Présentation de la politique de sécurité adoptée par Microsoft – SD³+C

Bonjour à tous,

Nous avons le plaisir de vous retrouver pour 3 jours de séminaire, du 4 mai au 6 mai 2004.

Nous voici pour trois jours en envoyés spéciaux pour le Laboratoire Supinfo des Technologies Microsoft.

Avant de vous parler de la politique de sécurité adoptée par Microsoft ; faisons une petite introduction du côté logistique…

Microsoft a organisé un séminaire sécurité regroupant plus de 70 conférences sur 3 jours au CNIT à La Défense. Nous essaierons au cours de ces trois jours de vous retranscrire les informations les plus intéressantes et innovantes concernant la sécurité.

Nous serons également présent sur le stand communautés Microsoft au côté des MVP et du stand Formation et Certification Microsoft Learning sur le village Partenaires. N’hésitez pas à nous rendre visite, il y a également de nombreux constructeurs présents sur le salon pour promouvoir leur savoir faire en matière de sécurité Microsoft et répondre aux interrogations des visiteurs : Microsoft Technet, Microsoft MSDN et d'autres partenaires.

De charmantes hôtesses souriantes vous accueilleront et vous distribueront le programme des conférences, ainsi que quelques goodies, CD, clé USB contenant des ebooks.

Le village partenaire est convivial, chaque partenaire possède son espace où les visiteurs peuvent venir consulter les différents intervenants. Des points d’eau et des buffets sont répartis (Load Balancing de buffet gourmand) aux abords du village Partenaires.

 photo - village partenaires

Un espace Internet est disponible pour les visiteurs.

Photo-espace internet

Mais où sont-ils passés ? … Tous les visiteurs sont au Keynote :o)

THE KEYNOTE

Comme à l’accoutumée le séminaire commence par un Keynote, celui-ci est plutôt orienté développement, en effet ce premier jour est dédié aux développeurs; buffer overflow, services Web, RMS, Méthodologie d’écriture de code sécurisé sont les grandes stars de la journée, tous ces sujets seront abordés durant cette première journée.

Les conférences sont présentées en parallèle dans 12 salles. Le keynote est présenté dans l’amphithéâtre Léonard de Vinci par Bernard Ourghanlian, Directeur Technique et Sécurité de Microsoft France.

Cette première conférence présente la politique de la sécurité mise en œuvre par Microsoft.

Cette manifestation, très importante pour Microsoft, a pour but de démontrer la volonté de la part de Microsoft d’améliorer la sécurité de leurs logiciels. Pour cela la firme de Redmond a mis en place une véritable politique d’amélioration de ses produits inscrite dans la durée et ce à tous les niveaux. Cette politique répond aux attentes des entreprises très sensibles aux problèmes de la confidentialité et d’intégrité des données mais aussi aux particuliers (notamment à tous les détracteurs des technologies MicrosoftJ).

Nous décrirons ici 2 points essentiels qui ressortent de ce Keynote, l’informatique de confiance et la stratégie SD ³.

Depuis 1992, Microsoft s’oriente vers une politique de sécurité dédiée à l’informatique de confiance; c’est dans cette optique que la firme de Redmond a accentué cette initiative depuis 2 années sur l’ensemble de sa gamme; aussi bien développement et infrastructure.

Le besoin en sécurité est omniprésent sur les 7 couches du modèle OSI ; de la couche application à la couche physique en passant par la couche réseau.

« Le concept d'informatique de confiance (Trustworthy Computing) repose sur quatre piliers :

- Fiabilité signifie qu'un système informatique est sûr, disponible quand on en a besoin, et fonctionne correctement, aux niveaux appropriés.

- Sécurité signifie qu'un système résiste aux attaques, et que la confidentialité, l'intégrité et la disponibilité du système comme des données sont protégées.

- Confidentialité signifie que les individus ont la possibilité  d'avoir un contrôle sur les données informatiques les concernant et que les organisations qui utilisent ces données observent scrupuleusement des principes de respect des informations.

- Intégrité signifie que les entreprises de notre secteur sont responsables vis-à-vis de leurs clients et doivent les aider à trouver des solutions adaptées à leurs problématiques, à résoudre ces problèmes à l'aide de produits et services et à faire preuve d’ouverture dans leurs rapports avec leurs clients. »

Bill Gates

Ce Keynote présente les différents produits et méthodologie en matière de sécurité sur l’ensemble de la gamme produits; tous ces thèmes seront abordés en détails dans les autres conférences.

Programme alléchant en perspective : ISA 2004, infrastructure à clés publiques, SUS 2.0, sécurisation d’un serveur 2000 et 2003, Hacking windows et contre-attaques, sécurisation IIS 5.0 et 6.0, cryptographie, biométrie et  une conférence présentée par notre MVP Loïc Thobois, Jeudi 6 Mai à 9h sur Active Directory et ses concepts de sécurité.

SD³ + C

La sécurité Microsoft repose à présent sur un concept nommé SD³ + C

Schéma SD ³

Sécurité dès la conception :

Les failles et les menaces sont modélisées pour prévenir toutes défaillances des systèmes.

