HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Veille technologique >
Accéder au : Site HSC des formations
Télécharger le catalogue des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Bulletin juridique HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|  
> Accès au contenu HTML Début du rapport  
> Description Compte-rendu de la conférence RSA 2002 qui s'est déroulée du 18 au 22 Février 2002 à San Jose (Californie), aux USA.  
> Contexte & Dates Rapport réalisé pour notre service de veille en actualité .
La différence entre la date de rédaction et la date d'envoi est généralement due aux corrections et relectures par les différentes personnes ayant participé à la conférence.
22 février 2002 - Rédaction du compte-rendu
28 mars 2003 - Publication sur le site web d'HSC  
> Auteur Hervé Schauer (Herve.Schauer@hsc.fr) 
> Langue et Nature  
> Résumé &
Table des matières
1. Introduction
2. Tutoriels
3. Sessions plénières
4. Cryptographie
5. Audits, Analyses et Tests d'intrusion
6. PalmOS
7. La gestion des utilisateurs et XML
8. Architecture de commerce électronique avec Microsoft
9. Réseaux sans-fil
10. CloudShield : un filtre pour fibre OC-48 (2,5 Gbit/s)
11. Nouveaux produits
12. Sujets divers
13. Le futur de la sécurité
14. Conclusion
15. Acronymes  
> Documents liés
> Droits d'auteur © 2003, Hervé Schauer Consultants, tous droits réservés.

 


1. Introduction

Ce qui caractérise la conférence RSA est la frustration. Comment faire son emploi du temps avec 13 sessions en parallèle ? La moitié du temps est en session plénières, l'autre moitié répartie sur 13 voire 14 sessions en parallèle. Il n'est donc mathématiquement possible d'assister qu'à 15 présentations sur plus de 200. Cette parallèlisation à outrance est d'autant plus triste que les sessions plénières se sont avérées le plus souvent des présentations marketing qui n'avaient pas leur place dans une conférence payante et auraient dus être d'accès gratuit et associées à l'exposition. La liste des participants n'est pas distribuée mais il me semble possible d'évaluer la participation à environ 2000 personnes. J'ai croisé 4 français.

L'organisation est parfaite, en terme de logistique la disponibilité du programme sur son Palm est très agréable, mais cette innovation ne compense pas l'absence d'accès Internet pour son ordinateur personnel : ni réseau sans-fil, ni réseau filaire, du jamais vu depuis 1997 dans une conférence en dehors de France à laquelle HSC a participé. En fonction des interlocuteurs, la raison invoquée est tantôt économique, tantôt l'insécurité qu'aurait apporté un réseau sans-fil... tel qu'il avait été déployé l'an dernier.


2. Tutoriels

La conférence démarre le lundi par des tutoriels qui permettent notamment de se remettre à niveau : Microsoft le matin, et RSA l'après-midi. Ils permettent aussi à RSA d'orienter les novices : SSL est présenté comme l' "Internet Security protocol", le certificat le seul moyen d'authentifier un utilisateur, et l'infrastructure de clés le paradis ultime de la sécurité : ce sont des tutoriels orientés.

Nino Marino (RSA) a réalise une bonne introduction à la cryptographie et Blake Dournaee (RSA) à la signature XML. La meilleure présentation est celle de James W. Gray (RSA) qui a utilisé de nombreux exemple concrets : PalmOS 3.0, Microsoft Windows 95, Microsoft PPTP, Netscape Navigator 1.1 et 3 fois le WEP de la norme IEEE 802.11, pour détailler toutes les erreurs de programmation à ne pas commettre quand on implémente de la cryptographie dans ses applications, et notamment comment construire correctement une empreinte.


3. Sessions plénières

Le chairman de la conférence, Jim Bidzos, a introduit la conférence par une minute de silence pour les victimes du 11 Septembre. Pour les américains il y a l'avant 11 Septembre et l'après 11 Septembre. Il a rappelé que depuis le 11 Septembre, 30 pays ont signé le traité sur la cyberciminalité à sens unique en faveur de la lutte contre la délinquance informatique, au détriment de la vie privée : l'enjeu d'après le 11 Septembre est là. Enfin il rappelle que le besoin de la cryptographie semble enfin être comprit par les politiques, et que les vers/virus ont coûté $13 milliards en 2001.

Après les remises de prix, Richard Clarke, en charge de la cyber-sécurité à la Maison Blanche a délivré un discours politique de qualité, affirmant que l'Amérique prenait la mesure des risques qu'un évènement insignifiant pouvait entraîner, rappelant que les ennemis de l'Amérique s'entrainent aux Etats-Unis et utilisent les technologies américaines contre l'Amérique. Il a cité Vint Cerf pour l'absence de transparents : "power corrupt and powerpoint corrupt absolutely".

Les sessions plénières qui ont suivi, ainsi que celles du mercredi et du jeudi, faisaient intervenir des orateurs invités, qui sont tous aussi les sponsors officiels de la conférence, ainsi que des tables rondes avec des personnalités très diverses dont de nombreux sénateurs américains.

Lors des tables rondes j'ai retenu la modération du directeur informatique de United Airlines qui a bien rappelé la balance entre la nécessité d'être identifié, tout en ayant la possibilité de préserver sa vie privée et l'anonymat lorsqu'on le souhaite.

Dans les conférences, chaque sponsor a mis en avant son intérêt, Scott Schnell de RSA a posé le problème de l'identité, Stratton Sclavos de Verisign l'importance de la confiance et John Schwartz de Symantec l'avenir des virus. Randy DeMont de Compaq a fait une présentation générale de sensibilisation à la sécurité. Yogesh Gupta le directeur technique de Computer Associates à fait la promotion de sa vision globale avec l'approvisionnement de l'utilisateur (user provisionning) et la gestion de politiques (policy managment). Hermann Eul d'Infineon nous a prédit grâce au silicium un futur totalement sous contrôle. Oscar Rodriguez de Nortel nous garanti la sécurité sans dégradation de performance. Enfin Craig Mundie de Microsoft a annoncé la disponibilité sous licence d'une partie de la documentation du champs propriétaire d'autorisation dans MS-Kerberos, permettant ainsi plus facilement mais sous conditions le développement de produits interopérables avec Windows. Sun propose au moins en partie cette interopérabilité depuis Solaris 7 dans SEAM (Sun Enterprise Authentication Mechanism), l'implémentation Kerberos V de Sun, en ayant fait de l'ingéniérie inverse.

Il est étonnant et décevant de devoir payer pour entendre des présentations reflétant le marketing des entreprises, présentations au sein desquelles on reçoit la publicité télé de la société. Ces présentations auraient eu leur place dans une session gratuite associée à l'exposition, mais devaient en aucun cas consommer le temps des participants.

La dernière session plénière a fait oublié les autres, l'acteur anglais John Cleese a donné un one-man-show de grande qualité sur l'importance des erreurs en dénonçant au passage celles de l'organisateur.

Pour en savoir plus :


4. Cryptographie

Je n'ai pas suivi de sessions cryptographiques, les transparents indiquent une orientation mathématique, la cryptographie appliquée étant dans les autres sessions. Cependant dans les sessions plénières une table ronde sur la cryptographie réunissait Bruce Schneier (Counterpane), Whitfield Diffie (Sun), Daniel Geer (@stake), Ronald Rivest (MIT) et Adi Shamir (Weizmann Institute). Bruce Schneier introduit en rappelant qu'en cryptographie comme en sécurité en général, il faut toujours se poser les questions de base avant de mettre en place une mesure de sécurité quel qu'elle soit :

  • Quel problème la mesure que l'on prend essaye de résoudre ?
  • Est-ce que la mesure que l'on prend va bien résoudre le problème ?
  • Quel problèmes de sécurité la mesure que l'on prend va causer ?
  • Quel est le coût de la mesure que l'on prend ? Pas seulement le coût monétaire mais aussi le coût humain, en terme de convivialité, du respect de la vie privée, etc

L'ensemble du panel considère que l'avènement de l'année le plus important en cryptographie n'est pas l'adoption d'AES, c'est le 11 Septembre 2001, et a dénoncé en bloc la surveillance qui s'est développée sous prétexte du 11 Septembre.

Adi Shamir a eu le courage et l'audace de dénoncer avec de nombreux exemples vécus l'inadéquation totale des mesures de sécurité mise en place par les fonctionnaires américains après le 11 Septembre, et a donné des exemples sur la facilité avec laquelle il est possible de posséder une arme dans un avion par exemple en la fabricant sur place. Il a aussi dénoncé face au public américain de la conférence l'absence de collaboration de l'administration américaine avec les pays comme le sien (Israel) qui ont l'expérience du terrorisme. Whitfield Diffie a dénoncé également les fouilles à corps pratiquées sur les passagers en indiquant qu'il lui semblait évident que les deux mesures qui s'imposent est la mise en place de portes renforcées pour les cockpits et apprendre aux passagers à se battre dès qu'un détournement intervient.

Sur le plan plus cryptographique, l'ensemble du panel pense qu'une migration comme celle entamée actuellement du DES vers l'AES ne se reverra pas avant très longtemps, et Adi Shamir a affirmé que l'informatique quantique ne casserait pas AES. Il pense que la cryptanalyse ne joue pas un grand rôle en sécurité car il est généralement plus facile de casser les systèmes par d'autres moyens. Whitfield Diffie a caractérisé le DMCA comme criminalisant la cryptanalyse, et enfin Ronald Rivest a insisté sur la difficulté du respect de la vie privée dans le futur : chaque objet de la vie courante aura un label qui émettra son identifiant unique, comme les livres, les vêtements et les billets de banque, il sera très difficile d'avoir un anonymat car chacun d'entre nous diffusera sans arrêt ces informations, informations qui pourront être très utiles aux attaques terroristes.

En conclusion sur l'avenir en cryptographie, Daniel Geer pense que la stéganographie va se développer.


5. Audits, Analyses et Tests d'intrusion

Le titre original est "Audits, Assessments, and Penetration Tests". A ma connaissance, Ira Winkler (Chief Security Strategist chez Hewlett Packard) a fait sa carrière à la NSA où il dirigeait une équipe dédiée aux travaux sensibles en sécurité. Sa biographie officielle fournie dans le programme est vide.

Il explique que les tests d'intrusions sont pour la majorité des clients une perte d'argent et qu'il s'échine à l'expliquer aux gens qui lui réclament de test d'intrusion. Il dénonce les sociétés faisant des tests avec un scanner ISS sans valeur ajoutée, en revendant cela pour des tests d'intrusion.

Les tests d'intrusion ne dépendent pas d'un produit mais d'une équipe et même dans une grande entreprise l'équipe est généralement toute petite.

Il faut poser la question : pourquoi voulez-vous faire un test d'intrusion ?
La réponse doit préciser le travail. En général, le client a besoin d'une analyse de risque, d'un audit technique ou d'un audit par rapport à un référentiel ou une méthode. Si l'on refuse le test d'intrusion, les testeurs sont frustrés : "mais nous voulons faire ce test d'intrusion" et le client est frustré : "je préfère un test d'intrusion".

Un test d'intrusion essaye de compromettre la sécurité. Une analyse (Assessment) ou un audit pragmatique essaye de trouver le plus de vulnérabilités possibles, un audit méthodologique valide par rapport à un référentiel ou un standard, il peut avoir ainsi une valeur légale, mais il apporte beaucoup moins qu'une analyse pragmatique. Un audit méthodologique peut être technique ou opérationnel.

Si une entreprise n'a pas légalement à se conformer à un standard il n'est généralement pas utile de faire une recette. Cela depend de qui va lire les résultats mais il vaut mieux faire un audit pragmatique (assessments).

Un audit pragmatique une libre tentative de rechercher les vulnérabilités dans une organisation, sans règle universelle à suivre, la majorité des entreprises de conseil on une technique propre pour cela. La méthode typique part de l'information générale pour descendre dans la configuration des serveurs. Un tel audit est ouvert, tous les accès souhaités sont fournis aux auditeurs. Le rapport soulève les problèmes relevés mais surtout propose le plus de solutions possibles.

Le test d'intrusion étant juste un essai il est utile pour tester la réactivité opérationnelle ou, dans la majorité des cas, sensibiliser la hiérarchie. Le succès du test dépend de ceux qui le réalise, ils doivent être expérimentés, et savoir en étant très techniques rester orientés sur les vrais besoins du métier.

Il est plus difficile de protéger que de pénétrer et les meilleurs testeurs sont des administrateurs expérimentés. Les personnes les meilleures pour protéger seront les meilleurs pour intruser. En aucun cas embaucher d'anciens pirates n'a un sens, il faut embaucher un CV par un casier judiciaire : "Vous n'allez pas employer Kevin Mitmick parce qu'il a été arrêté 5 fois". Et Kevin Mitnick présent dans la salle de répondre "Vous pouvez m'employer !". Ira Winkler : "Je n'emploierais pas quelqu'un qui a été 5 ans en prison pendant que Windows NT est sorti et s'est déployé".

Pour en savoir plus :
Les transparents de la présentation d'Ira Winkler sont disponibles sur demande en PowerPoint.


6. PalmOS

PalmOS occupe entre 1/3 et les 3/4 de chaque marché en Europe et en Asie, mais représente 90% du marché aux USA, ce qui explique sa prédominance dans la conférence. Waddah Kudaimi de PalmSource (www.palmsource.com), la société qui édite le système d'exploitation PalmOS, a donné la planification de l'intégration de services de sécurité dans PalmOS 5.0 puis 5.x. PalmOS bénéficiera dans un premier temps des bases de la sécurité avec une mémoire protégée, des objets protégés, et le multiprocessus. Dans Palm OS 5.0 sera intégrée une bibliothèque cryptographique incluant SSLv3 et des moyens d'authentification. Dans un second temps la vérification de code signé et le support des certificats X.509 sera fournie en standard durant les versions suivantes de PalmOS 5.x. En parallèle PalmSource développe une solution d'administration centralisée des Palms d'une entreprise (sans donner de date de disponibilité), qui permettront par exemple de n'autoriser sur un Palm de l'entreprise que les applications autorisées et/ou signées par l'entreprise.

A l'occasion de la conférence, Veratron a réalisé une démonstration d'authentifcation biométrique par la voix dans une application de banque à distance, sur un PalmOS intégré dans un téléphone portable Kyocera.

Pour en savoir plus
Système d'exploitation : http://www.palmos.com/ PDA : http://www.palm.com/
Fonctions de sécurité : http://www.palmos.com/platform/os5/osdatasheet_4.html

Pour réagir sur la sécurité de PalmOS, écrire à : security.feedback@corp.palm.com


7. La gestion des utilisateurs et XML

Si cela prend des termes très varié comme l'approvisionnement des utilisateurs, le sujet de la gestion globale des utilisateurs est revenus dans beaucoup de présentations. Le SSO, les PKI et de nombreux logiciels propriétaires ont tenté de résoudre cette issue.

Jeff Curie d'Access 360 (www.access360.com) a montré les difficultés de réalisation des agents avec les différents types d'environnements : Windows 2000, LDAP, SAP, RACF, etc.

Geoffrey Grabow de PWC (www.pwcglobal.com) a listé les avantages et désavantages de chaque méthode d'authentification, dans une présentation intitulée "analyse critique des PKI par rapport aux autres méthodes d'authentification". Les transparents sont complets mais la présentation n'apportait rien de plus : pas un avis donné, ni un nom de produit cité, ce qui a enlevé de l'intérêt. Si l'on fait abstraction du coût, sa conclusion est que le mieux est un système combinant une PKI et une authentification biométrique.

