Actualités
|
 |
Emploi
|
|
Start-up
|
|
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||||||
À quand la fin du périmètre de sécurité ?
par mail
l'article
C'est en 2005 que le forum Jericho, un groupe de réflexion consacré à la sécurité, a mis les pieds dans le plat du contrôle périmétrique – habituellement effectué à la périphérie des réseaux pour l'accès au SI. En conseillant d'en finir avec une vision purement centrée sur le pare-feu (“ Moving away from the Firewall-Centric view ”), ce groupe tentait alors de promouvoir la défense en profondeur dans l'entreprise. L'objectif, de bon sens, consiste à ramener la sécurité au plus proche des ressources plutôt que la concentrer à la périphérie du réseau. La notion, en soi, n'a rien de nouveau et s'inscrirait presque dans les gènes des spécialistes de la sécurité, pour lesquels une bonne défense du SI est une défense en profondeur.
Oui, mais voilà, il y a quatre ans, il était un peu tôt pour parler de cela. L'accès distant était, certes, déjà une préoccupation des responsables sécurité, mais personne n'avait vraiment envie de bouleverser l'existant (pare-feu, VPN-IPSec et authentification Radius). Les choses auraient-elles actuellement changé au point que la vision du forum Jericho devienne une réalité ?
Assurer le chiffrement et la sécurité des PC
Pas encore, si l'on en croit Cédric Blancher, responsable du laboratoire de sécurité informatique chez EADS Innovation Works, également auteur d'une présentation consacrée à la dépérimétrisation lors de la conférence SSTIC 2008. “ Le changement essentiel a eu lieu avec l'avènement des applications web et des tunnels SSL. Mais, du point de vue du réseau, rien n'a changé. On a simplement troqué des liens IPSec contre des liens SSL, et c'est tout ”, affirme le chercheur. C'est-à-dire que l'architecture du réseau est demeurée la même et repose encore sur les mêmes points de contrôle et sur une liberté de circulation sur les réseaux LAN. “ La dépérimétrisation exige deux prérequis : assurer le chiffrement et garantir la sécurité des postes de travail. Ces deux chantiers sont loin d'être achevés dans les entreprises ”, poursuit Cédric Blancher.
Au lieu de parler de dépérimétrisation, il serait toutefois peut-être plus adéquat de chercher à repérimétrer. “ L'idée serait plutôt de s'affranchir des contraintes physiques pour créer des réseaux plutôt logiques ”, lance Cédric Blancher. Le réseau physique serait alors entièrement à plat, débarrassé de ses multiples LAN et autres translations d'adresses (NAT), et chaque nœud pourrait contacter n'importe quel autre nœud. La sécurité viendrait alors se greffer au-dessus de la couche de transport afin de créer des “ communautés ” spécifiques (d'utilisateurs, de ressources, etc.). “ C'est une approche qui est déjà mise en œuvre par des outils tels que LogMeIn (Hamachi) : un VPN en peer to peer qui aide à relier des machines entre elles à travers internet comme si elles étaient sur le même brin réseau. Toutes les ressources sont visibles à partir du moment où l'on peut se connecter au nuage ”, précise pour sa part Cédric Blancher.
Vers un réseau sans périmètre physique
Une telle vision n'est toutefois guère envisageable avec l'actuel adressage IPv4, trop fragmenté, éclaté en de multiples sous-réseaux isolés derrière des translations d'adresses NAT. “ IPv6 permettra de s'affranchir du réseau physique en facilitant le chiffrement de bout en bout et en simplifiant le routage ”, approuve le chercheur. Un réseau “ sans périmètre physique ” serait alors totalement libre d'accès, ouvert, y compris à ses bornes d'accès Wi-Fi. Ce n'est qu'une fois authentifié par certificat que des liens VPN se créeraient pour accéder aux ressources demandées, en fonction des politiques d'accès définies pour ces dernières.
Dans un tel scénario, bien entendu, difficile de se passer d'authentification forte : il faut de quoi stocker les certificats de manière sécurisée et, surtout, les gérer. “ Cela implique de disposer d'une PKI. Mais dès que l'on parle d'entreprise étendue, on arrive toujours à la notion de PKI ”, constate Cédric Blancher. Et si l'on doit ajouter la PKI comme autre prérequis à la dépérimétrisation, cette dernière pourrait encore se faire attendre.
Le SMS à la rescousse de l'authentification forte
L'un des freins au déploiement massif de l'authentification forte est la nécessité de remettre des dispositifs physiques aux utilisateurs. Qu'il s'agisse de carte à puce, de jetons, de calculettes ou de clés USB, cela représente un coût non négligeable si l'on souhaite le déployer à grande échelle. Il existe pourtant un dispositif déjà largement diffusé auprès des utilisateurs : le téléphone mobile GSM. C'est le constat qui a poussé le marché à proposer des systèmes d'authentification forte à base de SMS. Concrètement, au lieu d'entrer un code spécifique affiché sur l'écran d'une calculette (de type RSA SecurID), l'utilisateur reçoit ce même code par SMS après une première authentification simple sur le portail d'accès. Il associe alors ce code avec son propre code PIN afin de s'authentifier. L'usage d'un second canal séparé renforce considérablement la sécurité de la procédure, et à moindre coût.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM