novembre 2008

C’est à mon tour de vous présenter Daniel avec qui j’ai travaillé pendant de longues années.

Daniel Fages :

Daniel est ingénieur INSA de Lyon comme David et moi et a effectué l’ensemble de sa carrière dans le domaine de la sécurité. Techniquement, nous sommes complémentaires : Daniel est capable d’inventer, de définir et d’expérimenter des solutions techniques innovantes et je suis capable de stabiliser et de rendre production-ready cette créativité débordante. Il est visionnaire et sait dans quel sens la technologie et les besoins vont évoluer.

Après être entré en 1997 chez IBM en tant que consultant dans les domaines de la sécurité et d’Internet, il se lance en 1999 dans le développement d’une technologie innovante de firewall applicatif conjuguant sécurité et performance. C’est ainsi qu’il a créé la société Arkoon avec 3 autres associés et a mis au point la technologie brevetée FAST (Fast Applicative Shield Technology), qui constitue aujourd’hui le coeur de la gamme des appliances UTM FAST360.

Au sein d’Arkoon, il sera directeur technique, CTO et membre du comité de direction de l’entreprise de 1999 à 2008. Daniel est l’un des principaux artisans du succès reconnu d’Arkoon et de son statut de leader français de l’édition de logiciels de sécurité pour les entreprises.

A quelques semaines du lancement de commonIT, il est temps de nous présenter. Qui sont les fondateurs de commonIT ? Nous sommes 4 : Daniel Fages, Albino Pili, Mathieu Lafon et moi-même, David Dupré… Mais quel est notre parcours ? pourquoi sommes nous associés ?

Mes chers associés, je suggère que chacun d’entre nous présente l’autre dans un post. Je commence avec Mathieu, à vous de prendre le relais…

Mathieu Lafon :

Mathieu est (comme Daniel et moi) ingénieur INSA de Lyon et a commencé sa carrière en rejoignant Arkoon durant l’été 2000. Si je devais le décrire en 1 phrase je dirai qu’il est capable de développer en 1 journée ce que la plupart des développeurs font en 1 semaine… Ou ce que je dois pouvoir développer en 1 an !

En tant que lead developer, il a participé activement à la conception et au développement de la technologie FAST qui est au coeur des appliances Arkoon et dont il est reconnu co-inventeur avec Daniel Fages par le brevet qui a été développé. Au sein d’Arkoon, Mathieu a participé à la création et à la direction d’une équipe de veille en sécurité. Je considère Mathieu comme un excellent expert en sécurité informatique. Il a parfaitement étudié et analysé les différentes menaces, en particulier celles liées au web et a contribué au cours des dernières années à la découverte de plusieurs failles de sécurité majeures. Mathieu est également un contributeur de la communauté open source.

Le mois de Novembre 2008 aura vu son lot de vulnérabilités critiques corrigées dans la plupart des navigateurs du marché. Parmi les plus impactés, on retrouve Safari et Firefox :

• La version 3.2 de Safari totalise pas moins de 11 vulnérabilités pouvant mener à de l’exécution de code, du déni de service ou de la divulgation d’information. Un filtre anti-phishing et le support des certificats EV a également été ajouté en réponse aux critiques de PayPal.
• Firefox 3.0.4, pour sa part, corrige 9 vulnérabilités dont 4 jugées critiques : dénis de service, exécution de code, élévation de privilèges et vol d’information sont au rendez-vous. Pour les utilisateurs de Firefox 2, la version 2.0.0.18 reprend ces correctifs.

Les produits des autres éditeurs sont moins impactés mais on retrouve des versions correctives de la part de :

• Microsoft publie un correctif de sécurité critique (MS08-069) qui corrige des vulnérabilités dans Microsoft XML Core Services : exécution de code à distance et divulgation d’information. A noter que la mise à jour permet désormais de protéger les cookies HttpOnly d’une lecture par un objet XMLHTTPRequest, une protection de plus contre les attaques XSS.
• Google Chrome corrige une vulnérabilité pouvant permettre l’envoi de fichiers à l’extérieur. A noter que la correction est pour l’instant uniquement disponible sur la version pour les developpeurs.
• Opera sort la version 9.62 qui corrige une exécution à distance de code.

Après tout cela, si vous souhaitez en savoir plus sur la virtualisation du navigateur et le cloisonnement des sessions : www.commonit.com.

