Cyril Voisin, Chef du programme sécurité chez Microsoft France, a répondu à nos questions lors d'un entretien aux TechDays 2011. Toutes les problématiques et tendances actuelles de la sécurité informatique ont été abordée, avec des réponses toujours pointues et pertinentes, bien que "vulgarisées" et compréhensibles, comme Cyril sait si bien le faire.
Katleen Erna : Cette année est placée sous le thème du cloud, que pensez-vous de cette technologie ?
Cyril Voisin : Je pense que c'est un mouvement de fond et une véritable opportunité, aujourd'hui une petite entreprise ou une PME peut se payer quasiment instantanément l'informatique des plus grandes entreprises, il y a cette possibilité d'avoir ces ressources quand vous en avez besoin. Il y a des utilisation très ingénieuses qui en sont faites, par exemple, une start up spécialisée dans l'étude des corrélations entre les achats. Le vendredi soir, on voit que les couches de bébés sont souvent vendues avec de la bière parce que ce sont les papas qui vont faire les courses, etc. Ils sont capable de déterminer des tas de corrélations s'ils ont la puissance de calcul nécessaire. Ou alors pour gérer les périodes de transition, par exemple quand un grand groupe achète une nouvelle société, la technologie lui permet de gérer la messagerie dans le cloud en attendant qu'elle soit ré-internalisée.
K. E. : Pour rentrer plus dans le sujet de la sécurité informatique, plusieurs sondages montrent que la réticence numéro 1 des entreprises à adopter le cloud computing est la sécurité. Que pouvez-vous nous dire à ce propos ?
C. V. : Effectivement, l'une des réticences numéro 1, c'est la sécurité. Le cloud computing est assuré par des fournisseurs dont les moyens sont souvent sans commune mesure avec ce que les entreprises ont. Ils sont capable de se payer des spécialistes et des infrastructures. Au niveau de la disponibilité, ils font des choses que personne ne peut faire aujourd'hui en entreprise. L'alimentation électrique des datacenters est optimisée, la réplication des données est souvent bien mieux que ce que l'on a en entreprise aujourd'hui, par exemple sur Windows Azure, les informations sont répliquées trois fois dans trois endroits différents dès qu'elles sont stockées. La tolérance aux différentes pannes est intégrée au sein même du système d'exploitation Windows Azure, donc quand vous voudrez y déployer une application, son exécution se fera dans des zones différentes du data center, de telle sorte que les deux zones ne puissent pas être en panne en même temps. Enfin, à propos de l'intégrité, cela reste du domaine du développeur. C'est à lui de décider qui pourra modifier quoi.
Il y a aussi la garantie des certifications des fournisseurs de cloud.
Une fois qu'on a dit cela, on peut rajouter que ce n'est pas adapté pour tout. Par exemple, si vous fabriquez de l'armement, vous n'avez pas envie que vos données soient stockées dans un autre pays. Et l'intérêt du cloud computing, c'est aussi un intérêt économique, et pour ça il faut que le cloud se fasse dans de grands datacenters, qui ne peuvent pas être dans chaque pays et dans chaque ville. Par exemple, dans le cas de Microsoft, les datacenters sont à Dublin et à Amsterdam pour l'Europe. Si votre réglementation vous interdit de placer des données hors de France, c 'est rédhibitoire. Là, vous ferez du cloud privé.
Donc, pour en revenir à votre question, quand on parle de réticence à propos du cloud, c'est souvent de la réticence vis-à-vis du cloud public.
K. E. : Pour la confidentialité et l'intégrité des données, vous dites que c'est au développeur de faire sa petite cuisine. Quels conseils lui donneriez-vous ?
C. V. : La base, c'est de faire du contrôle d'accès. Et la plateforme est là pour aider le développeur vis à vis de cela. Toutes les composantes ACS dans Windows Azure sont faites pour ça
K. E. : Les menaces ciblant le cloud vont-elles devenir de plus en plus fréquentes ?
C. V. : Oui c'est évident, car le cloud est basé sur le regroupement de ressources qui sont mutualisées et ensuite revendues en collocation au entreprises et autres utilisateurs, ce qui en fait une cible très intéressante pour les criminels. C'est évident qu'il y aura des tentatives et peut être même des succès puisque la perfection n'existe pas, et c'est là où l'analyse de risque faite en amont prends tout son sens.
K. E. : 2011 verra-t-elle une augmentation des menaces sur les systèmes mobiles, comme on l'observe déjà depuis plusieurs mois ?
C. V. : La réalité aujourd'hui c'est que tous ces objets (smartphones, tablettes, etc.) très petits et pourtant bourrés de fonctionnalités sont assez en retard en terme de sécurité par rapport aux ordinateurs. Cela fait d'eux des cibles intéressantes : ils manipulent les mêmes types de données, ils ont des capacités de stockage qui sont loin d'être négligeables, ils sont de plus souvent liés à des moyens de paiement, donc ça peut être intéressant de les attaquer. Ce ne serait donc pas idiot de penser que les attaques à leur encontre vont augmenter.
