A l´occasion de la 18ème édition du forum Eurosec, qui s´est tenu du 23 au 25 mai 2007, Nicolas Ruff, EADS, Martyn Davies, VOIPSA, et Nicolas Fischbach, Security.org, se sont penchés sur l´autre facette des nouvelles technologies à travers trois systèmes choisis : Windows Vista, la VoIP et les réseaux de nouvelle génération. A tour de rôle, ils ont mis l´accent sur les enjeux de sécurité de ces nouveaux systèmes « en vogue ».

Nicolas Ruff, EADS: Windows Vista est-il plus sûr ?

IMG/jpg/DSC01813.jpg Microsoft a mis le paquet sur la sécurité à travers Vista, son système phare de l´année 2007 considérablement modifié. La transformation n´est pas forcément visible car ce qui a principalement changé se trouve dans le noyau. Pour Nicolas Ruff, Microsoft a fait de gros efforts en termes de sécurité, notamment contre les malwares et le phishing, la lutte contre le piratage logiciel, ou encore la réécriture du code. La sécurité se retrouve maintenant intégrée dès la conception et les privilèges limités par défaut. En termes de fonctions de sécurité, Microsoft réutilise de nombreuses technologies qui ont déjà fait leurs preuves ailleurs, sur Linux par exemple avec Data Execution Prevention.

Néanmoins, Nicolas Ruff souligne également les limites de ces fonctions de sécurité. En effet, Vista nécessite un processeur récent, la technique de contournement est, de plus, connue. Le système peut, en effet, être désactivé par l´attaquant,… Cependant toutes les technologies ont été contournées. Ce qui fait la force d´un système, c´est d´avoir plusieurs technologies associées qui ne peuvent pas être contournées. Le nombre de failles « triviales » devrait donc être faible. Chaque protection peut indépendamment être contournée, mais la combinaison des protections rend l´exploitation difficile. Cette combinaison ne se rencontre « actuellement » que dans les logiciels Microsoft récents. Selon Nicolas Ruff, Microsoft a, en conséquent, plusieurs années d´avance sur le reste des éditeurs, si l´on ne tient pas compte de la faille ANI.

Pour conclure, on peut dire qu´avec toutes ses protections combinées, Vista devrait connaître moins de failles critiques que ses prédécesseurs. Il ne faut cependant pas en conclure que Vista est inviolable. D´ailleurs des failles critiques ont déjà été trouvées. De plus, de nouveaux risques sont à prévoir : IPv6 natif, P2P natif, gadgets de bureau,… En effet, 80% environ des ajouts Vista sont multimédia et la majorité de ces applications tierces reste attaquable. Il reste donc à rendre plus sûres ces applications, ainsi que les comportements utilisateurs. De plus, il reste énormément de choses sur lesquelles nous n´avons aucun retour d´expérience, souligne-t-il.


Martyn Davies, VOIPSA (Voice Over IP Security Alliance) : les meilleures pratiques pour sécuriser les systèmes VoIP.

IMG/jpg/DSC01815.jpg Depuis deux ans, la VoIP intéresse le grand public, cependant la sécurité est fréquemment présentée comme l´un des problèmes majeurs de la VoIP. Aussi, les fournisseurs de solutions VoIP et les fournisseurs de solutions de sécurité ont créé en février 2005 une alliance pour la sécurité de la voix sur IP, baptisée VOIPSA (Voice over IP Security Alliance), regroupant une centaine de membres issus à la fois des secteurs de la sécurité et de la VoIP. Cette plate-forme a pour objectif l´échange entre les deux groupes. Des experts répondent aux questions posées sur notre forum. Un podcast hebdomadaire d´une heure environ se focalise sur la VoIP. On y retrouve à la fois ce qui se fait en terme de recherche de sécurité, une taxonomie des menaces pour la VoIP, un projet des meilleures pratiques pour pallier les failles et menaces liées à la VoIP, ainsi que des tests de systèmes de sécurité.

La sécurité concernant le téléphone n´est cependant pas nouvelle. Les challenges de la VoIP sont la confidentialité des appels, l´intégrité, ainsi que la disponibilité. Les parades reposent principalement à travers le chiffrement de flux audio, les outils sécurisés WPA. Tous les composants peuvent cependant faire l´objet d´attaques. « De nombreux outils de sécurité sont référencés sur notre site Web (ex: Cain Ebel) », souligne Martyn Davies. « Nous allons, de plus, référencer un document qui regroupe toutes les bonnes pratiques sur notre site. Nous devons fortement nous attaquer à la sécurité VoIP car elle devient de plus en plus professionnelle et les hackers sont près au pire ».

Nicolas Fischbach, Security.org : les réseaux « nouvelle génération », rêve ou cauchemar ?

IMG/jpg/DSC01816.jpg
- La convergence du fixe et du mobile pose de nouveaux problèmes de sécurité. Avoir tout sur le même téléphone n´offre pas, en effet, la meilleure des sécurités.
- En ce qui concerne les technologies de transport, faire de l´ethernet de bout en bout en multi-point pose des problèmes de sécurité. Pourtant l´ethernet est en train de devenir le protocole de choix de transport.
- La problématique de sécurité du WiFi est connue (WPA2), tandis que peu de déploiements WiMAX ont été menés jusqu´à ce jour. De nombreux tests ont été effectués, cependant la technologie ne se comporte pas aussi bien que prévu. On remarque un problème en terme de puissance au niveau du chiffrement.

Aucun cas majeur n´a à ce jour été répertorié en terme d´attaques, aucun incident touchant l´infrastructure critique d´une nation récemment. Les réseaux sont devenus une commodité et il n´existe plus d´attention particulière pour les aspects sécurité.

L´objectif principal d´un projet NGN (Next Generation Networks) est de faire fonctionner la technologie, pour la sécurité on verra après. Les responsables « infrastructures critiques » gouvernementaux semblent plus concernés par les NGN que l´industrie. La notion de sécurité physique est en train de disparaître et la notion d´identité liée à un accès physique est également en train de disparaître, conclut-il.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 145216
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI

Réduire