’âme de ces deux pays qui partagent une langue commune et ne sont pas séparés que par un océan. Rappelons simplement que les propos de Tavis Ormandy ne sont que la transposition sur un thème particulier de l’air que chante chaque année la réunion annuelle Française iAwacs : les antivirus, commerciaux ou non, ne sont pas mieux conçus que des logiciels bureautiques ou des systèmes d’exploitation, loin s’en faut. Des trous, ils en ont, tout autant que les « autres » logiciels. Et certains d’entre eux sont éminemment dangereux car ils se situent dans les couches basses du noyau. Tout au plus peut-on leur reconnaître que la couche d’ingénierie marketing qui les entoure pourrait à elle seule faire l’objet de tests comparatifs édifiants. De tous les messages de Sophos vs celui de Kasperky vs celui de McAfee (ce ne sont là que des exemples), lequel résiste-t-il le mieux aux attaques verbales et aux propos calomnieux de tel ou tel expert ?

Mais est-il nécessaire de parcourir plusieurs milliers de kilomètres pour écouter s’enfoncer de telles portes ouvertes ? Que Nenni ! affirme Security4All, qui nous explique comment tout savoir de la Defcon et de la BH sans quitter ses charentaises. Et de nous offrir une belle brochette de feed Twitter, de fils RSS, de liens Flicker et autres agrégateurs divers qui nous en apprendront bien plus sur ces deux manifestations que ne pourront en savoir ceux qui y participent. Ah, si Fabrice Del Dongo avait connu Facebook, sa vision de Waterloo en eût peut-être été changée.

Sinon, il y a toujours les bonnes vieilles adresses. Celles des blogueurs professionnels, tels que les membres de l’équipe de Kaspersky qui écrivent billets sur billets à peine une conférence est-elle terminée. Ou nos petits copains de Network World, qui reviennent sur les grands marronniers qui sont du bois dont on fait les keynotes : « La leçon des Anonymous : la sécurité des entreprises coince velu »… Tiens, on aurait pourtant crû que la leçon des Anonymous, c’était que la « professionnalisation » de la cyberdélinquance n’avait pas « remplacé » la petite délinquance, mais l’avait simplement occultée momentanément. Jusqu’à ce que l’on se rende compte qu’elle pouvait frapper fort. A force de se défendre contre des malfrats tâcherons de l’attaque ciblée visant des retours sur investissement rapides, on avait presque oublié l’acte revendicatif et gratuit. Mais çà, on n’en a pas parlé, à la Black Hat. Ou du moins pas durant les Keynotes, car cela aurait peut-être provoqué quelques remises en question.

Encore une URL pour Defconiser et BlackHatiser derrière son écran : celle du toujours excellent Security News, dont les comptes rendus neutres et exhaustifs donnent sinon le ton, du moins le contenu. Et une petite dernière pour la route, la vraie, celle qui se prolonge après le « Strip » de Las Vegas, s’enfonce dans le désert et les verticales des Red Rocks ou les berges du lac Tahoe. Celle-ci nous est offerte par Tristan Nitot, de la Fondation Mozilla Europe, qui a tout ignoré de Vegas mais a tout retenu de ses environs, façon Easy Rider.

Un bilan très positif donc : BH et Defcon ne sont plus le centre du monde. Certes, il s’agit là toujours d’une étoile double de grande magnitude, mais qui ne brille pas plus qu’un CCC Camp, qu’un Hackito, qu’un CanSecWest ou qu’un Sstic. Cela ne veut toutefois pas dire « n’y vas pas, j’ai les mêmes à la maison ! ». Car si l’éclat d’une conférence en particulier ternit légèrement, il s’en trouve d’autres, en Amérique du Sud, en Asie, en Allemagne, au Luxembourg qui sont autant de lieux d’échanges et de confrontations nécessaires à la profession. Le déclin d’une étoile ne donne pas toujours un trou noir.

Microsoft organise un grand concours « BlueHat » récompensé par trois primes (respectivement de 200 000$, 50 000 $ et un abonnement MSDN) à qui inventera un nouveau mode de protection et d’usage de l’espace mémoire ( to design a novel runtime mitigation technology designed to prevent the exploitation of memory safety vulnerabilities). Il ne s’agit pas du tout, comme cela a été écrit par certains de nos confrères, d’inventer un « logiciel anti-piratage capable de résister aux attaques informatiques »… si un tel programme pouvait être écrit, bien fol serait celui qui l’offrirait pour une aumône de 200 000 dollars.

Microsoft s’attaque au marché des « petits-embarqués-programmables-à-base-de-microcontrôleur », autrement dit tente de concurrencer les bases Libres que sont l’Arduino, l’USB Bit Whacker (UBW) et autres cartes à prototyper à base de microcontrôleur. Le tout étant prétendument « open », mais reposant sur le framework « .Net » …

Comme à son habitude, l’éditeur confie à des partenaires le soin d’assurer la production des compléments matériels. Dans ce cas précis, c’est GHI qui se charge du travail. Ce constructeur propose un catalogue encore très loin d’arriver à la cheville de ce qui existe dans le monde Arduino. Paris ne s’est pas fait en un jour.

Techniquement parlant, la gamme de Microsoft comporte très schématiquement trois catégories de produits : une petite carte de prototypage autour de laquelle viennent se connecter différents périphériques (afficheurs, caméras, interfaces IHM etc.), dont le prix de départ gravite aux environs de 35 $. Viennent ensuite des « projets » dédiés, baptisés les « gadgeteers », sortes de jeux de mécano mi-électronique, mi-programmation. Le haut de gamme de l’offre dépasse les 300 $ et regroupe toute une collection de périphériques et interfaces de transmission (WiFi, I2C, série etc.), l’ensemble constituant une plateforme de prototypage multi-applications. Le processeur principal est un ARM à 72 MHz, la plateforme de développement « .Net Micro Framework » est à télécharger sur le serveur NetMF.

L’Arduino risque-t-il d’être concurrencé ? C’est peu probable. L’environnement de programmation de MS n’est pas totalement « open », les tarifs des extensions sont plus élevés que ceux des mille et un « Shield » fabriqués en Chine autour de la plateforme italianisante, la bibliothèque de « sketchs » (programmes Arduino) commence à peser un poids considérable qu’il sera difficile d’égaler… bref, le mahousse .Net MF ne risque pas de faire peur au petit miquet de l’univers Atmega. Ce pourrait en revanche constituer une base intéressante pour certains intégrateurs ou passionnés de solutions domotiques, voir inciter quelques OEM à utiliser un socle commun dans le milieu du petit automatisme embarqué.

« L’Amazon App Store est pourri jusqu’à la moelle » écrit, indigné, un développeur d’applications Android ayant choisi ce canal de distribution. Et d’expliquer à ses lecteurs qu’à périodes régulières, Amazon lance des campagnes d’autopromotion baptisées « Free App of the Day », opérations que le méga-libraire mondial fait miroiter à ses partenaires comme une opportunité à ne manquer sous aucun prétexte. Las, durant ces opérations, les soi-disant 20% du prix de l’application ne sont absolument pas reversés aux auteurs. Ce qui pourrait être assimilé en France pour de la vente à pertes, et par les esprits chagrins à du piratage, pardon, de la contrefaçon.

Après avoir vécu une courte période d’euphorie à l’annonce des quelques centaines de milliers de commandes passées, l’auteur de l’application a dû déchanter : 20% de 0$ de chiffre d’affaires, cela fait toujours 0$.

Les récriminations suivantes sont plus ou moins du même esprit : retards dans les paiements, informations sur les ventes très en retard par rapport à ce qu’assure le magasin en ligne de Google, formulation et description des appliquettes parfois totalement fantaisistes (pouvant, dans le cas cité, friser la publicité mensongère)… Le miracle Amazon n’a pas souri à l’équipe de ShiftyJelly.

L’auteur du billet aurait également pu ajouter un point qui pourtant est tout aussi important que cette forme de détournement de fond organisé : là encore, un grand diffuseur joue sur la dépréciation du contenu pour créer un besoin. Une pratique qui légitimise le piratage, pardon, la contrefaçon comme on dit dans les milieux autorisés. Car pour quelle raison irait-on payer un centime pour un programme qui, la veille encore, et de l’avis même de son principal diffuseur, ne valait pas un kopek ?

Alors qu’en France la copie privée sert de prétexte à développer un marché gris de la taxe et de la redevance sur les supports vierges, allant quasiment à obliger les entreprise à devoir « prouver » qu’elles ne piratent pas des chansonnettes ou des séries B, le gouvernement Britannique, rapportent nos confrères de PC Pro, serait sur le point d’adopter une attitude diamétralement opposée. Un scoop initialement diffusé par le Financial Times, lequel rapporte la position de Vince Cable, du Secrétariat des Affaires de Sa Majesté, qui défend l’idée de copie privée et de changement de support.

Il ne s’agit là pour l’heure que du support d’un grand commis de la Couronne, mais un support qui vient en réaction aux dispositions très strictes du Digital Economy Act qui, à l’instar de la position de certains politiques Français, associe le mot « copie » au mot « piratage ».

Que le projet soutenu par Vince Cable devienne un jour une réalité gravée dans les tables de loi, et les dispositifs de type DRM seraient ipso facto considérés comme illégaux, puisqu’entravant le libre transfert d’un support à l’autre. Bien entendu, l’industrie du cinéma tente par tous les moyens de s’opposer à cette proposition. Transférer un film légalement acheté d’un support DVD vers un ordinateur mediacenter ou une tablette est considéré comme « extrêmement dommageable » par le Directeur Général de la British Video Association, rapporte Tim Bradshaw de ft.com. Voilà qui n’est pas sans rappeler la position de certains grands producteurs de semences OGM qui rêvent d’une agriculture dépourvue de tout « droit de reproduction ». Le produit vendu est à usage unique, sur un support unique, pour une durée de vie limitée (celle du support lui-même) et si possible pour une personne unique.