Articles par Daniel Fages

Le navigateur est au cœur de la stratégie Cloud des entreprises. Le développement des technologies web dans les environnements professionnels a fait de ce logiciel inventé pour le grand public, le client universel d’accès aux applications cloud des entreprises.

Il est vrai que le navigateur web est gratuit et que tout le monde sait s’en servir, ce qui fait 2 excellents arguments pour l’utiliser, surtout quand les budgets informatiques sont en baisse. Mais utiliser un navigateur en entreprise n’est pas anodin du point de vue de la sécurité :

Une technologie grand public. Les navigateurs répondent à un objectif principal : pouvoir être utiliser simplement par le plus grand nombre. Ce qui implique qu’il doit y avoir le moins de contraintes possibles dans l’expérience utilisateur. C’est pour cette raison que les technologies 2.0 qui permettent une meilleure interactivité vont jusqu’à exécuter du code provenant d’internet dans le navigateur lui-même (Ajax, Flash, Java, ActiveX par exemple)… Mais est-ce le comportement attendu d’un logiciel qui sert aussi à se connecter sur les applications les plus sensibles d’une entreprise (Banque, CRM, Comptabilité) ?

Une architecture non sécurisée. Les professionnels de la sécurité sont de plus en plus conscients que le navigateur est un logiciel non sécurisé. Le problème est triple : (i) d’abord il existe des failles dans les navigateurs comme dans tout logiciel complexe, (ii) ensuite le navigateur est plus exposé que les autres logiciels à la menace parce que c’est lui qui accède à Internet, (iii) enfin le comportement du navigateur est également dangereux à cause de ses nombreux plugins (voir plus haut).

La confidentialité des données en question. Utiliser un navigateur à la maison ou dans un cybercafé pour se connecter à des applications Cloud peut se révéler dangereux pour les données d’une entreprise. En effet, l’utilisation du web permettra à un utilisateur mobile de se connecter à ses services cloud depuis n’importe quel poste équipé d’un browser. Le problème c’est que l’entreprise n’a pas forcément envie que des données sensibles se retrouvent sur « n’importe quel poste ». Or, en utilisant un navigateur, on va laisser des traces sur le poste au travers des cookies, de l’historique ou du cache de ce dernier.

Si les entreprises veulent mettre en place une stratégie Cloud, elles doivent prendre en considération la “problématique navigateur”. Elles doivent penser aux questions qui se posent coté utilisateur afin d’apporter des réponses satisfaisantes du point de vue de l’usage et de la sécurité, dans la mise en place du client d’accès au Cloud.

Pour en savoir plus, vous pouvez télécharger nos livres blancs.

Et hop, encore une faille annoncée dans IE hier soir. Cette fois, elle permet l’accès à tous les fichiers présents sur le disque dur du PC, et toutes les versions d’IE sont concernées… mais la configuration par défaut dans les versions récentes de Windows (Vista, Server 2008, 7) empêche l’exploitation de cette faille. C’est donc principalement sous Windows XP que le risque existe. Cette version de Windows reste tout de même l’OS le plus répandu (à l’heure où j’écris ces lignes, plus de 66% de parts de marché d’après NetMarketshare).

La réaction de Bernard Ourghanlian (Directeur de la sécurité de Microsoft), rapportée par Clubic, est très intéressante ; il dit notamment (je cite) : “Nous aimerions bien nous débarasser d’Internet Explorer 6.0, mais on ne peut tout simplement pas. En entreprise, déployer un nouveau navigateur est un énorme travail. Tant que Windows XP sera supporté par Microsoft (jusqu’en 2014), Internet Explorer 6.0 le sera également“.

Au delà de cette nouvelle faille qui prouve l’intérêt sécuritaire de l’approche de cloisonnement que nous avons développée pour Virtual Browser, les propos de Bernard Ourghanlian illustrent également la problématique liée à la gestion du/des navigateur(s) en entreprise : le déploiement et les mises à jour de ce client représente une charge importante, et donc un coût non moins important pour les entreprises. Là aussi, Virtual Browser facilite le travail de l’administrateur grâce à son architecture centralisée et aux fonctions de mises à jour des différents composants du navigateur (moteur de rendu, plugins, …).

