Flux RSS
Virus/alertes
481 documents trouvés, affichage des résultats 81 à 90.
| < Les 10 documents précédents | Les 10 documents suivants > |
(27/04/2011 15:22:09)
Avec Cyberprotect, SDN International marie sécurité et assurance
Les récentes affaires d'intrusion des systèmes d'information du ministère des Finances français, de la division RSA d'EMC, de la Commission européenne, de l'Agence Spatiale européenne, de WordPress et enfin de Sony, soulignent la précarité des systèmes informatiques. Spécialisé dans les solutions de télésurveillance pour la sécurité informatique des entreprises, l'éditeur SDN International a choisi de marier surveillance du réseau et assurance avec son offre Cyberprotect. Le produit qui s'adresse aux TPE-PME comme aux grandes entreprises combine prévention, assistance et assurance du réseau informatique.
La problématique n'est pas nouvelle. Les services Internet sont devenus courants dans les entreprises et il n'est plus question de bloquer tous les usages annexes, car les salariés trouveront toujours un moyen de les contourner. Il ne s'agit pas pour autant de ne plus rien contrôler, mais de sécuriser les accès même si un simple antivirus et un pare-feu ne suffisent plus à protéger l'entreprise. Quand certains comme Palo Alto Networks propose des solutions toujours plus sophistiquées pour analyser les paquets IP suspects et bloquer les flux sortants non autorisés, SDN propose une appliance (Cyberprotect Box) surveillant tous les logs (10 postes ou adresses IP à surveiller pour 700 euros environ) et une garantie financière en partenariat avec Nassau assurances (de 150 à 500 k€) pour couvrir les dégâts causés par un virus ou une intrusion informatiques.
Une sécurité supplémentaire
Dans les faits, Cyberprotect ne vient pas remplacer un firewall mais assure la traçabilité des flux qui permet de fournir une preuve à son assureur en cas de sinistre informatique. Des rapports sont envoyés au centre de télésurveillance de SDN qui assure une veille 24 heures sur 24, 7 jours sur 7 de la sécurité informatique et en cas de menace potentielle celui-ci analyse la situation et évalue le risque en fonction de la politique sécurité de l'entreprise.
Fondée en 2005 en région Rhône-Alpes par des ingénieurs spécialisés en sécurité, Thierry Lambert et Mikael Masson, complétés par des spécialistes en assurance, SDN International emploie aujourd'hui une dizaine de personnes pour un chiffre d'affaires de 600 k€ environ.
(...)(27/04/2011 14:34:01)
Sony incapable de protéger ses abonnés PlayStation contre un piratage massif
Sony a expliqué sur son blog que son service en ligne PlayStation Network était en maintenance. Cette fermeture a comme origine une intrusion comme l'indique les réponses du constructeur japonais dans la FAQ sur le site officiel de la Playstation « Nous avons découvert qu'entre le 17 et le 19 avril 2011, une intrusion illégale et non autorisée à eu lieu dans notre réseau. » En clair un ou des pirates ont réussi à s'introduire sur le site en ligne et ont eu accès aux informations personnelles de près de 77 millions d'abonnés.
Toujours dans le même souci de transparence, Sony précise « nous pensons qu'une personne non autorisée à eu accès aux: nom, adresse (ville, pays, code postal), adresse email, date de naissance, mot de passe et login PlayStation Network/Qriocity, et l'ID. Il est aussi possible que vos informations de profils soient touchées, incluant l'historique de vos achats, les quatre derniers chiffres de votre carte de crédit, sa date d'expiration et l'adresse de facturation. Si vous possédez des comptes secondaires, les mêmes données sont concernées. Si vous avez fourni vos données de carte bancaire au travers du PlayStation Network ou des services Qriocity, il est possible que votre numéro de carte bancaire (excluant le code de sécurité) et sa date d'expiration soient concernés. »
Face à ces risques de fraudes ou d'usurpation d'identité et même si Sony affirme ne pas avoir eu écho pour l'instant d'une mauvaise utilisation des données volées, le constructeur a décidé de fermer le site depuis le 20 avril dernier et a diligenté une enquête via une société spécialisée dans le domaine de la sécurité pour connaître la faille utilisée par les pirates. Bien que le japonais affirme « avoir pris des mesures pour renforcer l'infrastructure de son réseau en reconstruisant son système pour fournir une meilleure protection des données personnelles », les services PSN et Qriocity resteront fermés jusqu'à la résolution de l'enquête et la sécurisation des infrastructures.
