Depuis hier et jusqu'à demain soir se déroule au Palais des Congrès de Paris le célèbre salon consacré aux technologies Microsoft : les TechDays. Cet événement est l'occasion pour Microsoft de mettre en avant ses nouveaux produits en proposant aux visiteurs des conférences (souvent animées par des employés de la firme, mais pas exclusivement), des ateliers pour mettre les concepts en pratique, ainsi que des stands d'entreprises partenaires de Microsoft. Cette année, l'accent est mis sur le lancement des versions 2008 de Visual Studio, Windows Server et SQL Server. On notera aussi une présentation en avant-première de la nouvelle version de Citrix Presentation Server.
Divers parcours thématiques sont proposés aux visiteurs ; parmi eux, le parcours "Sécurité" apparait en première position dans la liste, certainement une manière pour Microsoft de nous montrer que celle-ci est désormais bien prise en compte dans les développements... Nous vous proposons sur ce blog un aperçu de certaines des conférences auxquelles nous avons assisté sur ce thème.
La sécurité et le développement mobile
Cette conférence était assurée par Messieurs Bruno Jauffret et Christophe Pierret, de la société Sparus-Software. Partant de la maxime statuant que "si un appareil ne vous appartient pas, vous aurez du mal à le gérer", les deux conférenciers organisent leur discours autour d'une mise en place de politique de sécurité globale incluant les terminaux Windows Mobile, bien entendus fournis par l'entreprise à tous ses employés (ne pas oublier le technicien d'ascenseur, apparemment cher à M. Pierret :-p).
Pour en venir au sujet qui nous intéresse, à savoir la sécurité du Système d'Information, dans lequel se trouveront évidemment des terminaux Windows Mobile, M. Pierret a évoqué les différents points à prendre en compte, listés ci-dessous :
- Le risque de voir un terminal mobile volé ou perdu est augmenté du fait de sa mobilité justement, il faut donc assurer la confidentialité des données par un chiffrement total (ou partiel) de la mémoire locale de l'appareil. Si cela est possible, il peut être utile de créer un processus permettant de révoquer un appareil, afin que celui-ci n'ait plus accès au Système d'Information de l'entreprise par la suite.
- Mettre en place un code de sécurité personnel (code PIN) permettant d'authentifier l'utilisateur.
- Utiliser un VPN spécialement conçu pour terminaux mobiles, afin d'éviter certains désagréments tels que rentrer ses identifiants de connexion à chaque changement de borne d'accès.
- Mettre en place un système de protection d'accès (NAC pour Cisco, NAP pour Microsoft), afin de stopper l'accès aux terminaux non sécurisés / non gérés.
Apparemment, le besoin en solution antivirale n'est pas encore important. En effet, il n'y a pas à l'heure actuelle de véritable virus Windows Mobile, seules des preuves de concept sont disponibles dans les différents laboratoires d'éditeurs d'anti-virus. La détection de codes malveillants inconnus n'étant pas la force des éditeurs d'anti-virus actuellement, il n'est donc probablement pas nécessaire d'en mettre en place sur les terminaux Windows Mobile.
Pour finir, outre la solution Sparus EveryWAN qui, aux dires des interlocuteurs, effectue toutes les recommandations évoquées ci-dessus, nous pouvons noter que les autres solutions n'ont pas été oubliées, et vous pouvez trouver ci-dessous la liste parmi laquelle vous pourrez effectuer votre choix pour administrer et sécuriser votre parc de terminaux Windows Mobile :
- Microsoft : System Center Mobile Device Manager ;
- Arkoon : Security Box Mobile ;
- Checkpoint : PointSec Mobile.
Hyper-V et la sécurité : présent et futur
Cette conférence était animée par Bernard Ourghanlian de Microsoft. Hyper-V est le nom qu'a donné la firme de Redmond à son système de virtualisation basé sur un hyperviseur. Selon les chiffres présentés, moins de 10 % des serveurs sont aujourd'hui virtualisés. Pourtant, en raison des nombreux avantages de ce type d'architecture, on peut, comme M. Ourghanlian, penser que celle-ci est promise à un bel avenir.
L'hyperviseur de Microsoft s'exécute dans un niveau en-dessous du Ring 0 (on peut donc le considérer comme un Ring "-1"). Cela nécessite des extensions particulières pour les processeurs x86-64 (Intel VT ou AMD-V). Hyper-V n'est bien sûr pas le seul à les utiliser, on peut par exemple citer Xen ou KVM.
Le code d'Hyper-V pèse 1 Mo ; son but est principalement le multiplexage des ressources ainsi que l'ordonnancement mémoire entre les différentes machines virtuelles, qui s'exécutent dans des "partitions" (au sens Hyper-V du terme). Il peut exécuter dans des machines virtuelles des systèmes non modifiés. Le système invité peut aussi implémenter des "Enlighments", afin d'améliorer entre autres les performances disque, réseau ou graphique. La communication avec l'hyperviseur s'effectue grâce à un ensemble d'"hypercalls" documentés par Microsoft.