K. E. : La sécurité dans ce domaine sera-t-elle renforcée ?
C. V. : Bien entendu, les éditeurs devront faire évoluer les solutions, mais le retard aujourd'hui est quand même très grand par rapport aux ordinateurs. Et les entreprises ont tendance à transiger et à dire "c'est moins sécurisé mais c'est pratique et ça permet de nouveaux usages pour les utilisateurs", du coup, elles acceptent cette baisse de sécurité. Mais je pense qu'elles ne l'accepteront pas indéfiniment.
K. E. : Que peut-on mettre en place pour y remédier ?
C. V. : Déjà, il faut décider quelles données vont arriver sur le mobile ou non, par exemple ses contacts ou son calendrier, qui sont souvent synchronisés. Par exemple, avec Exchange Active Sync, si le périphérique ne sait pas faire de chiffrement, alors on peut choisir de ne pas recopier les données que l'on juge sensibles sur le périphérique, etc.
On peut aussi effacer les informations à distance en cas de perte ou de vol, créer des VPN, etc. Il y a un panel de solutions large, mais encore peu répandus.
K. E. : Quels bilans et perspectives tirez-vous de la stratégie de sécurité de Microsoft ?
C. V. : J'ai abordé ce point en session hier. Le bilan portait sur la télémétrie dont dispose Microsoft pour regarder quels sont les virus et les attaques qui existent aujourd'hui, et où se trouvent les vulnérabilités, chez Microsoft mais aussi chez les autres éditeurs.
De nos jours, on voit de plus en plus de virus et de malwares qui cherchent à faire de l'argent. Ce que l'on a vu apparaître de manière très significative, ce sont les botnets, on a ainsi nettoyé deux fois plus de machines zombies entre avril et juin 2010 qu'un an auparavant, et ça représente 6.5 millions de machines.
On remarque aussi que la plupart des incidents de sécurité ne sont pas liés à des attaques, mais à de la négligence.
Ensuite, sur les perspectives d'avenir, j'ai dégagé trois composantes qui sont des tendances importantes de ces dernières années et qui influent sur la vision qu'on a de la sécurité. La première est la repérimétrisation, soit le fait que le modèle du château fort avec des pare-feu qui le séparent de l'Internet est complètement obsolète. L'ordinateur n'est plus seulement interne à l'entreprise, il en sort. On doit donc considérer qu'il est en permanence connecté à un réseau hostile, et si le réseau ne l'est pas, c'est tant mieux, on est déjà préparés pour le pire, et tout se passera bien au sein de l'entreprise.
La seconde, c'est la consumérisation : aujourd'hui, les usages naissent chez le grand public, c'est lui qui a en premier adopté les iPhones, les iPads, Facebook, etc. Et les utilisateurs veulent aujourd'hui que les usages en entreprise s'adaptent et qu'ils soient pareils. Il faut donc être capable d'intégrer ces nouveaux usages à la sécurité d'entreprise, en prenant ce qui est bon dedans, mais sans ouvrir la porte à toutes les dérives. Par exemple : les tablettes ne savent pas faire de chiffrement, donc il ne faut pas y mettre d'informations sensibles.
Enfin, la troisième est le cloud computing, dont nous avons déjà parlé.
K. E. : Que pensez-vous des outils et ressources gratuites en sécurité informatique ? Sont-ils assez performants pour les particuliers ? Et pour les entreprises ?
C. V. : Le payant va offrir des fonctions qui vont au delà de l'anti-malware, mais à titre personnel j'estime que notre solution gratuite Microsoft Security Essentials est largement suffisante, associée à l'application des mises à jour de sécurité. Il faut maintenir à jour tout ce qu'il y a sur votre PC. Il faut aussi avoir un pare-feu activé. Avec tout ça, et une logique de prudence, on est bien protégé.
Pour une entreprise, Security Essentials ne peut pas être utilisé au delà de dix postes. Dans une entreprise, on va souvent aller dans une logique d'administration. Dans l'exemple de l'antivirus, on a une offre cloud : Windows InTune. C'est génial, l'antivirus de Microsoft Security Essentials est descendu dans votre poste, on peut aussi détecter toutes les mises à jour qui vous manquent et remonter cela dans une console qui se situe dans le cloud, qui va permettre de décider si on déploie ou non ces mises à jour sur votre ordinateur. Et cela peut être valable pour un parc de 100 machines, et tout sera centralisé. Mais ce n'est pas gratuit.
K. E. : Que pensez-vous de la fonction de protection de la navigation sur Internet Explorer 9 ?
C. V. : C'est absolument fondamental. Il s'agit plus du domaine du respect de la vie privée, mais c'est placé au même niveau que la sécurité par Microsoft. C'est très important pour Microsoft que les utilisateurs aient le choix, et le droit d'être laissés tranquilles.
K. E. : De plus en plus de personnes se plaignent "d'intrusions" dans leur vie privée. Les composants de la Toile sont-ils davantage intrusifs maintenant, ou bien est-ce que l'on s'en rendait moins compte avant ?