La sécurité des services en ligne en question
Après le plantage du cloud d'Amazon la semaine dernière, cette affaire du piratage des services en ligne de Sony pose la question de la sécurité et la fiabilité de la dématérialisation des échanges. Pour Xavier Garcia, directeur commercial de Clearswift « depuis un peu plus d'un an, nous assistons au développement d'attaques ciblées qui sont capables de contourner les protections des antivirus, comme l'a montré l'attaque sur le ministère des Finances en France. » Le dirigeant pointe également du doigt les faiblesses de recourir à des sociétés tiers pour s'occuper du stockage des données bancaires « il existe un standard PCI pour contrôler les risques sur ces données sensibles, l'outsourcing de ces flux par une société qui n'est pas une banque peut-être problématique ». Pour éviter ces fuites de données, il n'est pas nécessaire de renforcer la protection a posteriori « la plupart des signatures d'attaques ne sont pas repérées par l'antivirus », il faut se focaliser sur les flux sortant et contrôler que les paquets qui sortent ne contiennent pas des données sensibles » conclut Xavier Garcia.
Crédit photo D.R.
L'Iran pense être la cible d'un second ver
Un haut responsable militaire chargé d'enquêter sur l'attaque Stuxnet, dont l'objectif était d'infecter une centrale d'enrichissement d'Uranium en Iran, a indiqué que le pays avait été frappé par une second ver, appelé Stars. Pour l'heure, si l'on manque de détails sur cette attaque, il semble qu'elle ait été dirigée vers des systèmes informatiques spécifiques au pays. « certaines caractéristiques du ver Stars ont été identifiées, et l'on sait qu'il est compatible avec le système ciblé », a déclaré le général Gholam-Reza Jalali, dans un rapport publié lundi par l'agence de presse iranienne Mehr.
L'Iran a tenté de consolider ses cyberdefenses depuis qu'il a été frappé par le ver Stuxnet l'an dernier. Ce dernier est soupçonné d'avoir été conçu pour saboter l'usine nucléaire de Natanz. Considéré pour être l'un des vers les plus sophistiqués jamais écrit, Stuxnet cherche et sabote des systèmes industriels spécifiques en les faisant fonctionner d'une manière dangereuse.
De l'espionnage informatique, selon les experts
La semaine dernière, Jalali Gholam-Reza a blâmé Siemens, dont les systèmes industriels ont été ciblés par Stuxnet. Il a demandé au groupe allemand d'expliquer pourquoi et comment ce dernier avait fourni aux ennemis de l'information sur les codes du logiciel Scada et ainsi préparé le terrain pour une cyber-attaque contre son pays. Siemens a répondu à cette accusation hier. « Nous n'avons pas participé à la création de Stuxnet », s'est défendu Michael Krampe, porte-parole du constructeur, dans un e-mail Il a ajouté que cette accusation était sans fondement et que l'Iran n'avait pas formé de recours en justice contre Siemens.
L'agence de presse Mehr a également révélé que des experts informatique iraniens étudiaient encore le malware et que des cyber-experts de l'Ouest doutaient que l'Iran ait véritablement trouvé un ver. « Nous ne savons pas si, en Iran, les officiels ont juste détecté un ver ordinaire Windows en l'annonçant comme s'il s'agissait d'une cyber-guerre», a pour sa part estimé Mikko Hypponen, chercheur chez F-Secure, dans un billet de blog posté lundi dernier. « Ceci ressemble davantage à de l'espionnage informatique qu'à du sabotage cybernétique », a t-il déclaré dans une interview par messagerie instantanée. « Nous voyons du cyber espionnage tout le temps. Mais nous n'avons eu affaire qu'à une seule attaque du type de celle de Stuxnet. »
Illustration : Le général Jalali Gholam-Reza. Crédit photo : D.R
(...)