XML apparaît dans beaucoup de présentations et 7 présentations auxquelles je n'ai pas assisté lui était dédiées, avec XKMS, SAML, etc. Stephen Wu d'InfosecLaw (www.infoseclaw.com) relève qu'il y a des implications légales aux capacités techniques offertes par XML comme la possibilité de signer qu'une partie d'un document, la possibilité d'ajouter des données à un document sans en remettre en cause la signature antérieure, et le nouveau rôle des opérateurs de serveurs d'authentification ou d'autorisation qui doivent assurer des garanties.


8. Architecture de commerce électronique avec Microsoft

Raphael Cox, de Microsoft Consulting Services, en Belgique a montré comment architecturer correctement une plate-forme de commerce électronique avec des logiciels Microsoft. Son architecture technique ne représente que son avis, car elle est incompatible avec l'utilisation d'Exchange, et parfois contradictoire avec certaines recommandations de Microsoft.

Il recommande de séparer chaque fonction dans une zone, d'un coté en cloisonnant des serveurs web de nature différentes, et de l'autre avec des filtres consécutifs constituant des strates successives entre les serveurs web, les serveurs d'application et les bases de données. Le contrôleur de domaine doit être lui aussi dans une DMZ à part, la liste des ports à filtrer est importante mais demeure réaliste. Il suggère donc 3 niveaux :

            Internet
               |
            firewall
               |
 1) ferme de serveurs web, visibles de l'internet, avec 2 interfaces
               |
               |--firewall--DMZ de l'Active Directory extranet -+
               |                                                |
 2) ferme de serveurs applicatifs, avec 2 interfaces
               |                                                |
            firewall
               |                                                |
 3) interne    |----------- ferme de serveurs de production
               |                                                |
               |----------- DMZ de l'Active Directory forêt utilisateurs
               |
               |----------- DMZ de l'Active Directory forêt interne

Il n'est pas possible de cloisonner avec des domaines dans une même forêt, aussi il recommande plusieurs forêts et plusieurs domaines avec des relations de confiance et d'approbation. Pour filtrer les RPC Microsoft, il recommande ISA server qui permet de filtrer sur l'UUID. C'est compliqué à configurer à l'heure actuelle mais une interface de configuration sera disponible plus tard. Il recommande enfin de ne pas utiliser IPsec au travers d'un firewall mais uniquement dans une même DMZ ou entre serveurs connectés en direct, en utilisant le filtrage IP sur chaque serveur.


9. Réseaux sans-fil

Une quinzaines de présentations étaient relatives aux réseaux sans-fil.

Sur les réseaux GSM et les technologies WAP et GPRS, les présentations n'étaient malheureusement pas réalisées par les spécialistes européens des entreprises et avaient un niveau plutôt débutant avec Chris Wysopal d'@stake et Edwards Gibbs de Nokia. Alfred Arsenault (Diversinet) a montré en présentant les normes des PKI pour les téléphones mobiles que ces normes n'existaient pas mais iraient vers ce qui est fait à l'IETF. Enfin Satomi Okazaki, de NTT DoCoMo USA, a montré que la mobilité IP était souhaitable, mais celle-ci introduit des problèmes de sécurité même avec IPv6, notamment l'authentifcation du nomade. Ces problèmes ne sont pas résolus à l'heure actuelle, et ils demandent plus de recherches pour être normalisés. En laboratoire NTT DoCoMo utilise le protocole d'authentification SNARD.