Bref, les mois se suivent et se ressemblent… Et tout porte à penser que les entreprises ont besoin de revoir l’architecture d’exécution, de déploiement et de mise-à-jour de leur navigateur. C’est le sens de nos efforts et la finalité de Virtual Browser.

Une nouvelle alerte de sécurité annoncée par Microsoft dans son navigateur web Internet Explorer a provoqué une communication officielle de plusieurs gouvernements encourageant à trouver des alternatives pour surfer sur Internet et sur les applications web.

Vendredi 15 janvier 2010, le BSI allemand et le CERTA français (Centre d’Expertise de Réponse et de Traitement des Attaques informatiques) ont émis des bulletins demandant d’éviter l’utilisation d’Internet Explorer, en raison d’une faille de sécurité publiée la veille par Microsoft.

La démarche est inédite car jamais des organismes gouvernementaux n’ont demandé publiquement de ne plus utiliser un logiciel défaillant. Mais cette fois-ci, la vulnérabilité annoncée affecte toutes les versions du logiciel depuis sa version 6. Sachant que le logiciel est utilisé par les deux tiers des internautes, le nombre d’ordinateurs pouvant être compromis par une attaque est colossale. Le risque est donc de voir une vague massive d’attaques s’appuyant sur la vulnérabilité pour mettre à mal un très grand nombre d’entreprises, voire des organisations gouvernementales. 

Selon le CERTA français, L’utilisation de cette vulnérabilité permet à un attaquant d’exécuter du code à distance sur la machine de l’utilisateur et donc de voler des données ou de compromettre le système. Il semble d’ailleurs que plusieurs entreprises, dont Google, auraient déjà été victimes de cette attaque.

Cette fois c’est Internet Explorer qui est mis en cause. Mais en réalité, c’est l’architecture des navigateurs eux-mêmes qu’on devrait contester et c’est ce que nous faisons avec la solution Virtual Browser. C’est la raison pour laquelle la seule façon réellement efficace de se protéger contre ces risques est d’isoler le navigateur dans des machines virtuelles cloisonnées et déportées sur des serveurs. Grâce au mécanisme de cloisonnement de Virtual Browser, les utilisateurs peuvent continuer à utiliser Internet Explorer sans craindre les conséquences dues à l’exploitation de ses vulnérabilités. 

Nous rentrons tout juste d’une fin de semaine à Monaco particulièrement intense et très encourageante. CommonIT exposait pour la première fois aux Assises de la sécurité et nous avons été impressionnés par le nombre et la qualité des contacts que nous avons noués. L’approche développée autour de “Virtual Browser” a ainsi vivement intéressé les RSSI que nous avons rencontrés. Peu à peu, sur les 3 jours de salon, le bouche à oreille entre experts a donner à Virtual Browser une nouvelle envergure, au-delà de la simple innovation, une vraie solution d’entreprise. La presse a également relayé notre actualité sur Distributique, 01 informatique, le JdN, Global Security Mag, virtuanews.

Bref, pas mal de boulot en perspective mais nous étions venus pour cela… Et un grand merci à DG Consultants pour leur accueil et pour la qualité de cette neuvième édition des Assises de la sécurité.

La semaine dernière, nous avons passé une étape importante dans la jeune vie de commonIT : une première levée de fonds d’un montant de 500k€. Ce tour de table va nous permettre d’accélérer notre développement, tant d’un point de vue technique (financement du développement de la version 2.0, prévue pour début 2010) que marketing et commercial.

Nous sommes heureux d’accueillir à notre capital Rhône-Alpes Création et Expansinvest (fonds de la Banque Populaire des Alpes). Leur capacité à décider rapidement a été un facteur clé dans notre choix, ce qui nous a permis de clôturer ce tour de table rapidement, seulement 8 mois après la création de commonIT. Je désire d’ailleurs remercier tout particulièrement Mathieu Viallard, chargé d’affires chez Rhône-Alpes Création, qui a été d’une redoutable efficacité dans la gestion de notre dossier.