Patch Tuesday : 64 correctifs dont au moins 1 pour le noyau de Windows 7
Jeudi dernier, Microsoft avait prévenu que sa prochaine mise à jour de sécurité mensuelle comporterait de 17 bulletins corrigeant un nombre record de 64 vulnérabilités, soit 15 de plus que l'édition d'octobre 2010, qui détenait jusque-là le titre. Comme à son habitude, Microsoft n'a pas donné beaucoup détails sur ces futures mises à jour, mais selon Andrew Storms, directeur des opérations de sécurité chez nCircle Security, le nombre élevé de bulletins critiques affectant Windows - neuf en tout, soit plus de la moitié - signifie probablement qu'au moins l'une d'elle concerne le noyau.
« Même si nous disposons de peu d'informations sur les correctifs, je pense qu'il y a une forte probabilité qu'un ou plusieurs correctifs concernent le noyau, » a déclaré Andrew Storms. « Les problèmes de kernel sont récents, » a-t-il ajouté. Sur les neuf bulletins critiques de Windows prévus cette semaine, sept concernent Windows XP, neuf Vista et huit Windows 7.
Des attaques ciblant le noyau de Windows 7
Le dernier correctif du noyau de Windows - le coeur du système d'exploitation - par Microsoft date du 8 février. Mais l'éditeur a aussi corrigé des failles dans son kernel chaque mois pair de l'année 2010. Cette tendance devrait se confirmer avec les correctifs prévus cette semaine. Un autre indice sur la nature du prochain Patch Tuesday a été fourni par Aaron Portnoy, responsable de l'équipe de chercheurs en sécurité chez HP TippingPoint. Dans un message publié hier sur Twitter, dans lequel il répondait à l'entreprise de sécurité française Vupen à propos du nombre record de failles que Microsoft doit corriger, celui-ci écrit : « J'en ai entendu parlé par @kernelpool. »
« Kernelpool, » c'est le surnom du chercheur en sécurité norvégien Tarjei Mandt, qui travaille pour Norman ASA, un éditeur de solutions anti-virus dont le siège se trouve dans une banlieue d'Oslo. Celui-ci a fait état de cinq vulnérabilités du noyau patchées par Microsoft il y a deux mois et de plusieurs autres corrigées au cours de l'années 2010.
Un kernel renforcé dans Windows 8
De plus, lors de la conférence Black Hat sur la sécurité qui s'est tenue à Washington DC en janvier, Tarjei Mandt avait présenté et publié un document sur les techniques exploitant « le pool du noyau » dans Windows 7. Dans le document, le chercheur norvégien écrit : « En dépit des mesures de sécurité mises en place dans Windows 7, le système est toujours susceptible de subir des attaques génériques de type kernel pool. » Comme l'explique Andrew Storms, « ces pools de noyau sont des blocs mémoire réservés au noyau du système d'exploitation. » Au passage Tarjei Mandt dit que Microsoft finira par fermer ces trous. « La plupart des vecteurs d'attaque identifiés peuvent être bloqués en ajoutant de simples systèmes de contrôle ou en entassant des mesures de protections » déclare le chercheur dans son document. « Il est probable que dans les futures versions de Windows et les Service Packs, le pool du kernel soit renforcé. »
« Les autres correctifs de la colossale mise à jour prévue cette semaine concernent les formats de fichiers Excel et PowerPoint, Internet Explorer, la version en ligne de PowerPoint, Graphics Device Interface GDI+, c'est à dire le composant de rendu graphique de Windows, » a ajouté Andrew Storms. Il est possible que Microsoft corrigera les vulnérabilités d'IE8 dévoilées par un chercheur irlandais le mois dernier, lors du concours annuel de hacking Pwn2Own. Stephen Fewer, d'Harmony Security, était parvenu à enchaîner trois exploits pour pirater IE8. En guise de prix, il avait reçu 15 000 dollars et un ordinateur portable Sony du sponsor HP TippingPoint.
[[page]]
Microsoft a dit que les bugs exploités par le chercheur irlandais dans IE8 avaient été corrigés dans IE9, la dernière version du navigateur de Microsoft disponible depuis le mois dernier. « En fait, je m'attendais plutôt à ce que Microsoft dise, sur le blog du Microsoft Security Response Center MSRC, qu'ils corrigeraient les bugs découverts pendant le Pwn2Own, ce qu'ils n'ont pas fait, » a déclaré le chercheur de nCircle. Celui-ci évoquait le message publié jeudi sur le blog du MSRC, listant certains des correctifs du Patch Tuesday de demain. Selon Andrew Storms, « le mois de juin est probablement plus propice pour livrer les correctifs liés aux vulnérabilités de IE découvertes au Pwn2Own, » rappelant que c'est en juin 2010 que Microsoft avait patché les failles IE exploitées au précédent concours 2010.