L'implémentation pose un certain nombre de principes sécuritaires, dont :
- Les systèmes invités ne sont pas dignes de confiance
- La partition racine est de confiance
- Il est possible de savoir qu'on s'exécute dans un système hypervisé
Les objectifs sont :
- Une isolation des systèmes invités (pas de mémoire mappée entre invités, etc)
- Des communications invité vers racine, mais pas entre invités
Dans sa version actuelle, Hyper-V possède quelques limitations :
- Il ne cherche pas à atténuer les interférences matérielles entre systèmes invités, ce qui permet les attaques sur le temps
- Il ne protège pas les invités ou l'hyperviseur de la racine
Au niveau logiciel, Hyper-V a été compilé avec le paramètre de sécurité "/GS" de Visual Studio, supporte le bit NX/XD et est passé au travers du SDL (Software Development Lifecycle), au cours duquel il a été soumis entre autres à une analyse statique du code et à du fuzzing. De plus, il ne contient pas de code tiers.
Hyper-V pourra se voir mettre à jour via Windows Update et peut être déployé/géré grâce à System Center Virtual Machine Manager.
A l'avenir, les extensions Intel TXT et AMD SEM, en relation avec une puce TPM, seront utilisées afin de sécuriser toute la phase de démarrage.
Cardspace en environnements hétérogènes
Cette conférence était présentée par Pierre Couzy et Philippe Beraud de Microsoft. CardSpace est le client proposé par Microsoft pour le "Metasystème d'identité" (Identity Metasystem), sorte d'abstraction pour la gestion des identités, principalement orientée Web. Un utilisateur peut ainsi s'authentifier sur un site Web avec une carte à puce sans avoir à installer de bibliothèque tierce.
Les spécifications utilisées sont ouvertes : Kerberos, X.509, ainsi que celles de l'OASIS sur les services Web (en particulier WS-SecurityPolicy, WS-Trust et WS-MetadataExchange). Les informations sont véhiculées dans des jetons de sécurité SAML.
A ce propos, vous pouvez retrouver plus d'informations sur la sécurité des services Web dans l'un de nos classeurs 
Eléments de la sécurité de SOA.
Trois rôles cohabitent au sein de cette architecture de gestion d'identités :
- Les sujets (les utilisateurs)
- Les consommateurs d'identité (typiquement les sites Web)
- Les fournisseurs d'identité (émettent les certificats, entre autres)
La suite de la conférence a consisté en plusieurs démonstrations d'authentification avec CardSpace, en utilisant Internet Explorer et Firefox sous Vista, ainsi que Firefox sous SuSE, afin d'accéder à des sites développés en ASP.Net sur IIS ou PHP sur Apache. La liaison avec un site respectant la norme OpenID a aussi été présentée.
Identity Lifecycle Management
Cette présentation était assurée par Stéphane Méténier et Philippe Beraud de Microsoft. ILM est une suite de produits permettant la gestion du cycle de vie des supports d'identité (typiquement des cartes à puces ou des tokens USB) dans l'entreprise. Elle s'administre sur un portail ASP.Net.
Après une présentation globale de la solution, les conférenciers ont surtout fait des démonstrations des procédures dans différents cas pratiques :
- Emission d'une carte (servant par exemple à ouvrir une session sur un domaine) : la personne doit prouver son identité, puis les codes nécessaires lui sont communiqués ;
- Perte de la carte à puce : révocation de l'ancienne carte et émission d'une nouvelle carte ;
- Oubli de la carte : révocation temporaire, émission d'une nouvelle carte à durée limitée ; quand la personne retrouve sa carte, suppression de son entrée dans la liste de révocation, et révocation définitive de la carte temporaire.
C'est la deuxième fois ce mois-ci qu'un éditeur donne des détails sur une vulnérabilité ayant été corrigée dans un correctif paru quelques semaines auparavant.
Curieuse conjoncture dans la galaxie des émulateurs et virtualiseurs : des vulnérabilités touchant VMWare et QEMU, permettant de "sortir" de la machine virtuelle et ainsi de compromettre la machine hôte, ont été publiées coup sur coup de façon indépendante.
Remember the fraud campaign we discovered last 
Hier soir, Microsoft a publié ses bulletins de sécurité mensuels. Et nous avons été plutôt gâté, puisque ce ne sont pas moins de 11 bulletins qui sont sortis du chapeau, corrigeant un total de 17 vulnérabilités.
Une nouvelle mouture du noyau Linux parue ce week-end annonce la correction d'une vulnérabilité particulièrement critique 
L'auteur du 
Un petit rappel pour les utilisateurs de WSUS (et des autres solutions de mises à jour centralisées de vos postes et serveurs Windows) qui seraient suffisamment joueurs pour avoir configuré l'installation automatique des "Update Rollup" poussés par Microsoft : Internet Explorer 7 arrive demain !
If you're dealing with web server security, you might already know the