La vie est-elle un éternel recommencement ? je n’en suis pas certain, mais l’informatique peut-être. C’est en tout cas ce qu’on peut se demander quand on voit l’émergence de nouvelles architectures centralisées qui nous ramènent à une autre époque : Les applications sur des serveurs mutualisés et les postes de travail devenant (redevenant ?) de simples terminaux de connexion à ces applications… Serait-ce le retour des terminaux passifs, voire de l’architecture Minitel ? Le Minitel 2.0 !!

Au-delà de cette idée amusante on voit se dessiner, sur fond de mobilité, de virtualisation, de web 2.0 et de saas, l’informatique des 10 prochaines années, faite de nouveaux usages, de nouveaux modèles économiques et de nouvelles architectures techniques.

A terme, l’infrastructure IT des entreprises sera composée de datacenters virtualisés, d’applications hébergées dans l’entreprise ou chez des éditeurs et fournisseurs de services (CRM, ERP, outils collaboratifs, E-administration …), de postes réduits à leur plus simple expression et capables de se connecter depuis n’importe quelle connexion (wifi, 3G, etc…).

Cette vision, partagée par de nombreux observateurs et analystes, semble être une évolution naturelle qui a commencé et qui devrait s’accélérer, pour les opportunités qu’elle laisse entrevoir :

• Les utilisateurs deviendront des usagers de l’informatique et n’auront pas besoin d’être experts
• Les entreprises auront moins besoin de compétences internes et pourront s’appuyer sur des spécialistes
• La disponibilité des applications sera améliorée grâce à leur consolidation chez des hébergeurs qui offriront des garanties de services (SLA)
• L’infrastructure sera évolutive et son coût variable. La charge supportée et les dimensions de l’infrastructure seront modulables avec l’activité
• La mobilité et le télétravail seront favorisés ce qui sera bénéfique pour la productivité mais aussi pour l’écologie (en limitant les déplacements inutiles et en optimisant les consommations énergétiques dans les datacenters)

Si je force volontairement le trait du coté optimiste, il faut malgré tout rester lucide sur le fait que, à ce stade, il existe 2 freins à cette évolution :

1. Le développement des réseaux haut débit. Il faudra que les utilisateurs nomades aient un accès où qu’ils se trouvent. Toutefois, ce problème disparait peu à peu car on arrive à un maillage très complet de la part des opérateurs, chez les particuliers comme dans les entreprises ou les lieux publics.
2. La sécurité. Il faudra résoudre la question de la confiance dans l’externalisation des applications et des données. Il faudra résoudre la question des risques liés aux vulnérabilités des navigateurs web qui deviennent le talon d’Achille de l’architecture et la cible numéro 1 des cybercriminels.

C’est pour aider au développement de ces nouveaux usages que commonIT s’est donné pour mission de décharger les utilisateurs du web des contraintes liées à la sécurité et la mobilité.

C’est le sens de notre “Stress-free internet”

Cette semaine, nous avons profité de la tenue du salon Infosecurity à Paris (Porte de Versailles cette année) pour planifier un grand nombre de rendez-vous avec des clients et partenaires potentiels, journalistes et analystes de notre domaine.

Il s’agissait ici de valider auprès du marché, notre vision, notre discours et notre solution “Virtual Browser”. Et, à notre grande joie, absolument TOUS les retours que nous avons eu ont été très positifs : un certain nombre de maquettes sont d’ores et déjà à prévoir chez des prospects ; les journalistes et analystes nous ont confirmé qu’il y a actuellement une vraie prise de conscience des risques liés au navigateur web et que les éditeurs doivent prendre la mesure de cette problématique nouvelle en proposant des solutions (citons Solange Belkhayat-Fuchs de cnis-mag qui estime que “L’année 2009 sera l’année du navigateur Web”). C’est une bonne nouvelle !

