Un parcours classique pour Eric Leblond, aujourd’hui CTO d’EdenWall Technologies, avec une formation mathématique et une lente bifurcation au fur et à mesure de ses études vers l’informatique. Puis le premier job arrive avec un poste chez un opérateur qui lui demande des compétences à la fois en réseau et en sécurité. Il est également bercé par une culture opensource dès ses débuts en évoluant au sein d’une SS2L (Société de Services dans le Logiciel Libre) où il y rencontre notamment son futur associé, Vincent Deffontaines. Leur idée de génie : avoir pensé à associer leur savoir en système-réseau à celui de la sécurité en imaginant un parefeu, en l’occurrence Netfilter (filtrage réseau sous Linux), doublé d’une couche « identité ». Sachant que le noyau du pare-feu ne « voit » que des paquets IP, ces derniers sont signés par l’utilisateur grâce à une communication de signalisation via un agent et comme le pare-feu est directement connecté à une base de données le renseignant, les décisions peuvent être directement prises à son niveau. C’est le 1er septembre 2003 qu’à lieu la première publication de la brique d’identification sous la forme d’un moteur sans interface qui donna lieu à la création d’INL. INL dont la vocation était alors de fournir une offre commerciale autour du moteur opensource. Puis c’est en 2006 que l’ensemble des briques de l’offre INL est proposé sous la forme de boîtiers hardware prêts à l’usage, aujourd’hui EdenWall propose une gamme complète d’appliances sécurité basée sur la technologie NuFW. Une version opensource du parefeu identifiant continue sa propre existence aux côtés de la version professionnelle qui propose en sus des fonctions de haute disponibilité, celles classiques d’une couche UTM … Depuis mars dernier, l’interface du moteur devient à son tour opensource facilitant l’installation de ce dernier pour ceux qui le télécharge. Une façon de « pousser » à l’adoption du produit partout dans le monde.
En même temps, INL devenu l’an passé EdenWall Technologies, lance Prelude Pro 1.0, un produit du monde SIEM, Security Information Event Management, racheté par la société pour la gestion des évènements sécurité (agrégation et corrélation pour aboutir de l’information pertinente). Avant cette offre ancienne de dix ans était très peu abordable du fait de sa complexité, aujourd’hui, nul besoin de compétences particulières pour lire les graphiques et pouvoir localiser l’origine d’une attaque …
Pour le Gartner, une nouvelle génération de parefeux est en train de naître dotées non seulement de fonctions IDS-IPS mais aussi celles d’un SIEM, ce qui devrait permettre d’avoir un système d’alertes ou d’actions qui réponde à des problématiques bien spécifiques de luttes défensives selon Eric Leblond. Ainsi une nouvelle histoire à la « Kerviel » pourrait peut-être être évitée à l’avenir …
A noter le coup de pouce financier de RAPID (Régime d’Appui aux PME pour l’Innovation Duale) avec derrière la DGA (Direction Générale de l’Armement) et la DGCIS (Direction Générale de la Compétitivité , de l’industrie et des services) pour EdenWall et son partenaire, Dalibo, spécialiste de la base de données opensource PostgreSQL. Une subvention pour modifier le parefeu de façon à supporter non plus une dizaine de milliers d’utilisateurs mais un million et également faire évoluer le protocole utilisé afin de l’alléger avec comme objectif à terme les systèmes embarqués.
Solange@Damien : Le niveau technique de l’article ne permet pas de faire des comparatifs avec d’autres solutions de type firewall. Mais non, la technologie d’EdenWall intégrant une couche Identification n’est pas comparable à une fonctionnalité de plus au niveau du parefeu comme pas mal d’autres solutions commerciales du marché le proposent ou commencent à le proposer aujourd’hui. La seule solution du marché équivalente aujourd’hui est celle de la start-up israëlo-américaine Palo Alto. Ces deux sociétés ont eu la même idée mais l’on intégrée de façon complètement différente, Palo Alto au niveau Hardware et EdenWall, au niveau software. Il existe des docs techniques sur les deux offres si le sujet vous intéresse … Et du fait du fonctionnement intrinsèque du parefeu, Kerviel n’aurait pas pu usurper l’identité d’un collègue pour lancer une session sur une machine et se connecter à son application avec ses propres droits, cela aurait provoqué une alerte au niveau du parefeu.
C’est une fonctionnalité déjà présente dans des protocoles comme IPSec (très peu déployé dans cet objectif, j’admet), ou dans des solutions commerciales comme checkpoint (qui permet de faire de l’authentification au niveau du firewall).
Ce genre de solution reste tout de même très scabreuse : certes l’utilisateur est correctement authentifié sur le firewall, mais il est ensuite difficile pour l’application de connaître son identité et donc d’appliquer correctement bonne sa gestion des droits. Cela ce passe, en générale :
– soit par une seconde authentification login/mdp peu sécurisé sur l’application
– soit en développant un mécanisme spécifique permettant à l’application de (je ne sais pas si EdenWall le permet)
Dans le premier cas (que j’ai malheureusement vu plusieurs fois), il sera alors difficile de corréler des logs d’actions faites sur l’application finale (ayant une faible qualité d’imputation) et les logs d’authentification du firewall pour construire une trace utilisable pour imputer légalement une action à un individu.
Sinon, pour l’histoire Kerviel, ça n’aurait strictement rien changé : il n’a contourné aucun écanisme technique de sécurité, mais des mécanismes organisationnels (et principalement des contrôles métiers non spécifiquement liés à la sécurité des SI)