Pas encore de sécurité 100 % open source en entreprise

Jérôme Saiz

01 Informatique

le 03/12/2008 à 07h00

envoyer
par mail

imprimer
l'article

La couverture fonctionnelle du monde des logiciels libres est particulièrement étendue. Mais qu'en est-il de la sécurité ? Est-il possible de sécuriser son SI uniquement à l'aide de logiciels open source ? “ On pourrait poser la question inverse, observe Hervé Schauer, fondateur du cabinet d'audit en sécurité HSC. Est-il possible de sécuriser son SI sans aucun logiciel libre ? La réponse est non, tout simplement parce que de nombreux boîtiers et logiciels propriétaires utilisent – souvent sans le dire – des logiciels libres dans leur cœur. ”

De fait, des projets tels OpenSSH, OpenSSL, Snort (détection d'intrusion) ou PAM (modules d'authentification multiple pour Linux) sont omniprésents dans le paysage serveur de l'entreprise. Et chez les consultants en sécurité, des outils tels que John the Ripper (audit de la solidité des mots de passe) ou Backtrack (test d'intrusion) sont particulièrement appréciés. Mais en regardant du côté des solutions déployables par l'entreprise en lieu et place de l'offre commerciale dans trois domaines phares de la sécurisation du système d'information, le bilan du logiciel libre est toutefois un peu plus mitigé. Techniquement au point, l'offre ne répond pas pour autant entièrement aux besoins des entreprises.

Le pare-feu

Le filtrage de paquets est devenu une commodité par excellence. La fonction est par exemple réalisée par le composant netfilter intégré par défaut au noyau de Linux. Pourquoi alors continuer de payer pour des pare-feu commerciaux ? “ On ne peut pas comparer netfilter aux pare-feu du commerce, tel celui de Checkpoint, entre autres, affirme Raphaël Marichez, consultant sécurité chez HSC. Ce dernier fournit à la fois le matériel, le noyau et la couche de présentation. Dans le monde du libre, on met ce que l'on veut en termes de matériel, le noyau est intégré au système d'exploitation, et il faut ajouter ensuite une couche de présentation. Shorewall, par exemple. ” On retrouve ici l'aspect meccano propre à l'open source. L'avantage ? Une granularité exemplaire dans la configuration de la solution. “ C'est très souple de pouvoir accéder au noyau du pare-feu directement. Il est ainsi possible de faire générer des règles par des scripts et non via l'interface graphique, et en définitive de piloter le pare-feu autrement ”, poursuit Raphaël Marichez.

De même, certaines fonctionnalités offertes par netfilter ne se retrouvent pas nécessairement dans les pare-feu commerciaux. “ Il existe quantité de modules additionnels, comme pour faire du tarpit (ralentir la connexion dans le cas d'attaques connues pour “ engluer ” l'attaquant – NDLR) ou du port knoking (ouvrir un port particulier en recevant un certain paquet – NDLR), ce que les pare-feu commerciaux ont du mal à prendre en charge. Et l'on peut ajouter ou mettre à jour un tel module sans arrêter le filtrage, c'est impressionnant ”, détaille le consultant.

Bien entendu, ces modules tiers ne suivent pas nécessairement l'évolution officielle du noyau et ne font pas forcément l'objet d'offres de support… “ Il vaut souvent mieux attendre un peu avant de les utiliser en production, et cela demande un peu d'attention. En contrepartie, la communauté est souvent plus réactive pour supporter de nouveaux protocoles ”, reconnaît Raphaël Marichez.

L'antivirus

L'option du libre en matière de protection antivirale est particulièrement réduite : seul le projet ClamAV est réellement opérationnel. D'autres existent, tels OpenAntivirus et Moonsecure, mais ils ne sauraient encore être considérés comme viables pour un usage en production. ClamAV, lui, est en revanche largement répandu en production, y compris au sein de nombreux boîtiers UTM (Unified Threat Management) commerciaux, tels ceux de Watchguard et de Netasq, qui l'intègrent afin d'offrir une brique antivirale. Ses performances en matière de détection de virus ne font donc aucun doute.

Là encore, l'approche meccano de l'open source est au rendez-vous. “ ClamAV est plus un moteur d'analyse qu'une solution antivirale complète. Il peut être appelé dans de nombreux contextes ”, précise Anthony Mercatante, consultant sécurité chez Linagora. Concrètement, cela signifie que s'il est envisageable d'installer ClamAV tel quel sur un poste de travail ou un serveur, c'est surtout en l'intégrant à une autre solution, afin d'y apporter une brique de filtrage antiviral transparente, qu'il trouvera toute sa dimension. Car aucun produit commercial ne pourra rivaliser sur ce terrain sans un partenariat spécifique.