Quel que soit le contenu du prochain Patch Tuesday de Microsoft, ce qui est sûr, c'est que ce sera un grand jour pour les administrateurs informatiques. « Comme dit parfois mon fils ... c'est giga-énorme, » a déclaré Andrew Storms. « C'est un mois giga-énorme. Ce sera aussi un moment privilégié pour établir ses priorités. »
(...)(05/04/2011 15:29:00)Symantec pointe les smartphones et les réseaux sociaux comme prochaines victimes d'attaques
Symantec a présenté la 16ème édition de son rapport ISTR (Internet Security Threat Report). Ce dernier recense 286 millions d'attaques sur l'année 2010. Parmi celles-ci, les menaces Stuxnet et Hydraq constituent sans aucun doute l'avènement d'une ère d'attaques ciblées. Le début de l'année 2011 en témoigne avec les affaires contre le ministère de l'Economie et des Finances ou la Commission européenne. L'éditeur constate que l'utilisation de failles de type « zero days » augmente et se perfectionne.
Cette complexité se retrouve à disposition des pirates ou des apprentis pirates, via des toolkits d'attaques. Ces boîtes à outil utilisent en général les vulnérabilités des navigateurs et en particulier du langage de programmation Java (très prisé par les hackers). La mise à disposition de ces kits d'attaques est d'ailleurs relativement facile. Dans le laboratoire de sécurité de Symantec, basé à Dublin, une démonstration nous a été faite sur le kit Zeus, qui a la particularité de récupérer les données bancaires d'une personne. Un kit baptisé Unique est disponible sur Internet et sa mise en oeuvre est relativement facile.
Les mobiles et les réseaux sociaux en forte progression
Kevin Hogan, Senior Manager Security Response EMEA chez Symantec explique « l'année 2010 a été marquée par une montée en puissance des attaques contre les téléphones portables et en particulier les smartphones, ainsi que sur les réseaux sociaux ». L'éditeur constate ainsi une hausse de 43% des failles des plates-formes mobiles. Concernant les terminaux, des chercheurs nous ont fait la démonstration de Gemini, premier cheval de troie connu sous Android. Le programme malveillant est intégré à une application (le plus souvent un jeu) qui une fois lancé s'exécute directement sur le mobile. Celui-ci permet de prendre le contrôle du téléphone à distance et de faire certaines actions, comme envoyer des SMS ou appeler un numéro surtaxé par exemple.
Illustration: un terminal android infecté par Gemini
Les réseaux sociaux comme Facebook ou Twitter commencent aussi à être touchés par le piratage. Les attaques se concentrent autour de deux axes : le premier est l'utilisation d'URL court de type http://bit.ly/.e2reeC (il s'agit d'un exemple). L'objectif de cette technique obtenir par ces liens des informations sur la personne ou le pousser à télécharger un logiciel malveillant. Autres menaces, les fils d'actualité des sites qui ont la particularité d'avoir une distribution massive à l'ensemble des contacts. Les pirates usurpent l'identité d'un profil et diffusent ensuite un lien (en général une URL raccourcie) vers un site malveillant.
Une protection à plusieurs niveaux
L'objet d'une telle étude est bien évidemment de prendre le pouls de l'environnement sécurité pendant une année donnée, mais c'est aussi l'occasion de délivrer des recommandations. Pour Kevin Hogan « les anti-virus, anti-malwares ne suffisent plus, il faut détecter les programmes malveillants en prenant en compte leurs spécificités et leurs configurations. C'est ce que nous allons proposer avec notre technologie dénommée réputation ». Il s'agit de créer une base de données des programmes ou de logiciels, les fichiers seront alors analysés dans un cloud de Symantec qui attribuera un qualificatif, bon, neutre ou mauvais sur ces fichiers. Cette technologie devrait être intégrée prochainement dans la gamme professionnelle de l'éditeur. Pour autant, les spécialistes de la société pousse aussi les entreprises à mettre à jour et à renforcer leur politique de sécurité (correctifs, migration, etc.). Des évènements comme Wikileaks ont déjà fait prendre conscience aux entreprises de protéger les données sensibles conclut Kevin Hogan.