C. V. : Je ne sais pas, ce qui est sur c'est qu'il y a tout un tas de services aujourd'hui gratuits sur Internet dont le modèle économique c'est de vous afficher de la publicité, et pour cela ils doivent savoir qui vous êtes pour mieux vous cibler. Mais c'est paradoxal car les gens ont tendance a publier de plus en plus d'informations sur eux, via Twitter ou Facebook, des choses de l'ordre de l'intime. C'est ça le paradoxe de notre époque : on veut ces services gratuits en acceptant d'échanger une part de notre vie privée contre eux, on publie des choses très personnelles qui pourront potentiellement être vues par tout le monde, et en même temps on souhaite garder notre petite parcelle de tranquillité.
K. E. : Est-ce une erreur de placer les firewalls en amont des serveurs ? Des chercheurs expliquent que cela favoriserait les attaques DDoS.
C. V. : C'est comme dès lors que vous faites une mesure, vous perturbez l'écosystème de l'objet étudié. Là, vous essayez de protéger quelque chose et vous allez introduire des inconvénients. Dans un monde idéal, on aurait des applications qui savent elles-même se protéger. La réalité c'est que souvent on préfère mettre devant elles un proxy qui va les publier et s'assurer qu'un certain nombre de paramètres sont corrects. Pour moi, ce n'est pas une erreur mais une bonne pratique, que je ne vois pas changer, sauf si on va vers une meilleure utilisation du développement sécurisé. Et rien n'empêche d'avoir un déni de service si on enlève le pare-feu.
K. E. : Que pensez-vous de nouvelles techniques comme la biométrie pour l'authentification ?
C. V. : C'est un sujet intéressant car il est très polémique. Un point important, c'est que la biométrie est quelque chose de personnel, mais pas de privé. C'est quelque chose de public. Tout à l'heure je suis allé me servir un verre d'eau, j'ai touché le verre, il y a donc mes empreintes sur ce verre. Pour moi, la biométrie est un facteur dans l'authentification, mais ça ne peut pas être le seul. Il faut toujours combiner la biométrie, plus autre chose.
K. E. : Comment faire un combo parfait alors ?
C. V. : Une carte à puce, ou un mot de passe, et une vérification d'empreinte. Mais jamais les empreintes seules. Car il faut se méfier, actuellement la plupart des lecteurs sont assez facile à tromper. Il y a quelques années, une technique avait été utilisée : avec de la gélatine pour faire des bonbons comme les nounours, on recréait des empreintes relevées sur un verre, et le capteur n'y voyait que du feu.
K. E. : Mais il y a pourtant des capteurs qui détectent la chaleur, etc.
C. V. : Oui, mais ce n'est que de la physique. Et les paramètres physiques, ça se recrée. Chez Microsoft, la sécurité pour le cloud repose beaucoup sur la sécurité physique de nos datacenters, et notre politique c'est de faire en sorte que les gens n'aillent pas vers les serveurs. Ils peuvent les administrer à distance, et si jamais le contact s'avère nécessaire, il y a un contrôle d'accès biométrique qui est basé sur l'utilisation complète d'une main, et des mesures perfectionnées, comme par exemple la forme de la paume, ou carrément le réseau sanguin à l'intérieur de la main. Et ça, c'est beaucoup plus difficile à contrefaire.
K. E. : "Les exploits sur Java ont dépassé ceux ciblant les produits Adobe en 2010", nous apprenait le bilan annuel de Cisco. Pourquoi les attaquants ont-ils en masse abandonné le PDF pour se focaliser sur Java ?
C. V. : Je n'en ai pas entendu parler, et je ne vois aucune particularité en Java qui expliquerait une telle augmentation. Nous-même, on a pu lire par Symantec que le PDF était le format le plus attaqué.
K. E. : Un mot pour les développeurs ?
C. V. : Je les invite à venir découvrir la méthode SDL pour le développement sécurisé qui vient de sortir en mode Agile. Ce qui est très important avec la sécurité, c'est qu'elle n'arrive pas par hasard. On y pense dès le début, on y pense au milieu quand on travaille, et on y pense à la fin quand on livre le projet. Chez Microsoft, on a un processus obligatoire pour prendre en compte la sécurité quand on crée un logiciel, c'est le SDL. Quand on a voulu adapter cette méthode là au cloud computing, qui n'est pas un cycle où on sort un produit tous les trois ans comme pour Windows par exemple, on est davantage dans des méthodologies Agile. Il est désormais possible de faire du SDLA, dans lequel il y a un certain nombre de pré-requis qu'on va faire à chaque sprint, il y a un certain nombre de choses qu'on ne va faire qu'une seule fois au démarrage du projet, et puis des buckets : on viendra piocher une activité de sécurité à faire à chaque sprint, et on fera une activité différente au sprint suivant, ce qui permet de s'assurer qu'on aura fait toutes les activités dans le cour de l'année, mais qu'à chaque nouvelle version livrée, on n'aura pas nécessairement tout refait. C'est ce qui fera la différence entre un logiciel qui par nature dans le cloud est très exposé et qui sera sécurisé, et un logiciel qui ne le sera pas.
Oui l'échange est "sécurisé" mais les extrémités communicantes le sont-elles pour autant ? Côté serveur, on a une maîtrise de l'environnement mais côté client, ça peut vite devenir une horreur.