Sur les réseaux locaux 802.11b, Jack Ehrhardt de Philips Semiconductors, a permis de comprendre la situation du fabricant : personne ne s'était intéressé à la norme 802.11 pendant plusieurs années jusqu'à qu'elle ait du succès, et celle-ci n'intègre pas de méthode formelle d'analyse de risque, ni manière de mesurer la sécurité atteinte par un produit respectant cette norme. Il rappele qu'il n'a jamais été prévu dans la norme de contre-mesure, que pour eux la cryptographie impliquait la sécurité et que c'est plus par manque de précisions que la norme s'est avérée inappropriée. Il rappele aussi que la bande de fréquence étant sans licence, les dénis de services y sont légaux, en tout cas n'y sont pas illégaux. Il invite à la lecture du nouveau draft IEEE Standard 802.11i/D1.7 de Janvier 2002, qui intègre :

  • une nouvelle sécurité assurant la compatibilité ascendante avec les anciennes fonctions de sécurité
  • une nouvelle sécurité plus difficilement compatible avec le matériel actuel
  • la distribution des clés, la norme existante et sans rapport avec les réseaux sans-fil candidate pour cela étant IEEE 802.1X.
  • la spécification de la génération des MIC (Message Integrity Code), qui permettront de protéger une partie des paquets et de détecter les attaques
  • une nouvelle méthode de génération du vecteur d'initialisation
  • l'algorithme de chiffrement AES

Ian Goldberg de Zero-Knowledge Systems a expliqué avec brio les six manières d'attaquer le protocole WEP.

Christopher Klaus d'ISS (www.iss.net) après une longue introduction du sujet, et avant la publicité pour un produit, a rappelé les risques : avec arpspoof et dsniff, il est possible d'usurper des connexions SSH et SSL sur un réseau sans-fil. Il a aussi rappelé que sur un PC Windows, une fois que c'était configuré la machine était attaquable en point à point. Il n'a pas proposé de solution.

Pour en savoir plus :


10. CloudShield : un filtre pour fibre OC-48 (2,5 Gbit/s)

CloudShield, absent de l'exposition, a présenté son boîtier dans une conférence intitulée "Defense at OC-48 speed, achieving optical network security with no degradation in performance". Les transparents n'étaient pas disponibles et la conférence n'a attiré que 30 personnes.

Ce boîtier a été présenté pour la première fois au dernier Networld+Interop en 2001 où il a remporté tous les prix.

La conférence du président, fondateur et directeur technique de la société Peder Jungck, était très générale et n'apportait rien d'autre que deux considérations générales : l'Amérique doit créer un réseau pour le gouvernement dans l'Internet, protégé dans le coeur du réseau et pas dans les équipements des utilisateurs; et un fournisseur de service peut remplacer 1000 firewalls dans des CPE (équipement chez le client), ou 20 Nokia IP 740 (le plus haut de gamme de Nokia) par un boîtier CloudShield. Il n'a rien dit du tout sur le contenu de la boite, ni la technologie, ni l'administration.

En discutant en privé après la conférence, il a été possible de mieux comprendre de quoi il s'agissait.

Le boîtier CloudShield se mets sur une fibre optique Sonet OC-48 (2,5 Gbit/s) Il agit comme un pont bas niveau, il est invisible, et ne créé que 6 milisecondes maximum de latence en filtrage statique et interception. En cas de traitement du trafic : filtrage dynamique ou modification, cela montre à plus de 25 millisecondes.

Le boîtier CloudShield va réaliser des fonctions de :

  • filtrage
  • interception
  • modification au vol

Pour réaliser cela, le trafic entre dans une matrice de 36 processeurs de réseau Intel IXP1200 [1]. Ces processeurs sont programmés par CloudShield et associés à une mémoire de 36 Go si j'ai bien compris. Les processeurs de réseau d'Intel remplacent le développement de ses propres ASIC.

Le système est agnostique aux protocoles, il ne comporte pas de pile TCP/IP, il applique une matrice de filtrage purement binaire, bit à bit, sur les paquets. Il permet de filtrer du TCP/IP comme un autre protocole comme SS7.

Le trafic est soit coupé (poubellisé), soit passé, soit sélectionné. S'il est coupé, les mécanismes des protocoles termineront les connexions potentiellement violemment coupées par le mécanismes de temps mort (time-out).