Nous avions quelques craintes quant au fameux “Time to market” - n’arrive-t-on pas un peu tôt avec notre solution “Virtual Browser” ? Ces deux jours nous ont démontré que nous avons bien un coup d’avance mais que le timing est parfait. Bref, une première série de contacts très prometteurs…

Il y a quelques mois, Checkpoint/ZoneAlarm a lancé ForceField, une solution de sécurité du navigateur virtualisée. Quand on examine le descriptif produit, on lit:

“ZoneAlarm Forcefield fournit une couche de protection autour de votre navigateur, vous protégeant ainsi des téléchargements invisibles de type “drive-by downloads”, des exploitations du navigateur, des tentatives de phishing, des logiciels espions et des enregistreurs de touches. Ainsi vos mots de passe, vos informations confidentielles et vos données financières restent protégés.“

Et d’affirmer présomptueusement que “Rien n’égale la protection que vous apporte ZoneAlarm ForceField“….

Cela paraît très prometteur et semble une très bonne réponse aux problémes de sécurité du navigateur. Mais la réalité semble tout autre… pour preuve citons cet excellent article paru dans InfoWorld et qui montre qu’il a fallu moins de 60 secondes à Robert Grimes pour contourner la protection de ForceField. Et cela n’est pas très étonnant ; en effet, c’était déjà le cas avec le produit GreenBorder (depuis racheté par Google) lors d’un test mené il y a quelques années. Ce n’est pas très étonnant parce que ce n’est pas l’implémentation de la technologie de “sandbox” qui est en cause mais plutôt l’approche même de sandbox. D’ailleurs, les experts de Checkpoint/ZoneAlarm le reconnaissent eux-mêmes : pour atteindre un niveau de sécurité satisfaisant, il est nécessaire que le système sous-jacent soit à jour et sécurisé !!! Où est donc la virtualisation là dedans ? L’intérêt de rajouter une couche de sécurité supplémentaire sur le poste de travail s’en trouve ainsi bien limité…
Alors, quelle solution ? Un VRAI navigateur virtuel qui s’exécute VRAIMENT dans un environnement d’exécution distinct et qui n’a absolument pas besoin d’un poste à jour et sécurisé pour permettre à l’utilisateur de surfer en toute tranquillité.

Je ne suis pas un grand fan des analogies quand on parle d’informatique. Moi qui suis un homme de marketing, j’admets qu’elles ont des vertus pédagogiques et permettent de faire passer des idées qui en matière de nouvelles technologies sont assez difficiles à comprendre. Mais en même temps je leur reproche une tendance à la vulgarisation qui, en tirant les concepts par les cheveux, finit parfois par en retirer la force… Mais puisque commonIT est née d’une innovation technologique que nous destinons au plus grand nombre, une fois n’est pas coutume, je me risque à une analogie :

A Lyon, pas loin de notre siège, a ouvert un centre unique au monde, appelé IWAY dans lequel on peut piloter des formules 1 dans un simulateur si performant que même les pilotes professionnels sont bluffés. Le parallèle avec commonIT et notre produit Virtual Browser est intéressant. Imaginez que vous conduisez une formule 1 dans un simulateur si réaliste que tout se passe comme sur un vrai circuit : vous allez aussi vite, vous avez les mêmes sensations, vous bénéficiez des mêmes technologies, de la même sécurité… Mais si vous avez un accident, vous ne risquez rien, vous redémarrez la course et la partie recommence. Remplacez le circuit par Internet, la formule 1 par un navigateur, l’accident par une attaque informatique et vous comprenez le concept de Virtual Browser : garantir que vos données et vos applications ne risquent rien, même en cas d’attaque.

Parmi les nombreuses discussions qui ont contribuées à la genèse de commonIT, il en est une que Daniel et moi avons eue il y a quelques temps en regardant de près le développement du Web 2.0 qui apportait à peu près autant de nouvelles fonctions que de problèmes de sécurité. Les échanges P2P, les messageries instantanées, les réseaux sociaux, etc… Tout conduisait au même constat : le poste de travail et ses données sont connectés à des applications complexes que les produits existants sont incapables de contrôler correctement. Aucune solution de sécurité n’est fiable à 100%. Tous les éditeurs vous le diront, une solution de sécurité a une obligation de moyen, pas de résultat. Et c’est bien là le problème. Avec le développement exponentiel des nouvelles technologies d’Internet, les moyens à mettre en oeuvre deviennent disproportionnés au regard des résultats. Au cours de cette discussion nous avons cherché à prendre le problème à l’envers de ce que veulent les conventions de notre domaine : Plutôt que de penser à un énième logiciel (anti-virus, anti-spyware, anti-spam, anti-phishing, anti-ce-que-vous-voulez qui serait venu surcharger des produits de sécurité et des postes de travail déjà étouffés par des fonctions plus ou moins efficaces) nous avons remis en cause l’architecture des logiciels de sécurité eux-mêmes. Nous avons imaginé qu’il soit possible d’inventer un produit dont l’architecture garantirait à 100% la sécurité des postes connectés aux applications web.

Un peu plus tard (et environ 10 ans après qu’il ait conçu une architecture qu’IDC appelera UTM - Unified Threat Management), Daniel inventait Virtual Browser, une solution sécurisée nativement, par son architecture. Virtual Browser est un navigateur web qui ne s’exécute pas sur le poste de travail, mais sur un serveur isolé, seuls l’affichage et le son arrivent sur le poste. Le code est éxécuté dans un environnement isolé. Par construction, l’architecture de Virtual Browser garantit que si, malgré le haut niveau de sécurité de la solution, une attaque n’est pas bloquée, les applications, les données et l’ensemble du réseau ne risquent rien. Virtual Browser est la première solution “secure by design”.

Lorsque vous naviguez sur Internet, votre navigateur va automatiquement ou sur votre demande aller récupérer des pages web, photos ou vidéos aux quatre coins du monde. C’est ce qui a fait la force d’Internet et que les sites Web 2.0 utilisent à outrance pour offrir la meilleur expérience utilisateur possible.

A côté de cela, on peut légitimement se demander si le navigateur n’est pas un peu trop crédule dans cette course au liens. Si un site Chinois référence des images présentes sur votre Intranet ou charge une partie du site de votre banque dans sa page, cela ne génera nullement votre navigateur. Et vous ?

Dans le jeu du chat et de la souris qui oppose les pirates et chercheurs en sécurité aux développeurs et mécanismes de protection, l’avantage est actuellement dans le camp du chat. Alors que le Web n’a jamais été aussi développé et utilisé à des fins commerciales, de nombreux problèmes de sécurité noircissent toujours le tableau :

• XSS (Cross-Site Scripting) : Une vulnérabilité dans un site web permettant de faire executer du code externe en contournant la protection de ‘same origin policy‘. Peut servir à voler les cookies de session d’un utilisateur.
• CSRF (Cross-Site Request Forgery) : Un manque de contrôle dans un site web pouvant être utilisé pour faire executer des actions (envoi d’email, modification de mot de passe, …) par un utilisateur à son insus. Il y a quelques semaines, une étude a révélé que certains sites majeurs comportaient ce genre de vulnérabilités. Le site de la banque INGDirect pouvait en particulier être utilisé pour réaliser des transferts d’argent…
• Clickjacking : Technique (récente) permettant de faire charger un site authentifié en arrière plan et de faire cliquer l’utilisateur afin de lui faire exécuter des actions sous son nom et à son insus. Une démo est présente ici.
• Intranet scanning : Utilisation de Javascript (ou non) afin de scanner, d’identifier (et éventuellement d’intéragir avec) un ensemble de machines situés sur le réseau interne.
• DNS rebinding : Exploitation du protocole DNS permettant de contourner la protection de ‘same origin policy‘ des navigateurs afin de faire executer du code ayant accès à un site légitime.

Bien entendu, il est souvent recommandé de se connecter à un site contenant des informations sensibles (type banque) que depuis un navigateur sans aucun autre site ouvert (et de préférence venant d’être démarré). Mais qui relance son navigateur avant de se connecter à sa banque ? Qui ne navigue jamais sur Internet avec un onglet sur son Intranet ou son webmail ?

C’est dans ce contexte que je me suis longtemps interessé à la possibilité de cloisonner les sessions de navigation par niveau de confiance : Il est normal que mon Intranet référence un lien vers Internet, mais il n’est pas normal qu’un site quelconque référence un lien vers mon Intranet. Dans une vie (plus ou moins) antérieure, j’ai étudié avec succès ce type de filtrage au niveau périmétrique mais HTTPS et Javascript permettent de le contourner. La seule possibilité pour le faire de manière efficace est de le faire directement dans le navigateur.

En co-fondant commonIT, j’ai immédiatement milité pour placer le cloisonnement de sessions au coeur du produit VirtualBrowser. Avec la virtualisation du navigateur, le cloisonnement de sessions et la mobilité, Virtual Browser offre une solution efficace et innovante de navigation sécurisée.