Illustration: Siège de Symantec à Dublin
Crédit Photo: Symantec
(...)(01/04/2011 14:34:40)Le rapport X-Force d'IBM alerte sur la sécurité des mobiles et du cloud
Dans ce rapport, il est indiqué que les entreprises doivent notamment avoir à l'esprit que le jailbreak permet d'accéder au root des téléphones mobiles, ce qui pose un certain nombre de problèmes. Alors que de nombreux propriétaires de téléphone choisissent volontairement d'outrepasser les restrictions du constructeur pour installer sur leur mobile des applications initialement non compatibles, les pirates savent aussi tirer parti des outils de jailbreaking à leur disposition. Ainsi, ils peuvent modifier le code à l'intérieur d'un outil pour obtenir un accès root non autorisé, comme l'indique un rapport sur les tendances et les risques «IBM X-Force 2010 Trend et Risk Report» établi par des spécialistes de la sécurité chez IBM.
Une autre préoccupation émise dans ce rapport concerne les menaces que représente la sécurité des réseaux sociaux, généralement très sous-estimées selon eux. Certes, comme le précise le rapport, « les attaques généralisées visant à exploiter ces vulnérabilités ne sont pas légion. » Mais c'est essentiellement parce que « pour ceux qui mettent en place des réseaux de zombies à grande échelle sur Internet, les ressources financières que pourraient générer le piratage des appareils mobiles ne sont pas aussi intéressantes que celles procurées par les machines de bureau. » Néanmoins, chaque téléphone mobile peut contenir suffisamment d'informations précieuses pour justifier une attaque ciblée. « Introduit dans un mobile, un programme malveillant peut être utilisé pour espionner les utilisateurs, accéder à des informations sensibles, et entrer dans les réseaux d'entreprise. Par conséquent, les entreprises devraient prendre au sérieux le risque que représentent ces logiciels malveillants », indique le rapport.
Adapter sa sécurité
IBM X-Force recommande un minimum de mesures de sécurité dont un pare-feu, un anti-malware, des mots de passe forts, le verrouillage et la suppression des données après plusieurs tentatives de connexion, l'utilisation de passerelles entre les dispositifs et les réseaux d'entreprise (VPN), et la configuration du Bluetooth de façon à ce que seuls les appareils sécurisés puissent se connecter entre eux. Les entreprises qui utilisent une flotte mobile devraient également envisager le cryptage des données sensibles. « Toutes les données ne doivent pas être chiffrées, mais les données sensibles de l'entreprise, oui, » préconise le rapport.
Les boutiques légales d'applications en ligne sont également désignées comme source très dangereuse pour la diffusion de malware sur les smartphones. Si elles ne disposent pas des ressources nécessaires pour contrôler toutes les applications soumises, ces plates-formes peuvent en effet vendre des applications qui sont en fait des logiciels malveillants. « Probablement, des applications en apparence dignes de confiance, sont facilement utilisées comme vecteur pour la propagation de malware, » indique le rapport. Les entreprises qui cherchent à sécuriser les smartphones pourraient utiliser à bon escient la technologie d'encapsulage pour séparer les données et les applications professionnelles de tout le reste sur un même téléphone. « Les utilisateurs ne veulent qu'un seul appareil, et le fait d'encapsuler le contenu professionnel permettrait aussi un usage personnel du mobile, tout en protégeant les données sensibles, » indiquent les spécialistes.
Le cloud aussi touché
Le rapport X-Force s'est également intéressé aux services Cloud et à la sécurité des nuages, un aspect qui conditionne grandement leur adoption. Mais de plus en plus d'entreprises s'y mettent, au moins pour héberger certaines de leurs données et applications. La sécurité ne doit pas être infaillible si les risques associés à l'utilisation du Cloud sont acceptables. « Pour les entreprises, la question n'est pas de savoir si le Cloud dans son ensemble est sécurisé, mais si elles-mêmes se sentent à l'aise pour délocaliser une partie de leur charge de travail sur le Cloud, » commente le rapport. Les clients doivent naturellement faire confiance à la sécurité offerte par les fournisseurs de Cloud, et accepter que ceux-ci donnent peu de détails sur leurs mesures de protection pour éviter de révéler leurs méthodes aux attaquants éventuels.