Quand un trafic est sélectionné, il est envoyé dans un processeur classique. Le fond de panier intègre des clusters Linux utilisant un noyau modifié sans pile IP afin de ne pas être sensible au trafic à traiter, et beaucoup de mémoire pour construire les états.

Ce sont des programmes externes qui vont réaliser le filtrage dynamique et le filtrage avec état en interprétant l'information. La programmation du système n'utilise pas un langage de programmation et une API comme dans les systèmes de filtrage existants. La fabrication des sélecteurs et des matrices d'état ne peux se faire qu'au travers d'une interface graphique utilisant des icônes et des flèches afin de modéliser les états successifs de chaque type de flux. Une validation et vérification mathématique est réalisée, avant que le filtre ainsi construit soit appliqué sur les processeurs réseau Intel.

Peder Jungck a aussi indiqué qu'il est aussi possible de faire un boîtier dont les processeurs Intel ne font, par construction matérielle, aucune modification du trafic, uniquement de l'interception sélective.

Une carte de chiffrement permettant de prendre un trafic en clair et le réinjecter chiffré est en cours de réalisation.

Il n'a pas été possible de savoir depuis quand cette technologie existe. Douze opérateurs l'on commandée depuis Networld-Interop, et les deux premiers UUnet et AOL font leurs filtres et devraient la mettre en production dans 9 mois.

Le boîtier coûte 1M$ en version opérateur. Une version pour entreprises sera disponible plus tard pour 300 k$.

D'après leur web la société a été créé en Octobre 2000, mais la biographie de Peder Jungck indiquée sur le web de CloudShield n'a rien à voir avec de qu'il m'a raconté : il m'a dit avoir conçu des attachements canaux optiques haut-débit pour les mainframes et les SAN avant de concevoir ce boîtier.

La présentation était très orientée sur la défense des intérêts américains, la société a un "Vice President of Government Affairs" issu du DoD, le système de configuration décrit par Peder Jungck n'est clairement pas conçu pour un opérateur, mais pour un usage gouvernemental. Pour ma part, il me semble que l'usage premier de cette technologie soit les écoutes Echelon.

[1] Voir le compte-rendu de la conférence Intel Developpers Conference

du 26 Mai 2001 : http://www.hsc.fr/ressources/veille/idfe2001.html.fr

Pour en savoir plus :
CloudShield : http://www.cloudshield.com/ L'exemple CloudShield chez Intel :
http://developer.intel.com/design/network/casestudies/cloudshield.htm


11. Nouveaux produits

Dans la session "nouveaux produits", beaucoup sont des évolutions ou nouvelles versions de produits existants. Je n'ai rien noté d'important et je n'ai suivi qu'une présentation avec la sécurité de PalmOS 5.0. Cependant lors des pause des conférences il est possible de croiser des personnes proposant des nouveaux produits qui ne sont pas encore apparus sur le marché et qui ne sont pas à l'exposition. Declarator propose un boîtier réseau DNS, qui intègre un serveur de DNS conforme à DNSSEC, permettant des enregistrements signés. Le boîtier permet de construire une autorité de certification assez facilement et peut servir pour IPsec.
WaveSecurity propose un scanner de réseaux sans-fil permettant de détecter les réseaux sauvages dans une entreprise et qui sur le papier semble aller plus loin que les autres logiciels commerciaux concurrents.


12. Sujets divers

Les problématiques de l'infogérance de la sécurité sont revenues dans plusieurs conférences. Le Gartner Group a présenté des statistiques et un groupe de travail associatif (BITS) issu du monde financier, a présenté des travaux qui semblent avancés pour aider à formaliser la démarche de l'infogérance en sécurité. J'ai trouvé le document à la base de la présentation sur Internet, références ci-dessous, il m'a semblé une bonne check-list.

Je n'ai vu que 4 présentations sur les 15 que comptait la session "Hacker & Threats", celle-ci apportait beaucoup d'informations dans les attaques dans tous les domaines, il peut y avoir des présentations intéressantes que j'ai raté car plusieurs n'avaient pas les transparents disponibles.