Pour le reste, l'usage de ClamAV en production est essentiellement concentré sur les passerelles. “ Il ne propose pas d'analyse en temps réel sous Windows. Et sous Linux elle n'est pas triviale à obtenir ”, prévient Anthony Mercatante. Ce n'est donc pas réellement une solution viable sur le poste de travail. Et de fait, les déploiements en entreprise le sont généralement à la périphérie, que ce soit adossé à un proxy (Squid, par exemple) ou sur le relais SMTP (Postfix, Sendmail…). “ D'une manière générale, ClamAV sera facile à intégrer à une autre solution open source ”, poursuit Anthony Mercatante. Et il n'est pas rare de le trouver également en frontal d'un antivirus commercial destiné à la messagerie. “ C'est une autre limite de ClamAV : il ne supporte ni Microsoft Exchange ni Lotus Note, qui nécessiteront alors une solution commerciale spécifique ”, prévient le consultant. En revanche, il est parfaitement intégrable à des groupwares libres tels Zimbra et OBM (édité par Linagora).

Les mises à jour de la base de signatures ne font pas, elles, pâle figure face à la réactivité des éditeurs commerciaux. Elles sont disponibles dans l'heure. ClamAV bénéficie, en outre, d'un vrai processus de validation des signatures. Et, contrairement à la concurrence commerciale, le format ouvert des signatures permet à l'utilisateur d'écrire ses propres signatures en cas de besoin spécifique, ou d'intégrer des signatures non-officielles (codes malveillants particuliers, etc.) disponibles sur internet. Dernier avantage, sur Linux, le processus de mise à jour de la base de signatures peut être intégré à celui du système d'exploitation.

Il reste que sans analyse en temps réel et sans moteur heuristique, ClamAV ne peut rivaliser sur le poste de travail avec l'offre commerciale concurrente. Certes, le projet libre Moonsecure, basé sur ClamAV, développe actuellement un moteur heuristique. Mais son impact ne pourra qu'être mineur face à une concurrence propriétaire qui affine le sien depuis deux décennies.

Le chiffrement

La proposition open source, en matière de chiffrement, est importante, avec notamment OpenSSL comme héraut. Pour le poste de travail, deux solutions sortent du lot : Truecrypt, multi-plate-forme, sur Linux, Windows et Mac OS et dm-crypt sur Linux. “ Les fonctions de chiffrement de dm-crypt sont intégrées au noyau, tandis qu'on trouve toutes sortes d'interfaces côté utilisateur pour accéder au système de fichiers. Et il sait aussi utiliser les clés PGP ”, déclare Olivier Dembour, consultant sécurité chez HSC.

Les deux solutions facilitent le chiffrement de partitions entières – y compris la partition de démarrage – et d'utiliser des disques chiffrés virtuels. Il s'agit alors de vulgaires fichiers aisés à manipuler (déplacer, sauvegarder) qui, une fois montés par l'outil de chiffrement, agissent exactement comme un disque externe, avec un chiffrement-déchiffrement à la volée. Des deux, Truecrypt est celui à préférer pour une utilisation sur le poste de travail : outre son caractère multi-plate-forme, il se télécharge, s'installe et se met à jour comme tout autre logiciel (rien à activer le cas échéant dans le noyau) et permet très facilement de chiffrer intégralement une clé USB ou tout autre média externe. D'ailleurs, contrairement à beaucoup de clés USB commerciales dites sécurisées, le chiffrement ne dépend pas, ici, d'un exécutable présent sur la clé : la totalité de son système de fichiers est chiffrée par Truecrypt, et accessible à l'aide de n'importe quelle autre installation de Truecrypt.

Du point de vue de la qualité du chiffrement, les deux mettent en œuvre des algorithmes reconnus tels AES ou Blowfish, et leur implémentation n'a jusqu'à présent pas été mise en défaut (et demeure accessible, code ouvert oblige). Ils feront donc jeu égal avec les solutions commerciales en matière de robustesse.

Il manque toutefois une brique essentielle à ces solutions pour un usage en entreprise : la gestion centralisée des clés. “ Le chiffrement libre sur les postes de travail sera le plus souvent une initiative locale et individuelle, tandis que les produits commerciaux vont d'emblée proposer l'intégration à un annuaire Active Directory ou LDAP et gérer les clés de recouvrement de manière globale et transparente ”, prévient Olivier Dembour.

Ce type de lacune devrait progressivement disparaître au fur et à mesure que les offres open source gagneront en légitimité et s'imposeront plus souvent en tant que solutions fédératrices.

Les offres du marché

agrandir la photo