« Donc, les clients doivent faire confiance à leurs fournisseurs, mais ceux-ci ne peuvent garantir une sécurisation infaillible, » résume le rapport X-Force. Il est possible que les fournisseurs de nuage soient en mesure d'offrir une meilleure sécurité à leurs clients. « La protection que procure le nuage pourrait contribuer à mieux défendre les réseaux d'entreprise qu'ils ne le font eux-mêmes, » dit encore le rapport. « Au moins à court terme, les clients doivent évaluer leur degré de tolérance par rapport aux risques associés à l'utilisation de services Cloud et agir en conséquence, » indique le rapport.
Crédit Photo: D.R
(...)(31/03/2011 10:47:25)Au coeur de la Silicon Valley: Sauvegarde fine chez BackBlaze et sécurité pointue de Palo Alto Networks
Dans la cour d'un immeuble de San Mateo, un petit escalier mène dans les locaux d'une jeune start-up baptisée BackBlaze. Fondée en 2007 par deux quadras, Gleb Budman (CEO, voir ci-dessous) et Brian Wilson (CTO) qui ont déjà vendu deux autres start-up(Kendara revendue à Excite@Hoem et MailFrontier à SonicWall) , BackBlaze repose sur une idée simple : faciliter et automatiser la sauvegarde en ligne des PC portables et des ordinateurs de bureau des particuliers et des PME-PMI.
Pour ce faire, la start-up a fixé un prix unique de 5$ par mois pour une quantité illimitée de données. Le plus gros client héberge ainsi en ligne pas moins de 10 To. Un cas extrême, mais qui répond bien à la philosophie de la petite entreprise (11 salariés à ce jour) : « nos clients ne doivent pas perdre de données et comme nous ne voulons pas stresser nos clients, ils peuvent tout sauvegarder » précise Gleb Budman. Il faut bien sûr installer un logiciel, un agent système en fait, sur son PC ou son Mac (pas encore de version Linux) qui envoie et synchronise les données sur les serveurs de BackBlaze hébergés dans un datacenter à Fremont. Si BackBlaze ne demande aux utilisateurs de sélectionner les données qu'ils veulent archiver, la start-up élimine les fichiers inutiles comme le système d'exploitation, les applications et les différents caches des logiciels.
Compression et dédup en standard
Les données conservées sont ensuite compressées, dédupliquées et cryptées sur les appliances de BackBlaze. C'est en effet une des particularités de cette start-up. Elle a en effet conçu une appliance baptisée Storage Pod d'une capacité maximale de 67 To avec des disques durs de 2 To. Configuré en RAID 6, ce serveur dédié peut ainsi perdre 1 ou 2 disques durs sans conséquence pour les données des clients. De type distribué, le stockage est réparti sur toutes les appliances animées par une version très allégée de la distribution Linux Debian.
L'architecture distribuée de BackBlaze repose sur une solution baptisée Central Authority qui répartit toutes les données entre les Pod et ce sans faire appel à une base de données. « Avec le temps, les bases de données deviennent gigantesques et ralentissent considérablement l'ensemble de la plate-forme. Nous avons préféré nous affranchir de cette contrainte lors de la conception de notre solution de stockage » précise Gleb Budman.
Une solution développée en interne
Si BackBlaze a fini par accepter de vendre ses Storage Pod - mais sans assurer de support - elle garde la main sur son logiciel. « Nous ne licencions pas notre programme, c'est le coeur de notre solution de sauvegarde » nous a indiqué Brian Wilson. Aujourd'hui, la start-up dispose d'une centaine de Pod avec plus de 2500 disques durs. Soit une capacité de stockage de 10 Pétaoctets. « Nous installons 10 nouveaux Pod tous les mois et remplaçons un ou deux disques durs cramés tous les semaines. »
La solution de sauvegarde incrémentale de cette start-up n'est pas seule sur le marché, mais elle permet de conserver des fichiers d'une taille maximale de 9 Go pendant 30 jours. La restauration est possible via un navigateur web, un DVD (99 $ avec une expédition partout dans le monde) ou un disque dur externe (199$ avec une expédition partout dans le monde). Mais pour restaurer ses données, il est bien sûr nécessaire de sauvegarder ses données. Gleb Budman rappelle pour l'anecdote qu'une de ses clients n'arrivait pas à récupérer ses données en ligne... et pour cause après la création de son compte (une adresse email, un mot de passe et une carte bancaire suffisent), il n'avait jamais installé l'agent système...