Pour en savoir plus :
Fournisseurs de services en sécurité, comment les utiliser ?

http://www.hsc.fr/ressources/presentations/eurosec02/ Financial Services Roundtable : http://www.fsround.org Financial Services Roundtable groupe BITS : http://www.bitsinfo.org/ Managing Technology Risk for IT - Service Provider Relationships :

http://www.bitsinfo.org/FrameworkVer32.doc


13. Le futur de la sécurité

Dans les sessions plénières une table ronde et une conférence, et plusieurs présentations dans les sessions en parallèle, s'attachaient à prédire le futur à plus ou moins long terme.

Arthur Wong, PDG de SecurityFocus (www.securityfocus.com) a utilisé les statistiques du passé pour montrer qu'il sera matériellement impossible à un professionnel de la sécurité de s'informer compte tenu du nombre de listes à suivre et de messages à lire. Afin de permettre l'application des correctifs de sécurité importants il recommande l'usage des services de veille qui filtrent et ne renvoient que l'information importante.

Dan Collins d'Integralis pense qu'avec la sécurité de bout en bout les firewalls ne serviront plus, pour en conclure que le firewall sera intégré partout même avec la sécurité de bout en bout les traversant.

Mark Graff de Para-Protect et Michio Kaku, physicien à l'Université de New York, ont essayé d'imaginer un futur plus lointain avec en 2020 le prédominance de l'ADN et de l'informatique quantique, un internet devenu invisible, la disparition de la vie privée, des religions sur Internet, des gangs sur internet comme ceux des banlieues, et beaucoup d'autres idées.

Je pense qu'une bonne partie de ces présentations étaient peu réalistes et ne font pas avancer les solutions de sécurité.

Pour en savoir plus :
La fin du firewall (ou le firewall intégré partout), Infosec, Juin 1999 :

http://www.hsc.fr/ressources/presentations/infosec99/index.html.fr Les transparents de la présentation de Mark Graff sont complets (tout ce qu'il a dit est dessus) et disponibles sur demande en PowerPoint.


14. Conclusion

Il est bon d'aller à des conférences commerciales. RSA Security à l'avantage d'associer une exposition à la conférence. Celle-ci se caractérise par une prédominance des fournisseurs qui cherchent tous à être présents dans les conférences, mais en préparant avec soin son agenda il est possible de suivre de nombreuses présentations intéressantes. Les attentats du 11 Septembre 2001 ont nettement influencé l'ensemble des présentations, et si l'enjeu de la fin de la vie privée était déjà très présent à Usenix en Aout 2001, il est désormais n°1 au coeur des préoccupations.


15. Acronymes

 AES :  Advanced Encryption Standard
        Standard gouvernemental américain :
        http://csrc.nist.gov/encryption/aes/
 DES :  Data Encryption Standard
 NSA :  National Security Agency
        http://www.iaevents.com/
 OASIS: Organization for the Advancement of Structured Information Standards
        http://www.oasis-open.org/
 SAML : Security Assertion Markup Language
        Spécification OASIS : http://www.oasis-open.org/committees/security/
        Informations : http://xml.coverpages.org/saml.html
 XKMS : XML Key Management Specification
        Draft W3C : http://www.w3.org/TR/xkms/
        Informations sur le sujet : http://www.oasis-open.org/cover/xkms.html
 XML :  Extensible Markup Language
        Introduction, normes W3C, et drafts : http://www.w3.org/XML/
        Informations sur le sujet : http://www.oasis-open.org/cover/xml.html
 W3C :  World Wide Web Consortium
        http://www.w3.org/
 WAP :  Wireless Application Protocol
        Standard du WAP Forum : http://www.wapforum.org/
 WEP :  Wired Equivalent Privacy
        Norme IEEE : http://standards.ieee.org/getieee802/802.11.html
Dernière modification le 7 novembre 2007 à 17:23:33 CET - webmaster@hsc.fr
Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants