Compte-rendu Cert-IST sur la "JSSI 2006"
Date : 02 Juin 2006
La 5ème "Journée SSI" (JSSI) s'est déroulée le 22 mai dernier à Paris. Il s'agit d'un événement annuel, organisé par l'OSSIR (www.ossir.org), et qui a réuni cette année 140 participants pour une journée de conférences et de tables rondes sur le thème :
« Sécurité et dépendance aux nouvelles technologies »
Le Cert-IST a participé à cet événement, et nous vous proposons un compte-rendu qui passe en revue les domaines technologiques qui ont été abordés au cours de cette journée :
- P2P
- VoIP
- Wifi
- Blackberry
- Skype
Nous présentons chacun de ces domaines, et synthétisons les éléments importants qui ont été mentionnés à leur propos.
Google :
Aujourd'hui, Google propose des outils en ligne, ergonomiques, puissants, et accessibles depuis n'importe où (via un navigateur web). N'importe quel internaute peut ainsi disposer d'un e-mail, de 2,5 Go d'espace disque et d'un agenda électronique (service "Gcal"). Cette offre gratuite répond aux besoins de beaucoup d'utilisateurs mobiles, et si l'entreprise ne propose pas à ses collaborateurs un service "maison" équivalent, certains seront sans doute tentés d'utiliser ces outils dans le cadre professionnel.
Cette possibilité de fuite d'informations de l'entreprise vers un service externe (Google) est une préoccupation réelle que les RSSI doivent prendre en compte.
P2P :
Le "Peer-to-peer" ("P2P") est un modèle d'architecture extrêmement puissant, en particulier parce qu'il est par nature très résistant aux pannes (la perte d'un élément dans le réseau "peer-to-peer" est un événement normal, qui ne met pas en danger le service implémenté sur ce réseau). Les usages du "P2P" se multiplient donc, et ce, de plus en plus dans des contextes professionnels. Le "GRID computing" (technologie qui consiste à utiliser un ensemble d'ordinateurs se trouvant éventuellement aux "quatre coins d'Internet", pour former une "grille de calcul" capable de collaborer pour réaliser un travail donné) est un exemple probant d'un tel usage. Il est certain que le modèle "P2P" continuera son essor, avec une multiplication des applications "P2P". On notera par exemple que Windows XP SP2 inclut d’ores et déjà une DLL (en version "bêta") qui implémente sur Windows une API "P2P" (cf. www.microsoft.com/windowsxp/p2p/).
Le "P2P" présente en fait pour l'entreprise une grave menace car de nombreuses applications "P2P" sont conçues pour contourner les protections mises en place par l'entreprise (franchissement de garde-barrière), en particulier en encapsulant le trafic "P2P" dans du trafic légitime (par exemple, du trafic Web, ou même dans un faux trafic "VPN"). Un filtrage élémentaire permet souvent de limiter l'utilisation du P2P (ou au moins de détecter l'installation de clients "P2P"), mais cette mesure n'est pas efficace à 100%. De plus, les concepteurs de logiciels "P2P" peuvent faire évoluer rapidement leurs protocoles, pour contourner une nouvelle méthode de filtrage. Il a ainsi été mentionné lors de la conférence qu'une protection "universelle" contre "Skype" (présentée à la conférence "BlackHat Europe 2006") avait été rendue rapidement caduque après sa publication, par une évolution du protocole "Skype".
VoIP :
A titre
d'information, un intervenant à précisé que le coût de mise en place d'un
solution VoIP à l'intérieur d'une entreprise avait été évalué à 300 Euros par
poste installé (dont 100 Euros pour le téléphone IP lui-même).
On notera enfin que le protocole de signalisation
"SIP", bien qu'actuellement très populaire, semble d'après les
témoignages assez complexe à mettre en œuvre, parce qu'il existe beaucoup
d'extensions locales (constructeur) d'un protocole simple au départ. Le
protocole "H323", plus traditionnel, reste donc plus largement
adopté.
Wifi :
Les réseaux Wifi semblent eux aussi assez largement autorisés au sein des entreprises, mais cet usage se fait dans des conditions strictes imposant une sécurisation forte de ce type d'accès. Les solutions de sécurisation évoquées sont très variables. Il peut s'agir par exemple d'une authentification forte des utilisateurs (via des cartes "SecurID"), ou de systèmes de surveillance des réseaux Wifi actifs (solution de type "contrôle de l'air").
Blackberry :
Il y a eu plusieurs témoignages intéressants sur la solution "Blackberry", qui présentaient des points de vue différents quant à la dangerosité de cette solution. Ainsi certaines entreprises interdisent "Blackberry" parce que les e-mails échangés avec les terminaux "Blackberry" transitent sur des serveurs "Blackberry", hors de contrôle de l'entreprise. D'autres entreprises au contraire acceptent cette perte de contrôle et jugent (après analyse technique) que la solution est relativement sûre, et que la société qui la commercialise réagit positivement lorsque des faiblesses sont identifiées (prise en compte et collaboration).
Il a été mentionné qu'il était possible de sécuriser les e-mails échangés via "Blackberry" en utilisant des solutions de "sur-chiffrement" : l‘e-mail envoyé vers les serveurs "Blackberry" est chiffré par un produit externe (non "Blackberry"), et est ensuite déchiffré lorsqu'il arrive sur le téléphone "Blackberry" du destinataire. La société "Utimaco" a été citée comme proposant ce type de solution.
Dans le même ordre d'idée, mais pour la technologie "VoIP", Zimmermann (le concepteur du logiciel PGP) développe actuellement une solution de chiffrement ("Zfone") qui permet de chiffrer les communications VoIP (implémenté sur SIP).
Skype :
Le logiciel de téléphonie "Skype" a été plusieurs
fois jugé négativement lors de
- son obscurité (protocole propriétaire et mécanismes de protection anti-analyse),
- et ses multiples mécanismes visant à contourner les protections mises à place par l'entreprise.
Pour plus d'information
- Site officiel de la JSSI-2006 : http://www.ossir.org/jssi/