Au début de ce mois, Lumension –héritier de Patchlink et de Securewave- diffusait un utilitaire gratuit d’analyse et d’inventaire des périphériques. A l’heure où s’entame la guerre des antivirus gratuits contre payants, où les scanners de vulnérabilité se téléchargent sans bourse délier (Secunia, F-Secure), l’on pouvait presque passer à côté de ce petit bout de code. Pourtant, c’est l’un des rares outils d’inventaire réseau non payant, capable de balayer l’intégralité d’un domaine Netbios, une plage d’adresses IP ou une liste précise de machines. Rapidement indispensable pour passer au crible un Workgroup ou un petit domaine constitué de machines Windows, l’outil est toutefois limité par rapport à sa version haut de gamme : la liste du champ exploratoire doit être générée au format « ascii délimité », le programme ne reconnaît pas les machines et Appliance Linux/Solaris. Il se contente donc d’examiner à distance le contenu des BDR des machines visées.
Et on en apprend, en lançant cet analyseur. Le moindre composant USB est découvert, le plus petit pilote susceptible d’automatiser la connexion d’un périphérique de stockage également. C’est là l’équivalent matériel d’un logiciel d’analyse de vulnérabilités, la première pierre d’un édifice sécuritaire capable de maîtriser ces fameuses installations spontanées de clefs usb, d’ipods baladeurs, de disques d’archivages ou de cartes Ethernet non référencées qui sont autant de vecteurs potentiels de fuite d’information. Car derrière ce petit outil gratuit se profile la véritable spécialité de Lumension : la gestion des « politiques de sécurité » appliquées aux parcs matériels d’une part, la supervision et la gestion des correctifs multiplateformes/multi-applications d’autre part. A ces deux activités principales s’ajoutent la supervision des droits liés à l’exécution des applications (les « applications controls » disent les anglo-saxons), le tout parachevé avec des outils d’inventaires de parc. En d’autres termes, Lumension est un cauchemar pour un journaliste, car il est impossible de classer cette gamme de produits dans une catégorie particulière. A la fois un vendeur de DLP –le blocage des périphériques mobiles entre dans cette catégorie-, fournisseur d’outil de déploiement au sens large du terme, cet éditeur trempe aussi dans les logiciels de mise en conformité du poste de travail.
La logique dans tout çà ? c’est plus ou moins celle qui orchestre les principaux logiciels de network access control : dès qu’une station signale sa présence sur un réseau, sa configuration logicielle est contrôlée puis assainie. Le protocole débute par les pré-requis sécurité classiques (présence d’antivirus, application des correctifs sur l’ensemble des logiciels installés, vérification de la conformité NAC), puis peu à peu, selon les politiques décidées par le RSSI, il approfondit les investigations : inventaire des extensions matérielles autorisées ou non, chiffrement du contenu desdites unités amovibles, suppression des programmes et applications non autorisés, vérification de la cohérence des « local policies » tel que l’existence et la complexité des mots de passe de chaque compte, voir même l’optimisation des paramètres de gestion des économies d’énergie. Le découpage des tâches est plus ou moins assuré par une succession de modules très spécialisés, vendus indépendamment les uns des autres. L’un ne traite que de l’inventaire et du contrôle des périphériques et du matériel, l’autre ne résout que les questions de déploiement de correctif et d’inventaire de failles, un troisième ne s’occupe que de la gestion des logiciels et du nettoyage des installations sauvages, la vérification de l’application des politiques locales et l’intégration aux règles NAC dépendent de deux autres extensions. Cette approche morcelée ouvre de nouvelles perspectives. Notamment l’examen matériel ou logiciel d’une VM comme s’il s’agissait d’un ordinateur conventionnel. Cet examen s’effectue via les liaisons du réseau virtuel, puisqu’il est pratiquement impossible de « radiographier » les différents composants d’un système virtualisé lorsque celui-ci est en fonctionnement. Ce côté hermétique des VM est d’ailleurs un problème rarement abordé lors des déploiements massifs, poussés par la vague du « cloud à tout prix ». L’on oublie parfois que les machines hébergées peuvent relever de politiques dépendantes d’un serveur, d’un domaine différent de celui administrant l’hôte, voir même être dépourvues de politiques autres que celles configurées « par défaut » lors de l’installation du noyau.
Pour Alan Bentely, VP EMEA de Lumension, cette discrétisation des différentes tâches permet de répartir les investissements selon les urgences auxquelles doit faire face la cellule sécurité d’une entreprise. N’acheter que ce qui est jugé nécessaire est un argument de poids, en ces périodes de restrictions budgétaires. L’on peut citer, par exemple, la grande « peur du podslurping » qui a parfois fait se précipiter des DSI sur des logiciels DLP « universels » et monolithiques, capables de verrouiller le moindre port, alternative techniquement certes plus élégante que la méthode « Araldite dans la prise USB », aussi spectaculaire et radicale qu’inefficace. D’autres spécialistes arguent qu’une bonne sensibilisation doublée d’un avenant au contrat de travail fait parfois plus pour la sécurité du poste qu’une kyrielle de logiciels. D’autres enfin cherchent une voie médiane, et utilisent un logiciel pour avertir l’usager des dangers potentiels et responsabiliser son acte. Comme toujours, il s’agit de trouver le bon compromis, le juste investissement, la réponse adaptée à une analyse de risque sérieusement conduite.