« Un rapport de McAfee révèle que les entreprises préfèrent la performance aux fonctions de sécurité évoluées, quitte même, pour certaine, à devoir désactiver lesdites fonctions pour gagner en bande passante ». Le communiqué de presse de McAfee, devenu Intel Security, était le leitmotiv de la réunion annuelle Focus14 qui se déroulait cette semaine à Las Vegas. Selon ladite étude, 32 % d’un panel d’usagers impliqués dans la SSI avouent avoir désactivé des fonctions liées aux firewall afin d’en améliorer les performances, et 39% affirment refuser d’activer des fonctions de filtrage qu’ils soupçonnent de pouvoir affecter la bande passante de leurs équipements de commutation. Antivirus grand public ou boîtiers professionnels, même combat.
Cette sorte de constat d’échec, Intel compte bien le transformer en un argument commercial. En insistant notamment sur le fait que « chez nous, nos firewalls de nouvelle génération sont considérablement plus rapides que ceux de la concurrence », benchmarks à l’appui. Mais surtout en tentant de faire comprendre que l’avenir du SI de l’entreprise est en train de subir des transformations telles que ce genre d’attitude ne peut plus avoir cours sous peine de périr sous les avalanches de malwares. En premier lieu parce que la vague Byod et les risques posés par la multiplication des périphériques de la catégorie « Internet des objets » impose une surveillance permanente du réseau. Cette multitude de points de vulnérabilité potentiels, totalement confondue avec le système d’information, rend caduque les anciens concepts de défense strictement périmétriques. De ce point de vue, le périmètre n’existe plus, la défense doit donc s’appliquer « en profondeur ».
Disparition du périmètre également avec la « cloudification » du SI et l’apparition d’une nouvelle forme de gestion des réseaux. Software defined infrastruture (SDI architecture réseau logicielle), software defined network SDN (réseaux logiciels), intégration de ces deux nouvelles générations d’équipement à géométrie variable dans des architecture virtualisées, associées à des équipements de sécurité tout aussi virtualisés (virtual patching et solutions associées), là encore, on ne peut plus ni compter sur la présence d’un mur protecteur, ni sur une cartographie précise du SI, dont certaines parties peuvent se trouver à des milliers de kilomètres du service d’exploitation, ou dont le schéma de fonctionnement peut, pour quelque raison d’amélioration des performances, être modifié d’une heure à l’autre (un des atouts du SDI). Jamais il n’a été autant nécessaire de multiplier les points de contrôle de sécurité. Et, par conséquent, jamais il n’a été aussi nécessaire de pouvoir superviser et centraliser lesdits points de contrôles entre SDI et SDN : c’est le rôle de l’Intel Security Controller, la partie émergée la plus visible d’une « software defined security »
Ce qui est intéressant dans cette approche, c’est que l’on peut voir le couple Intel/McAfee rejouer, avec de nouveaux instruments, une pièce déjà entendue par tous les administrateurs, tant réseau que sécurité. Le morceau s’intitule « le marché de la console d’administration 2.0 ». Et il est quasiment certain que, dans les prochains mois, les concurrents vont annoncer la sortie de produits équivalents. Intel, qui n’est pas un acteur de longue date dans ce domaine, et dont la toute nouvelle science n’a été acquise qu’à coups de croissance externe, saura-t-il résister au choc ? Pas impossible, estimaient les participants de ce Focus’14. Car précisément les entreprises absorbées (Stonesoft, McAfee, ValideEdge) ont du répondant. Mais également parce qu’Intel peut offrir à sa nouvelle branche quelque chose que ses concurrents n’auront pas, son savoir-faire dans le royaume du semi-conducteur. Chris Young, le nouveau Timonier de McAfee (un ex VP Cisco) mentionnait par exemple l’éventualité de voir un jour au catalogue des processeurs de chiffrement. « Il est des fonctions qui sont excessivement consommatrices de temps et de puissance cpu, et qu’il ne serait pas inutile de voir intégrées dans du silicium ». Encore de la vitesse, mais avec sécurité. Bien que le sujet n’ait pas directement été abordé, on imagine également la puissance de feu que ce nouveau tandem pourrait déployer sur le secteur des systèmes embarqués et des outils d’authentification de périphériques ou d’applications. Reste à savoir comment l’équilibre entre le « hard canal historique Intel » et le « software defined virtualisé » façon McAfee nouvelle école pourra se maintenir.
Le programme détaillé de BotConf, qui se déroulera du 3 au 5 décembre dans les terres du roi Stanislas, vient d’être rendu public.
Le Nist Américain publie un mémento de 37 pages consacré aux bonnes pratiques de déploiement et de sécurisation des hyperviseurs .
Selon une analyse de Rapid7, certains routeurs et passerelles Soho pourraient accepter « par défaut » des requêtes NAT-PMP depuis leur interface Wan et ainsi intercepter le trafic tcp et udp se déroulant sur le réseau local. Seraient affectés « une douzaine d’équipements de plusieurs marques ».
Le point sur les outils de camouflage d’activités IP par foisonnement, une autre voie vers la recherche de l’anonymat : un article signé Ethan Zuckerman, directeur du Centre pour médias civiques du MIT et traduit sur Internet Actu, le site de la Fing .
Sandworm colmaté, toujours dangereux. Les chercheurs de McAfee affirment avoir découvert un moyen de contournement du correctif bloquant l’exploit SandWorm
L’art de détecter les backdoors, 18 pages d’explications très didactiques publiées par Trend Micro , qui passent en revue les différents signes de présence d’une porte dérobée
No Such Con (19 au 21 novembre prochain) publie son programme . Une trop courte description des intervenants et des interventions est disponible sur le site . L’on y apprend que Renaud Lifchitz nous parlera d’ordinateurs quantiques, que Damien Cauquil de détournement de télécommandes (pas RC5, mais « pure HF »), Richard Johnson de Fuzzing et d’analyse de correctifs, et Andrea Barisani de son « femto-ordinateur » sur clef USB, l’USBArmory . Plus qu’une vingtaine de jours pour s’inscrire…
Nos lecteurs auront le droit à une réduction de 10% sur le ticket d’entrée. La procédure à suivre est la suivante :
(1) Rdv sur la page Registration du site : http://www.nosuchcon.org/#registration
(2) Sélectionnez 1 place dans la catégorie Regular Ticket
(3) Cliquez sur Click here to enter a promotion code
(4) Renseignez le code (code : CNISMAG10-NSC2014), puis cliquez sur « ok »
(5) Puis cliquez sur Next Step
(6) Paiement
Pour avoir publié sur Github une bibliothèque de fonctions facilitant le travail de déverminage et de sécurisation des RFID de type IClass, Martin Holst Swende s’est fait remercier par des menaces émises par les avocats de Inside Secure . L’insécurité de ces RFID a fait l’objet de nombreuses communications académiques dans les années passées.
La Chine accusée de lancer des attaques « man in the middle » à l’encontre des usagers d’iCloud annonce Greatfire. Une nouvelle piste probable à l’origine du « CelebGate » ?