Articles par Mathieu Lafon

Depuis quelques années, le navigateur reste le point faible des entreprises en terme de sécurité avec un nombre de vulnérabilités exploitées en augmentation et des sorties régulières de correctifs de sécurité.

S’il n’y avait que le navigateur à mettre à jour, cela pourrait encore se gérer facilement. Mais il est souvent nécessaire de surveiller également les différents composants intéragissant avec celui-ci et permettant d’accéder à des contenus complexes (PDF, vidéos, webex, applications, …). Et ces derniers ne sont pas exempts de vulnérabilités, loin de là. Adobe et Oracle sortent régulièrement des correctifs pour leurs produits phares que sont Adobe Acrobat Reader, Adobe Flash Player et Java. Microsoft annonçait d’ailleurs récemment que son produit de protection contre les malwares (MMPC) avait bloqué 6,5 millions d’attaques Java en seulement six mois. Et là où le bas blesse, c’est que la mise à jour peut bloquer un certain nombre d’applications métier de manière irréversible. On retrouve donc de plus en plus d’entreprises bloquées dans une version bien particulière de Java ou de Service Pack d’IE en raison d’une application critique et malgré le risque important que cela fait peser sur le poste en matière de sécurité.

Cela fait le bonheur des éditeurs qui n’en finissent pas d’inventer de nouvelles couches de sécurité (anti-virus, anti-spyware, anti-malware, …) qui ne font que ralentir le poste ou le réseau et se révélent souvent inefficaces face au premier 0-day venu.

Pour résoudre tous ces problèmes, il faudrait que chaque utilisateur ait à disposition un ordinateur parfaitement configuré et correctement isolé pour chaque application ou chaque besoin. Ou alors, il suffirait d’utiliser Virtual Browser…

La version 2.1 de Virtual Browser est officiellement disponible. Parmi les nombreuses nouveautés, elle intègre notamment la technologie de traitement de la vidéo dont nous avons déjà parlée ici et qui permet, en temps réel de détecter une zone animée dans une page web et d’optimiser sa compression selon sa nature. Lorsque vous utilisez un navigateur déporté, les pages web ne sont pas exécutées sur votre poste et cela peut entrainer des lenteurs dans l’affichage des éléments temps réel comme la vidéo. Nous avons donc fait un énorme travail de R&D pour optimiser les flux vidéo. L’objectif est de se rapprocher au maximum d’un rendu que l’on aurait avec un navigateur local. Le second objectif de cette nouvelle technologie est de réduire la consommation de bande passante. Nous arrivons à diviser par 10 l’occupation de bande passante sur certains flux. Cela améliore l’utilisation des ressources réseaux et permet d’avoir une grande fluidité, même sur des connexions 3G. Cet élément est d’autant plus pertinent qu’une version iPad de Virtual Browser est maintenant disponible dans l’Apple Store. Une façon d’ouvrir toutes les applications web, y compris celles nécessitant Internet Explorer ou flash, aux utilisateurs de la tablette Apple.

La version 2.1 apporte d’autres fonctionnalités nouvelles comme l’intégration de client VNC au coté des clients RDP et ICA déjà existants dans le produit. Nous voulons permettre à nos clients d’utiliser Virtual Browser comme un outil de télétravail universel. A partir de la solution on peut accéder aux Intranets de l’entreprise, mais également aux applications Citrix, TSE et aux machines physiques.

La version 2.1 inclut aussi une gestion avancée des interfaces des navigateurs. Une des grandes forces de Virtual Browser est de dissocier les moteurs de navigation et l’interface utilisateur. Il est ainsi possible de contrôler chaque bouton du navigateur présenté à un utilisateur, sa position, son look, son fonctionnement, indépendamment des moteurs et plugins mis en œuvre. Il est par exemple possible avec cette version 2.1 d’utiliser un visuel de navigateur Internet Explorer avec un moteur et des plugins Firefox. Cette nouveauté permet à l’entreprise d’apporter une meilleure ergonomie des navigateurs tout en renforçant leur contrôle.

Cet été a été l’occasion pour une partie de notre R&D de se pencher sur l’amélioration du support des flux vidéos dans Virtual Browser.

Jusqu’à présent (et comme la grande majorité des technologies de déport d’affichage), les vidéos étaient gérées comme une succession d’images statiques, ce qui entraîne alors une consommation excessive de la bande passante et des ressources du serveur et aboutit à un manque de fluidité pour l’utilisateur.

