|
| |
|
|
 |
| Les outils de sécurité Open Source : une alternative crédible |
| Pare-feu, IPS-IDS, sniffer, proxy, antivirus, antispam... l'Open Source est en sécurité aussi une alternative à envisager. Contraintes d'administration et gestion des mises à jour restent cependant parfois des freins.
(14/03/2007) |
|
L'univers de la sécurité semble parfois, à tort, être le monopole des éditeurs de solutions propriétaires. Les logiciels Open Source y occupent pourtant une place qui n'a rien de figurative. Ils présentent en effet des qualités fonctionnelles et des performances qui en font, au minimum, les égaux des offres propriétaires. En tout cas sur certains domaines de la sécurité.
Les solutions Open Source présentent en effet, pour certains volets, des faiblesses qui peuvent freiner leur déploiement. "Certains logiciels sont rarement utilisés, surtout par les grandes entreprises, pour deux raisons principales : les fortes contraintes d'administration, notamment en termes de gestion centralisée, et de maintenance. Les grands comptes ne sont en général pas disposés à accepter une dépendance à l'égard de la communauté", commente Sylvain Roger, consultant en sécurité chez Solucom.
Ces défaillances affectent d'ailleurs le domaine des pare-feu. Les éditeurs propriétaires, Cisco, Juniper, Check Point y tiennent très largement le haut du pavé. Cependant, des alternatives libres existent : Netfilter, intégré dans presque toutes les distributions Linux, et NuFW notamment. Ce dernier, basé sur Netfilter, se complète de fonctionnalités supplémentaires, dont l'authentification des flux. Si les performances sont à niveau, l'absence d'administration centralisée constitue un frein majeur.
"Disposer d'une interface centralisée demande des développements spécifiques. C'est par conséquent un gros inconvénient pour les grandes entreprises qui peuvent avoir un vaste parc de firewalls distribués à administrer. L'intégration avec d'autres composants -proxy, IDS, répartiteur de charge, est possible mais nécessite également des développements complémentaires et donc de l'expertise", détaille Sylvain Roger.
| L'Open Source très performant dans les domaines de l'audit de sécurité et la détection de vulnérabilités |
Quant au monde des antivirus, il est le quasi monopole des éditeurs de solutions propriétaires. ClamAV reste cependant très utilisé sous Linux et Unix
lorsqu'un antivirus est activé, les codes malveillants étant rares sur ces environnements. Disponible également sous Windows, ClamAV souffre d'un très gros handicap : la lenteur des mises à jour des signatures, le rendant par conséquent impossible à déployer en entreprise.
Une faiblesse moins réelle en ce qui concerne la prévention et la détection des intrusions, même si les applications du libre y demeurent encore peu présentes avec deux produits récurrents : Snort et Prelude-IDS. "Snort est un produit qui a bonne réputation et que l'on retrouve dans un certain nombre d'entreprise. On ne sent pas sur le marché des IDS/IPS une prédominance comme celle du firewall", commente Sylvain Roger.
Du côté des PKI (Public Key Infrastructure, infrastructure à clé publique), l'Open Source séduit également les entreprises et les administrations. Le français IdealX propose une PKI reposant uniquement sur des briques du libre. IDX-PKI équipe ainsi déjà un très grand nombre d'entreprises du CAC 40. Les suédois de PrimeKey proposent également une solution libre, EJBCA.
Le domaine de la gestion des identités fait lui aussi une place significative aux solutions Open Source. "Le marché actuellement l'objet d'une grande compétition, avec notamment le projet Bandit de Novell, OpenSSO de Sun, OpenSLL, ou FederID. Ce sont des solutions qui fonctionnent très bien et nous devrions en voir de nouvelles se développer", juge Yannick Quenec'hdu, responsable du pôle sécurité chez Linagora.
| Bandit, OpenSSO de Sun, OpenSLL, ou FederID, le libre se dynamise dans la gestion des identités
|
Le libre est aussi une alternative, voire la solution principalement envisagée, en matière d'écoute réseau (sniffer, scanner) et d'audit de sécurité grâce à une grande variété d'outils : Wireshark (sniffer), Nmap, Nessus (scanners de vulnérabilités), Metasploit, Cain & Abel, John The Ripper ou Aircrack pour tester les mots de passe, ou encore Kismet pour la détection, l'écoute ou la détection d'intrusion sur un réseau Wi-Fi.
Sur les créneaux des Proxy, du filtrage et de l'antispam, le libre a aussi des atouts à faire valoir, au travers notamment de Squid, Apache et SpamAssasin. "Squid est un des principaux Proxy utilisés au niveau mondial sur Internet. Les solutions libres ont la maturité nécessaire pour être déployées en entreprise. Le serveur Web Apache peut fournir dans certaines configurations, des fonctions de proxy. En revanche, pour une question de performance, il est déconseillé d'activer la fonctionnalité de cache. Inversement, Apache est très souvent utilisé pour la protection des serveurs Web en tant que reverse-proxy", déclare Sylvain Roger.
La variable économique est bien évidemment un critère dont tiennent compte entreprises et administrations. Cependant, le choix d'un logiciel libre ne se fonde pas uniquement sur l'économie substantielle réalisée sur les licences. Pour des produits aussi cruciaux que ceux de sécurité, la performance est un critère incontournable.
|
|
|
|
Dossier 