[[page]]
Une génie de la sécurité chez Palo Alto Networks
Changement de métier avec Palo Alto Networks. Si la sécurité est encore à l'ordre du jour, la société spécialisée dans la conception de firewall a été créée en mars 2005 par des gens qui pensaient qu'il y avait de graves lacunes dans ce domaine. La tête pensante de cette entreprise installée à Sunnyvale est bien connue dans le petit monde des firewalls : il s'agit du percutant Nir Zuk. Prodige des mathématiques, cet Israélien a fait parti de l'équipe qui a conçu la technologie d'inspection des paquets IP chez CheckPoint Software à la fin des années 90. Depuis il est passé par NetScreen et Juniper avant de fonder Palo Alto Networks à partir d'une idée simple : « toutes les technologies de sécurité utilisaient aujourd'hui pour protéger Internet datent des années 90. Toutes les compagnies utilisent des dérivés de la technologie d'inspection des paquets que j'ai développée pour les firewalls Check Point ».
Mais depuis les usages et les attaques ont bien changé. « Les firewalls ne protègent que le web et les emails et ignorent les autres usages : SalesForce, WebEX ou encore SharePoint. Facebook pose également un problème particulier en terme de sécurité. Les entreprises bloquent ou laissent passer le service avec tous les problèmes. Personne ne sécurise aujourd'hui Facebook tout comme Linkedin ou Viadeo en France. Skype est un autre exemple de bad application. Nous recommandons à tous nos clients de bloquer ce service ainsi que LogMeIn ou Tor mais s'ils le font les utilisateurs trouveront le moyen de contourner le blocage. Il est donc nécessaire de protéger les utilisateurs ».
Suivre les évolutions des usages
Provocateur, Nir Zuk finit toutefois par avouer qu'il ne s'agit plus aujourd'hui de bloquer des services devenus courants dans les entreprises, mais bien de sécuriser les accès. « Il faut reconnaître les nouvelles applications et les bloquer avant d'obtenir leur signature et d'établir une règle. » A l'usage, la société propose des firewalls aux défenses personnalisables et plus seulement périmétriques. Le moteur Pan-OS 4 des boitiers analyse les paquets émis par les applications actives sur le réseau et sur l'exploitation des profils utilisateur contenus dans Active Directory. Cela permet d'appliquer des règles de sécurité au niveau de chacun des utilisateurs en fonction de leur profil. Ce n'est plus l'adresse IP sur laquelle repose la politique de sécurité, mais sur l'identité de l'utilisateur. De plus, ces appliances sont capables d'identifier les applications web actives sur le réseau en analysant les paquets qui y transitent.
Aujourd'hui, Palo Alto Networks possède une base forte de 20 000 signatures qui continue de s'enrichir. Elle propose bien sûr d'utiliser des black listes avec son algorithme baptisé NGFWs Scan. Développé par Nir Zuk, ce dernier équipe les firewalls de nouvelle génération de Palo alto Networks. Très fier de son moteur d'analyse, le fondateur et CTO de la compagnie, précise que ce dernier ne contrôle pas tous les paquets, mais seulement ceux qui lui paraissent suspects. « C'est l'intelligence de notre moteur ». La firme a lancé un firewall 20 Gigabits, le PA-5060, capable d'adresser jusqu'à 100 000 utilisateurs environ et prépare une version 40 Gigabits et même 240 Gigabits (6 x 40 Gigabits en fait dans un même châssis). Ces équipements reposent sur un OS spécifique Pan-OS sur lequel le directeur technique ne désire guère s'attarder. On saura juste qu'une release majeure est proposée tous les six mois et qu'il s'agit d'un OS robuste qui peut sembler ressembler à Linux.
| < Les 10 documents précédents | Les 10 documents suivants > |