Vous êtes sur le site public du Cert-IST
Compte-rendu Cert-IST sur la "JSSI 2006"

Date :02 Juin 2006

Publication: Article

La 5ème "Journée SSI" (JSSI) s'est déroulée le 22 mai dernier à Paris. Il s'agit d'un événement annuel, organisé par l'OSSIR (www.ossir.org), et qui a réuni cette année 140 participants pour une journée de conférences et de tables rondes sur le thème :

« Sécurité et dépendance aux nouvelles technologies »

Le Cert-IST a participé à cet événement, et nous vous proposons un compte-rendu qui passe en revue les domaines technologiques qui ont été abordés au cours de cette journée :

  • Google
  • P2P
  • VoIP
  • Wifi
  • Blackberry
  • Skype

Nous présentons chacun de ces domaines, et synthétisons les éléments importants qui ont été mentionnés à leur propos.

 
Google :

Aujourd'hui, Google propose des outils en ligne, ergonomiques, puissants, et accessibles depuis n'importe où (via un navigateur web). N'importe quel internaute peut ainsi disposer d'un e-mail, de 2,5 Go d'espace disque et d'un agenda électronique (service "Gcal"). Cette offre gratuite répond aux besoins de beaucoup d'utilisateurs mobiles, et si l'entreprise ne propose pas à ses collaborateurs un service "maison" équivalent, certains seront sans doute tentés d'utiliser ces outils dans le cadre professionnel.

Cette possibilité de fuite d'informations de l'entreprise vers un service externe (Google) est une préoccupation réelle que les RSSI doivent prendre en compte.

 
P2P :

Le "Peer-to-peer" ("P2P") est un modèle d'architecture extrêmement puissant, en particulier parce qu'il est par nature très résistant aux pannes (la perte d'un élément dans le réseau "peer-to-peer" est un événement normal, qui ne met pas en danger le service implémenté sur ce réseau). Les usages du "P2P" se multiplient donc, et ce, de plus en plus dans des contextes professionnels. Le "GRID computing" (technologie qui consiste à utiliser un ensemble d'ordinateurs se trouvant éventuellement aux "quatre coins d'Internet", pour former une "grille de calcul" capable de collaborer pour réaliser un travail donné) est un exemple probant d'un tel usage. Il est certain que le modèle "P2P" continuera son essor, avec une multiplication des applications "P2P". On notera par exemple que Windows XP SP2 inclut d’ores et déjà une DLL (en version "bêta") qui implémente sur Windows une API "P2P" (cf. www.microsoft.com/windowsxp/p2p/).

Le "P2P" présente en fait pour l'entreprise une grave menace car de nombreuses applications "P2P" sont conçues pour contourner les protections mises en place par l'entreprise (franchissement de garde-barrière), en particulier en encapsulant le trafic "P2P" dans du trafic légitime (par exemple, du trafic Web, ou même dans un faux trafic "VPN"). Un filtrage élémentaire permet souvent de limiter l'utilisation du P2P (ou au moins de détecter l'installation de clients "P2P"), mais cette mesure n'est pas efficace à 100%. De plus, les concepteurs de logiciels "P2P" peuvent faire évoluer rapidement leurs protocoles, pour contourner une nouvelle méthode de filtrage. Il a ainsi été mentionné lors de la conférence qu'une protection "universelle" contre "Skype" (présentée à la conférence "BlackHat Europe 2006") avait été rendue rapidement caduque après sa publication, par une évolution du protocole "Skype".

 
VoIP :

La téléphonie IP semble entrer dans l'age de la maturité, en particulier pour un déploiement en interne dans une entreprise. Lors de la conférence, deux présentations étaient dédiées à cette technologie (l'une donnant la vision opérateur et l'autre la vision entreprise). Il convient cependant d'être prudent lors de la conception de l'architecture d'une solution VoIP, car les équipements en entreprise (par exemple les "CallServers") sont fréquemment des "appliances" (boitiers fonctionnant par exemple sous Linux) qui sont souvent insuffisamment sécurisés (pas à jour en terme de correctifs de sécurité), et les applicatifs métiers hébergés sur ces plates-formes sont parfois d'un niveau de sécurité insuffisant (par exemple sensibles aux attaques de type "SQL-injection").

A titre d'information, un intervenant à précisé que le coût de mise en place d'un solution VoIP à l'intérieur d'une entreprise avait été évalué à 300 Euros par poste installé (dont 100 Euros pour le téléphone IP lui-même).

On notera enfin que le protocole de signalisation "SIP", bien qu'actuellement très populaire, semble d'après les témoignages assez complexe à mettre en œuvre, parce qu'il existe beaucoup d'extensions locales (constructeur) d'un protocole simple au départ. Le protocole "H323", plus traditionnel, reste donc plus largement adopté.


Wifi :

Les réseaux Wifi semblent eux aussi assez largement autorisés au sein des entreprises, mais cet usage se fait dans des conditions strictes imposant une sécurisation forte de ce type d'accès. Les solutions de sécurisation évoquées sont très variables. Il peut s'agir par exemple d'une authentification forte des utilisateurs (via des cartes "SecurID"), ou de systèmes de surveillance des réseaux Wifi actifs (solution de type "contrôle de l'air").

 
Blackberry :

Il y a eu plusieurs témoignages intéressants sur la solution "Blackberry", qui présentaient des points de vue différents quant à la dangerosité de cette solution. Ainsi certaines entreprises interdisent "Blackberry" parce que les e-mails échangés avec les terminaux "Blackberry" transitent sur des serveurs "Blackberry", hors de contrôle de l'entreprise. D'autres entreprises au contraire acceptent cette perte de contrôle et jugent (après analyse technique) que la solution est relativement sûre, et que la société qui la commercialise réagit positivement lorsque des faiblesses sont identifiées (prise en compte et collaboration).

Il a été mentionné qu'il était possible de sécuriser les e-mails échangés via "Blackberry" en utilisant des solutions de "sur-chiffrement" : l‘e-mail envoyé vers les serveurs "Blackberry" est chiffré par un produit externe (non "Blackberry"), et est ensuite déchiffré lorsqu'il arrive sur le téléphone "Blackberry" du destinataire. La société "Utimaco" a été citée comme proposant ce type de solution.

Dans le même ordre d'idée, mais pour la technologie "VoIP", Zimmermann (le concepteur du logiciel PGP) développe actuellement une solution de chiffrement ("Zfone") qui permet de chiffrer les communications VoIP (implémenté sur SIP).

 
Skype :

Le logiciel de téléphonie "Skype" a été plusieurs fois jugé négativement lors de la conférence. Les reproches principaux qui lui sont fait sont :

  • son obscurité (protocole propriétaire et mécanismes de protection anti-analyse),
  • et ses multiples mécanismes visant à contourner les protections mises à place par l'entreprise.

 

Pour plus d'information