Comme nous attachons une grande attention à la performance de notre déport d’affichage, nous avons décidé de nous attaquer au problème. Thibault (R&D commonIT) a réalisé une étude approfondie du sujet qui a permis de réaliser deux évolutions ayant un impact sensible sur la gestion des vidéos :

• Utilisation dynamique d’un algorithme de compression d’image avec ou sans perte en fonction de chaque image (photos/dessin, statique/dynamique).

• Identification à la volée des zones dynamiques (et en particulier des vidéos) avec création d’un flux de streaming (MPEG) pour les gérer au lieu de transmettre les images.

Ces évolutions sont actuellement en test et feront parties des améliorations de la version 2.1 qui sortira à la fin du mois.

Un peu plus d’un an après la version 1.0, et après 4 versions intermédiaires, la version 2.0 de Virtual Browser est désormais disponible.

Une des évolutions importantes de cette version concerne le mode d’accès au produit afin d’en simplifier l’usage pour les utilisateurs. Ceux-ci pourront désormais lancer des sessions Virtual Browser depuis leur navigateur local sans s’en rendre compte. En effet, les liens vers les applications web nécessitant Virtual Browser (pour des besoins de sécurité ou de compatibilité), pouront être spécifiquement formatés pour que le navigateur local ouvre automatiquement Virtual Browser.

Bien sûr, il ne s’agit pas de la seule évolution de cette version majeure. La version 2.0 dispose également du support de trois nouveaux moteurs de rendu, d’un mode de téléchargement direct, d’un nouveau design de l’agent de connexion et de l’interface d’administration, du support de l’application iPhone VB iAgent, ainsi que de nombreuses autres évolutions et corrections.

Nous avons encore beaucoup de nouvelles fonctionnalités en tête qui seront intégrées dans les versions évolutive à venir et devraient aboutir à une version 3.0 pour l’été 2011.

Les chercheurs de McAfee Labs, la division recherche de McAfee, viennent de publier leur rapport annuel “2010 Threat Predictions”. Sans surprise on y apprend que le navigateur reste le vecteur d’attaque privilégié, plus particulièrement à travers les sites de réseaux sociaux. Ainsi, par exemple, l’utilisation de plus en plus fréquent de raccourcis d’URL (bit.ly, tinyurl.com) pour gagner de la place dans les “tweets” de Twitter permet très (trop) facilement de faire cliquer l’utilisateur, même avertit, sur un lien détourné lançant des attaques sur la machine de l’utilisateur, sur ses autres sessions web (cross-site) et sur le réseau local sur lequel le poste est situé (celui de l’entreprise s’il sur au bureau…). McAfee avertit également sur les risques des extensions du navigateur tels Flash ou Acrobat d’Adobe ainsi que l’arrivée de HTML 5.0, qui font “fondre la ligne entre les applications web et les applications du poste de travail”. La nécessité d’une politique de sécurité d’accès web concrétisée par un cloisonnement des usages et la gestion précise des droits de chacun sera plus que jamais d’actualité en 2010.

Accédez au rapport de McAfee ici.

Il y a peu, je vous annonçais ici même la sortie de la version 1.2 de Virtual Browser et aujourd’hui je confirme la sortie d’une nouvelle version, la 1.3 dès la semaine prochaine. Si nous avons fait le choix de proposer 2 versions si proches l’une de l’autre, c’est parce que nous avons une feuille de route ambitieuse qui doit nous amener vers une version 2.0 au cours du premier trimestre 2010. Or la prédictibilité de notre road map est liée à la cadence de sortie des versions. Nos clients et nos partenaires attendent de la visibilité à moyen terme sur nos innovations mais ils veulent aussi de la disponibilité à court terme. Et c’est ce que nous proposons en cette fin d’année.

Donc dès la semaine prochaine, la version 1.3 apportera des fonctionalités importantes comme le support de différents modes d’authentification transparente pour permettre par exemple aux utilisateurs d’accéder à leur navigateur virtuel en se basant sur l’authentification Windows. Elle intégrera également, sur le serveur, aux cotés des différents moteurs de navigation, les clients ICA et RDP qui donnent une nouvelle dimension au produit.

Virtual Browser se positionne comme un browser universel d’accès au Cloud Computing. Il doit permettre aux entreprises de gérer depuis un point central, la compatibilité et les chemins d’accès à leurs applications cloud, qu’elles soit webifiées ou virtualisées. En proposant les clients ICA et RDP sur le serveur, la version 1.3 permet d’accéder aussi bien à des applications web qu’à des applications Citrix ou TSE depuis un unique browser, sécurisé et multiplateforme, et qui plus est, sans installation sur le poste utilisateur.

En début de semaine, une nouvelle vulnérabilité dans IE6 et IE7 a été rendue publique sur Internet avant que Microsoft n’en ai eu connaissance. Ce dernier a réagi avec un bulletin de sécurité mais n’a pas encore donné de date pour un correctif. Comme d’habitude (souvenez-vous de ça, ou de ça), les moyens de protection sont relativement contraignants et les risques assez elevés (accés au poste avec les droits de l’utilisateur). Cela risque de poser problème si une attaque d’envergure est mise en place à court terme car ce sont des navigateurs utilisés en forte proportion en entreprise.

Il n’est jamais trop tard pour rappeler qu’une attaque web peut tromper même le plus averti des utilisateurs. C’est ce qui vient d’ailleurs d’arriver à Gadri Evron (expert reconnu en sécurité) qui a participé à son insu à propager un ver sur Facebook. Même si celui-ci a été rapidement stoppé par Facebook, il est intéressant de noter que le ver utilisait la technique du Clickjacking (et non une vulnérabilité CSRF comme indiqué initialement sur certains blogs) pour se propager.

Un mois après la sortie de la version 1.1, les nouveautés se succèdent sur Virtual Browser puisque le serveur est désormais disponible en version 1.2.

De plus en plus performante, cette nouvelle version offre la possibilité d’utiliser plusieurs serveurs dans l’architecture Virtual Browser et garantit ainsi la haute disponibilité de la solution ainsi que des fonctions d’équilibrage de charge. En outre, la gestion du mode multiserveur permet de cloisonner physiquement les sessions web sur des environnements hardware différents ce qui permet d’exécuter les applications web au plus près des utilisateurs tout en améliorant encore le niveau de sécurité de l’architecture.

Ces évolutions attendues par les utilisateurs les plus sensibles de la solution assurent le bon fonctionnement de Virtual Browser même au cas où l’un des serveurs physiques serait défaillant et cela indépendamment des mécanismes qu’apporte VMWare (sur lequel repose la soft-appliance Virtual Browser). La version permet aussi d’optimiser l’usage et la performance lors de l’ouverture et l’utilisation d’un grand nombre de sessions.

La version 1.1 de Virtual Browser est désormais disponible avec un lot d’améliorations permettant une meilleure intégration dans le réseau et le fonctionnement de l’entreprise :

• Une authentification forte de l’utilisateur par certificat logiciel (X.509) permettant d’élever la sécurité de l’authentification et de contrer un éventuel vol du mot de passe sur une machine compromise.
• La possibilité d’assigner des droits aux administrateurs en fonction de rôles prédéfinis (configuration, supervision, …) permettant de déléguer de manière plus sûre certaines tâches.
• L’utilisation possible du moteur de rendu d’IE6 permettant d’accèder à certaines applications uniquement compatible avec ce dernier.
• La disponibilité de l’agent de connexion sur les plateformes Mac OS X et Linux en plus de Windows.

Toutes ces nouveautés sont accompagnées de modifications mineures concernant la performance et l’ergonomie de Virtual Browser pour en faire la meilleure solution d’accès à Internet entierement sécurisée.

La quatrième vulnérabilité 0-day (après celle-là et celles-ci) en seulement deux semaines vient de tomber et elle touche un des plugins les plus installés sur les navigateurs : le lecteur Flash d’Adobe qui est utilisé pour rendre les sites Web visuellement plus attractifs, pour voir les vidéos sur YouTube, pour jouer en ligne, …

A quoi faisons nous face :

• Une vulnérabilité critique dans le lecteur Flash (au moins versions 9 et 10) pouvant être exploitée depuis tous les navigateurs et tous les systèmes d’exploitation en navigant sur un site web compromis (drive-by attack) ou par la lecture d’un fichier PDF malicieux avec Adobe Acrobat Reader ;
• Les deux méthodes d’exploitation ont déjà été observées sur Internet ;
• Aucune méthode de protection mis à part la desinstallation du lecteur ou de certains de ces composants ;
• La désactivation de Javascript ne protège pas totalement contre une exploitation ;
• Adobe ne fournira par des versions correctives avant le 30 Juillet.

Que faites vous ?