On ne parle que de ça : cette semaine, Google a annoncé son OS, le Google Chrome OS. C’était prévisible quand on se souvient de la présentation du navigateur Chrome qui employait nombre de termes issus du système d’exploitation (Process Manager, Adress Space, Garbage Collector,…). Ce n’est pas très étonnant non plus par rapport à la stratégie de Google de pousser les applications vers le Web : une fois qu’on a son mail et son agenda sur GMail, qu’on travaille ses documents bureautiques sur Google Apps, qu’on retouche ses photos avec Picasa et (évidemment) qu’on surfe sur Internet avec Google Chrome, à quoi sert l’OS local si ce n’est à faire tourner le navigateur Web ? D’où cette tentation très (trop ?) forte pour Google de développer son ‘propre’ OS (d’après le communiqué de presse, un système Linux avec une interface utilisateur spécifique).

Est-ce que Google est le premier à avoir cette idée ? Evidemment non, on peut par exemple citer Good OS ou jolicloud. Mais Google a évidemment beaucoup plus de moyens que tous les autres d’imposer son OS client d’accès au cloud…

Que pensons-nous chez commonIT de cette annonce ? Vous l’aurez compris, nous ne sommes absolument pas surpris. Cela nous conforte dans l’idée que nous sommes à l’aube d’une révolution dans le domaine de l’architecture des systèmes d’information : recentralisation des applications et des données, accès depuis un navigateur Web. Et nous ouvre de nombreuses perspectives… mais nous en reparlerons plus tard

Cette semaine, nous avons eu l’honneur d’être récompensé par Valérie Pecresse (Ministre de l’enseignement supérieur et de la recherche) dans le cadre du Concours national d’aide à la création d’entreprises de technologies innovantes dans la catégorie “Création-Développement”. 

Ce concours permet à 74 jeunes sociétés, parmi les plus innovantes en France, de bénéficier d’un financement de 60% de leurs projets d’innovation. Etre lauréat de ce concours et aussi un gage de pérennité puisque 80% des startups qui ont été récompensées à ce jour, sont toujours en activités 5 ans plus tard. 

Outre ce soutien financier non négligeable, nous voyons dans ce résultat la confirmation du caractère innovant de “Virtual Browser” et une validation de la qualité de l’équipe dirigeante de CommonIT, deux critères essentiels dans le concours… Comme dans la croissance de notre société.

Une question, légitime, qui revient souvent lorsque nous présentons l’offre Virtual Browser est : “est-ce que je peux faire la même chose en utilisant du TSE ou du Citrix ?”. Techniquement, c’est en partie vrai, mais il y a un certain nombre d’avantages déterminants en faveur de Virtual Browser ; je vais les détailler dans ce post. Economiquement, il n’y a pas photo entre Virtual Browser et le coût de mise en place d’une solution plus ou moins équivalente avec TSE ou Citrix ; cela fera l’objet d’un prochain post…

Supposons donc que vous souhaitiez mettre en place une solution la plus proche possible de ce que fait “Virtual Browser”, il vous faudra (version courte) :

• Installer une solution Windows Server 2008 (version minimale pour avoir une présentation où les fenêtres des applications distantes s’affichent comme des applications locales) et/ou Citrix sur une ferme de serveurs
• Configurer les sessions TSE/Citrix (avec partage de disque local et d’imprimante)
• Publier l’application “Navigateur Internet” (IE/Firefox)

A ce moment là, vous avez ce qui pourrait ressembler à un “Virtual Browser light” ; Mais il subsiste des différences fonctionnelles majeures :

