|
| |
|
|
| Sommaire Sécurité |
 |
| Bill Gates milite pour plus de sécurité |
| Rendez-vous de la sécurité, la RSA Conference accueille actuellement firmes et experts du secteur sur des questions de divulgation de vulnérabilité, de gestion des identités ou encore de piratage de Vista.
(09/02/2007) |
|
Grand-messe de la sécurité informatique, la RSA Conference se
tient jusqu'au 9 février aux Etats-Unis, à San Francisco. Et
l'édition californienne semble faire salle comble, puisque ce
sont pas moins de 300 entreprises qui ont fait le déplacement
cette année, contre 100 précédemment. Les grands noms de l'informatique,
firmes et experts, sont bien entendu au rendez-vous. Divulgation
de vulnérabilité, gestion des identités, piratage de Vista et
cohérence des solutions face aux menaces sont notamment au sommaire
des discussions.
Très remuant en ce début 2007, Bill Gates était lui aussi sur
l'estrade pour un discours. Accompagné du directeur de la recherche
et de la stratégie, Graie Mundie, il a annoncé la volonté de
Microsoft de soutenir le protocole Open Source d'authentification
(gestion des identités), OpenID 2.0. Toutefois l'éditeur a également
mis en avant sa propre solution, CardSpace, notamment intégrée
dans Windows Vista. Ainsi, les identités créées avec OpenID
seront compatibles avec sa technologie.
Les
deux cadres de Microsoft ont également appelé à une informatique
de confiance reposant sur les certificats numériques, IPSec
et IPv6. Ils ont toutefois reconnu que plusieurs des technologies
exposées pour l'élaboration de cet environnement n'étaient pas
encore disponibles. IPv6 et IPSec apparaissent en tout cas stratégiques
pour Microsoft et ses futures applications.
Quant à Art Coviello, président de RSA Security, il a adressé
aux acteurs de la sécurité des reproches pour leur gestion des
menaces ces dernières années, les appelant à une réponse plus
globale. Il a prédit en outre la disparition d'ici 2 à 3 ans
des entreprises n'offrant que des services tels que l'antivirus
ou le chiffrement. Se hissant lui-même au rôle de Cassandre,
il a ainsi rappelé que les éditeurs antivirus auraient un défi
colossal à relever en 2007, face à plus de 200 000 codes
malveillants, et que les IPS ne permettaient de stopper que
70% des attaques.
| Les
acteurs spécialisés amenés à
disparaitre d'ici 2 à 3 ans |
Mais tout expert sécurité qu'ils soient, les conférenciers n'en
sont parfois pas moins imprudents, selon un bilan dressé par
AirDefense. La firme a en effet mené durant le salon une opération
d'identification des appareils sans fil vulnérables. Sur les
347 terminaux (portables, smarphones, etc.), 56% n'étaient pas
sécurisés, les exposant en cas de connexion à des bornes d'accès
pirates (rogue access point). Le chiffre est donc en
hausse par rapport à la précédente édition, au cours de laquelle
AirDefense avait détecté 35% d'appareils vulnérables.
Le débat sur les pratiques de divulgation des failles ne devrait
vraisemblablement pas connaitre son terme lors de la conférence
RSA. Les spécialistes de la sécurité sont en effet toujours
aussi partagés sur la question et aucun standard n'est pour
l'heure à l'horizon. Si pour certains des participants, la divulgation
contribue à stimuler des éditeurs rétifs, pour d'autres, ces
chercheurs sont de simples Don Quichotte.
Windows Vista, sans la présence de Flavie Flament cette fois,
et plus précisément sa sécurité, ont également été abordés.
Une démonstration du premier exploit sur une application tierce
sous Vista a ainsi été réalisée. C'est BrightStor ARCserve Backup
de CA qui en a fait les frais. Bien que corrigée depuis, cette
vulnérabilité permettait à un attaquant de compromettre et contrôler
un serveur Vista hébergeant l'application.
La faute en incomberait à la course des éditeurs à la compatibilité
des logiciels sous Vista. La pression marketing est en effet
forte et pousserait certains à hâter les développements aux
dépens de règles de programmation, pourtant vivement recommandées.
Plus attendue encore, la démonstration de Marc Maiffret, d'eEye.
Au cours d'une interview, il a en effet déclaré qu'il était
possible de compromettre Vista grâce à une faille non Microsoft,
et également d'élever ses privilèges par le biais cette fois
d'une vulnérabilité spécifique à l'OS.
|
| |
| |
|
|
|
Dossier 