San Francisco, RSA Conference : Le petit monde de la défense périmétrique est entrain de vivre ses derniers instants. Demain, aujourd’hui déjà dans certains cas, la sécurité elle aussi va se virtualiser, se vendre sous forme de services et quitter sa dépouille logicielle ou matérielle. Si la chose ne surprend personne dans le domaine des grandes entreprises, elle reste encore difficilement concevable dans la sphère PME/Soho. Et pourtant, la virtualisation des protections du poste de travail isolé est une certitude pour tous les éditeurs et équipementiers présents.
Les premières avancées sont timides, et se focalisent essentiellement autour de la protection des transactions financières (e-commerce, consultation bancaire…), la gestion d’identité ou l’échange de documents (où commence le dlp, où s’achève le périmétrique virtuel ?).
Les premiers à parier sur la virtualisation orientée « endpoint » sont les jeunes pousses traditionnellement réunies dans l’espace « innovation sandbox » de la RSA Conference.
Sandbox 1 : Entersec, transaction bancaire sans « token »
Nom : Entersec.
Nationalité : US (Alpharetta, GA)
Site : Entersecmobile.com (http://www.entersectmobile.com/)
Métier : Entersec a développé une « solution de PKI » utilisant un téléphone (terminal mobile GSM) en guise de générateur de code d’identification. L’échange entre le site consulté et le terminal utilise une liaison IP chiffrée et non un SMS qui pourrait être intercepté ou détourné dans le cadre d’une attaque MIM. Le logiciel embarqué utilise, affirment les ingénieurs d’Entersec, 4 couches différentes de chiffrement et un générateur de clef aléatoire. Les mécanismes de chiffrement sont constamment échangés. La clef à usage unique ainsi obtenue est utilisée en « second facteur » d’authentification.
Sandbox 2 : Pawaa, le format Zip du chiffrement
Nom : Pawaa software
Nationalité : Inde (Bangalore)
Site : www.pawaa.com
Métier : Pawaa est avant tout un format de fichier pivot dans lequel est chiffré tout document destiné à être transmis ou exposé sur le réseau public via un service Cloud par exemple. Outre le chiffrement, le format intègre un certain nombre de règles de politique de sécurité (interdiction de copie, de couper-coller, de modification etc.), qui seront interprétées à leur tour par le « client » Pawaa installé sur le poste du destinataire ou du poste consultant. Le procédé peut séduire tous ceux qui souhaitent utiliser une messagerie publique type Hotmail ou Gmail sans compromettre leurs politiques de sécurité. Pour l’heure, les clients de chiffrement/déchiffrement sont prévus pour les plateformes Windows. Une version Android est à l’étude. Le principal reproche que l’on pourrait adresser à ce programme est son orientation très « poste de travail » et ses carences en termes d’administration centralisée. C’est en revanche une approche « légère » et orientée poste de travail qui pourra convenir à des architecture comptant essentiellement des postes mobiles connectés épisodiquement à un serveur d’entreprise.
Sandbox 3 : Quaresso : chiffrement de session web
Nom : Quaresso
Nationalité : US (Austin TX)
Site : www.quaresso.com
Métier : Protect On Q est un ensemble logiciel (serveur, agent de session sur le poste client, console d’administration) chargé de protéger une session Web contre toute tentative de détournement d’information. Les attaques de type MIM sont évitées grâce à un chiffrement de la session en cours, elle-même déchiffrée par un agent éphémère ne fonctionnant que dans le cadre de la session concernée (lequel agent est téléchargé du serveur à chaque début de session). L’agent se charge également des menaces locales, puisqu’il intègre un détecteur de keylogger et de capture d’écran. La fin de la session s’achève avec le suicide de l’agent. Les zones d’échange, cookies etc. sont également chiffrés. La partie serveur s’installe sous Tomca 6, l’agent nécessite ActiveX ou JRE 1.4.2 et une version d’I.E. 6 à 8. A noter que cette architecture de protection par session peut fonctionner avec le front-end web d’un serveur Citrix Netscaler. L’atout principal de Protect On Q est probablement sa console d’administration et, par le biais d’ycelle, la possibilité de définir des groupes possédant chacun des contraintes de sécurité qui leur est propre.
Sandbox 4 : Invicea, le navigateur solitaire
Nom : Invincea
Nationalité : US Fairfax, (VA)
Site : www.invincea.com
Métier : Encore une protection utilisant un navigateur web en guise de couche d’isolation. L’on en comptait déjà 3 différentes lors de l’Innovation Sandbox de la RSA Conference de 2009. Mais là s’arrête la comparaison. Invincea utilise effectivement un Internet Explorer conventionnel, mais qui est installé à l’intérieur d’une VM et non pas seulement d’une version « sandboxée » par une segmentation mémoire particulière. Du coup, même en admettant que les mécanismes internes de protection par analyse comportementale arrivent à défaillir, l’attaque est circonscrite à la VM. Laquelle peut aisément être détruite, puis remplacée par une version « fraîche » et intacte. Le comportement d’un code agressif est systématiquement enregistré par un syslog situé soit sur le serveur d’administration, soit, en cas de coupure réseau ou d’utilisation en mode déconnecté, dans un fichier situé dans un espace protégé. La VM est également utilisée pour exécuter les lecteurs de fichiers PDF, fort appréciés ces temps-ci par les amateurs d’exploits. Seule ombre au tableau, le lancement du navigateur (I.E. pour l’instant, une version adaptée à Firefox est en préparation) prend un temps non négligeable lors de la première session.