San Francisco, RSA Conference : Une petite dizaine d’entreprises pratiquement inconnues –mais prometteuses-, réunies dans un espace distinct, c’est l’innovation sandbox de la RSA Conference. Une initiative qui rappelle fortement le « startup village » du Comdex, peu de temps avant la descente aux enfers de cette manifestation. Qui sont ces jeunes pousses de la sécurité ? Très souvent des entreprises cherchant à commercialiser un outil de défense du poste de travail ou du terminal mobile. Mais ce n’est pas là une règle absolue. Il y a là de la graine à « success story » qui ne demande qu’à prospérer sous le soleil du Nasdaq.
SafeMashups, comme son nom l’indique, est une petite entreprise spécialisée dans les « mashups », les agrégations de données à fin de présentation en ligne. Or, la mise en relation de plusieurs applications Web pour la collection d’informations peut parfois poser de sérieux problèmes de sécurité, notamment dans le cadre de la gestion des droits d’accès. C’est pourquoi le laboratoire de SafeMashups a mis au point un protocole de transport sécurisé baptisé MashSSL. A noter que le kit de développement de ce canal de communication chiffré est « royalty free ». La documentation et les exemples fournis sur le site de l’éditeur sont une lecture préalable nécessaire pour comprendre l’usage de cette bibliothèque
BehavioSec, pour sa part, est une entreprise Suédoise, qui a mis au point un programme centralisé d’analyse comportementale des actions humaines. Contrairement à des outils tels que NexThink, qui s’appuient sur un relevé des activités IP, BehavioSec ne prend en compte que les paramètres biométriques : la rapidité de frappe et son rythme général, les « motifs » des mouvements de souris etc. Ces mécanismes de modélisation de l’activité humaine ont, chacun, fait l’objet d’analyses et de communications par de multiples laboratoires privés ou d’universités. Mais jamais encore ces techniques n’avaient été réunies en un seul et même logiciel de supervision et d’administration.
MokaFive, pour sa part, n’est pas à franchement parler une idée nouvelle. Ce projet universitaire (Stanford) combine, dans une « solution de virtualisation », les avantages de l’accès distant et la sécurité d’un poste de travail virtualisé et hébergé dans un « cloud ». Le procédé virtualise des machines Windows, des Macs, des systèmes Linux, et ne nécessite qu’une clef USB ou la mémoire d’un smartphone pour démarrer le système et accéder à la station de travail. Le moteur appelé LivePC engine, est une extension reposant sur le player VMware. Les données et le noyau étant totalement isolés les uns des autres, toute infection ou attaque peut être éliminée par simple extinction de la VM. Une démonstration édifiante de ce que peut faire Mokafive, le « navigateur qui n’a pas peur », peut être téléchargé sur le site de l’éditeur. Il s’agit d’une version virtuellement indestructible de Firefox tournant sur un micro noyau linux et protégé par l’onion router Tor.
Ohanae est un enfant hybride combinant à la fois les avantages d’un « PasswordSafe » -coffre à mots de passe pour SSO personnel-, de générateur automatique de mots de passe complexes, d’espace de stockage local chiffré, d’anti-keylogger, d’antiphishing et de répertoire de sites favoris. Les « secrets » sont stockés dans une clef USB quelconque ou la mémoire d’un appareil mobile et pouvant être dupliqués à tout instant. Son côté « magique » peut sembler un peu trop beau pour être à la fois absolument « inviolable » et « universel ». Mais quelques soient les éventuels défauts de cet outil, ils seront toujours moins dangereux que l’usage répété d’un seul et même mot de passe, indépendamment de sa complexité.
PureWire est l’un des bientôt nombreux acteurs qui se spécialisent dans la fourniture d’accès Web « purifiés ». Ils ne sont qu’une poignée à l’heure actuelle, qui s’occupent du filtrage des accès Internet selon un modèle « Software as a service ». Face aux coûts et aux immobilisations qu’occasionnent les profusions de proxy, de logiciels de protection périmétrique, les filtres antivirus, antispam, antiscripts, antiphishing et proches cousins, il était logique que quelques entreprise cherchent à offrir des services externalisés répondant à ce genre de demande. Certains passent par des réseaux de prestataires répartis dans le monde entier, d’autres n’offrent qu’un accès centralisé à l’échelle d’un pays… affaire à suivre.
Network Intercept est la remise au goût du jour d’un vieux principe : celui du proxy filtrant externalisé. Le proxy en question compresse –donc accélère- un certain nombre de contenus, filtre les contenus dangereux, chiffre la liaison, isole et protège l’usager –itinérant ou non- contre toute attaque directe… et assure un certain nombre de fonctions d’identification dans ses versions « intranet/extranet d’entreprise ». Les offres grand public de ce genre –bien que moins perfectionnées- avaient fleuri à l’époque où les modems étaient encore utilisés. Les entreprises, pour leur part, n’ont jamais vraiment adhéré à ce genre d’offre, considérant que les machines de cet intermédiaire pouvaient constituer un point de vulnérabilité unique. La crise économique aidant, il se pourrait bien que ce genre de crainte s’efface devant les promesses de ROI avancées par ces prestataires de services.
Avec Lancelot le cyber-chevalier blanc, on entre dans le domaine complexe des tableaux de bord d’analyse de risque. Un tel logiciel est trop complexe pour être résumé en quelques lignes. Tout au plus peut-on dire qu’il propose, selon les niveaux de risques constatés et encourus, un certain nombre de remèdes issus de Cobit, d’ISO 27001 etc. C’est, à première vue, l’outil idéal pour contrôler la cohérence des multiples politiques de sécurité de tout un environnement TIC doublé d’un indicateur de conformité, mais très peu de renseignements sont fournis par l’éditeur quand aux moyens de collecte et analyse de pertinence des métriques servant à ladite analyse.
Yubico prétend concurrencer le fameux « token RSA ». C’est donc une clef USB générant un mot de passe à usage unique et ne nécessitant pas de logiciel client annexe. Le principal avantage, insistent ses concepteurs, c’est qu’outre sa totale indépendance par rapport au système d’exploitation installé (la clef n’est jamais qu’un générateur de frappe clavier un peu évolué) le système n’exige aucune alimentation autre que celle fournie par le port USB. Nul changement de pile, aucun renouvellement de composant nécessaire. A noter également que le SDK servant à intégrer l’utilisation de cette clef dans une application particulière repose sur des outils open source.
Mais c’est AlertAccess qui, parmi tous ces concurrents, a remporté cette année le prix de l’innovation. Il s’agit là d’un logiciel édité par AlertEnterprise, destiné à administrer les droits d’accès au système d’information et d’analyser les risques probables que recèlent les applications, les systèmes ou le réseau.