• Pas de cloisonnement de session : Le système ne permet pas de forcer l’usage de sessions dédiées pour l’accès aux applications sensibles, ce qui est une des grandes forces de “Virtual Browser”
• Vous devez gérer vous-même les mises à jours du navigateur Internet utilisé, là où avec “Virtual Browser” commonIT vous fournit ces mises à jour prêtes à l’emploi avec une auto-installation possible des nouvelles versions
• Vous n’avez pas la possibilité de choisir automatiquement la version du navigateur (IE, Firefox, Safari, etc…) qui sera utilisé suivant l’application. Ce que “Virtual Browser” gère sans que l’utilisateur n’ait à s’en préoccuper.
• Pour pouvoir imprimer, il est nécessaire de partager les imprimantes locales, ce qui implique une attente importante au lancement de session (temps de reconnexion de l’imprimante) ; problème qui n’existe pas avec “Virtual Browser” grâce à la technique d’impression utilisée, indépendante de l’imprimante
• Le navigateur Internet ainsi publié depuis TSE/Citrix n’est pas le navigateur par défaut de l’utilisateur, ce qui l’empêche, par exemple, de cliquer sur le lien d’un mail ou d’un PDF et de lancer automatiquement le navigateur virtuel
• Grâce aux technologies utilisées pour la virtualisation d’application, il est possible d’exécuter 3 à 4 fois plus d’instances indépendantes de navigateur Virtual avec “Virtual Browser”, comparé aux solutions à base de TSE/Citrix

L’usine nouvelle a publié récemment un article intitulé “IBM réinvente le PC en client/serveur pour réduire les coûts“. La démarche d’IBM (virtualiser le poste client en utilisant des composants open-source) est tout à fait conforme à notre vision du marché et à ce qu’a écrit David dans son article sur le Minitel 2.0.

Certains diront peut-être “si le poste de travail de l’utilisateur est virtualisé, à quoi bon virtualiser le navigateur Internet ?” ; et bien, la réponse est assez simple : si virtualiser le poste de travail a de nombreux avantages (économique notamment), cela ne régle en rien la problématique de sécurité du navigateur Web ; la menace est simplement déplacée d’un poste physique à un environnement virtuel et tant que le navigateur s’exécute dans le même environnement que les autres applications et les données confidentielles, on ne résoud pas le problème.

C’est pourquoi, dans tous les cas nous préconisons une virtualisation du navigateur, quitte à avoir une “double virtualisation” : un navigateur virtualisé à l’intérieur d’un poste de travail virtualisé. Au moins tant que les applications ne sont pas toutes web ; une fois que ce sera le cas, Virtual Browser pourra devenir le moyen unique d’accès sécurisé au SI de l’entreprise en se passant de l’OS client…

En ce qui me concerne, j’ai rencontré Albino au tout début de l’aventure Arkoon. Il m’a été présenté par un ami commun et j’ai rapidement été frappé par la capacité d’Albino à développer l’activité commerciale d’Arkoon à partir de rien.

Albino Pili :

Albino a la double nationalité Italo-Française, son parcours porte largement les traces de cette richesse culturelle. Diplômé en électrotechnique, Albino a eu en charge différentes responsabilités commerciales au sein de grands groupes européens de service et de distribution informatique tels qu’Allium et InfoPoint. En 1997, il rejoint le groupe ECS, leader européen de l’ingénierie locative, en tant qu’ingénieur d’affaires et développe un portefeuille de contrats de 2,5M€. C’est au cours de l’année 2000 qu’Albino nous rejoint chez Arkoon pour démarrer l’activité commerciale. Il prend en charge le développement des partenariats stratégiques et permet à l’entreprise de signer les principaux accords qui constituent, aujourd’hui encore, une part significative de ses revenus. Albino est également pionnier du développement européen d’Arkoon puisqu’en octobre 2004 il est chargé du développement de la société en Italie. En 2006, Albino rejoint Databail, filiale du groupe C2A, en tant que responsable commercial. Puis début 2008, Albino quitte Databail pour suivre une formation pour l’obtention d’un Master en gestion et management stratégique d’entreprises (ICG) à l’université de Nanterre Paris X. C’est pendant cette formation que nous décidons avec Mathieu et David de lancer le projet commonIT…