A travers ce terme, « Secure vy Design », Microsoft signifie qu’il va aussi améliorer le code de ses logiciel. Un certain nombre d’applications ont déjà subi une « cure de jouvence » et se montrent déjà bien moins permissives aux virus et autres attaques que ne l’étaient leurs versions antérieures. Parmi la liste des logiciels dont le code a été crée avec cette politique de sécurité on peut par exemple citer, Windows 2003 server, office 2003, Visual Studio .net … Les développeurs Windows 2003 Serveur ont suivi une formation pour sécuriser le code source du serveur 2003,  cette notion de code sécurisé est désormais récurrente pour tous les nouveaux produits Microsoft. Un investissement de 200M$ a été fait pour obtenir une garantie en matière de code sécurisé.

Cet aspect de la stratégie de sécurité de Microsoft a surtout été présenté durant la première journée du salon qui était dédiée à l’écriture de code sécurisé.

Sécurité par défaut

La seconde étape de cette stratégie consiste à sécuriser les applications par défaut ; les services sont exécutés avec moins de privilèges, services arrêtés par défaut, diminution de la surface d’attaque par défaut de 60 % par rapport à NT 4.0 SP3.

Ce terme fait référence au niveau de protection « par défaut » des applications Microsoft qui va être augmenté de manière significative dans un futur très proche mais aussi à long terme. En effet, une bonne partie des problèmes sécuritaires peut être évitée de manière simple. Ainsi pour se protéger des vers tristement connus BLASTER et SASSER, il suffit d’activer le pare-feu intégré à Windows XP. Malgré cela, un grand nombre d’ordinateurs se sont retrouvés infectés (SASSER a réussi à contaminer plus de 18 millions d’ordinateurs dans le monde et ce en moins d’une journée !). Cela est en partie du au fait que les utilisateurs (notamment les particuliers) ne savent pas comment utiliser les outils que Microsoft met à leur disposition pour sécuriser leurs postes. Partant de ce constat, la firme de Redmond a décidé d’augmenter le niveau de sécurité par défaut sur l’ensemble de ses applications.

Sécurité du déploiement

La troisième étape consiste à optimiser et sécuriser le déploiement des applications, automatiser la configuration avec des options sécurisée, gérer les identités des clients, monitoring de l’infrastructure. La rédaction de white paper, tutoriaux et articles en ligne permettra de guider les informaticiens dans leurs déploiements d’applications. Microsoft entend aussi faciliter la mise à jour de ses logiciels et ce par la mise en place de différents services. En effet, les attaques récentes (SASSER pour ne pas le citer) infectent très rapidement un grand nombre de machines. Cela est paradoxale puisque dans la majorité des cas, les failles sont découvertes bien avant que d’éventuels « hackers » les exploitent (le correctif pour combler la faille utilisée par SASSER était disponible 25 jours avant que l’attaque !). Après diagnostic, les analystes de Microsoft ont conclus que les processus de mise à jour des logiciels étaient trop compliqués et que leur administration en production n’était évidente à mettre en place.

C’est pourquoi Microsoft a mis en place des outils permettant d’automatiser ces mises à jour comme SUS (Software Update Services) dont la version 2.0 renommée WUS (Windows Update Services) était présentée en détail lors de ce salon.

http://www.microsoft.com/france/securite/outils/sus.asp

http://www.microsoft.com/france/securite/outils/mbsa.asp

A cette stratégie SD³ vient s’ajouter une dernière couche, la communication,  pour ne former au final qu’une seule entité la stratégie SD³ + C.

On peut aussi citer l’outil MBSA (Microsoft Base-line Analyser) qui permet de détecter quels correctifs sont installés sur un poste de travail ou un serveur. Une autre mesure pour faciliter les mises à jours des produits Microsoft sera la centralisation de toutes les patchs sur un seul et même site nommé Microsoft Update. En effet, l’ensemble des correctifs sont actuellement partagés entre les 8 sites dédié à cette tâche (ex. : Windows Update, Office Update, Visual Studio Update, …). Cette dernière mesure va grandement simplifier la vie des utilisateurs mais aussi des administrateurs systèmes qui n’auront plus à consulter qu’un seul site web.

Communication

Enfin, Microsoft souhaite avertir et toucher le consommateur des différents risques auquel il est confronté. Ainsi beaucoup de moyens ont été mis en place et seront mis en place dans le futur afin de permettre une meilleure communication. Cela passe essentiellement par la création d’un site Internet dédié à la sécurité : http://www.microsoft.com/france/securite/, mais aussi par l’augmentation du nombre d’opérateur sur la hotline de Microsoft.

L’utilisateur peut aussi s’inscrire sur le site sécurité et ainsi recevoir régulièrement les bulletins de sécurité émis par Microsoft. Cette procédure est d’ailleurs fortement recommandée par Microsoft car la protection passe d’abord par l’information.

La communication au sein des communautés Microsoft et des newsgroups apportent la dernière pierre à cet édifice, l’échange et le partage d’informations permet de faire circuler un flux d’informations direct en Microsoft et les utilisateurs finaux sans firewall :o)

Cet échange d’informations permet de faire bénéficier à l’ensemble des participants, du MVP aux newsgroups en passant par les ingénieurs internes Microsoft, des retours et améliorations sur l’ensemble des produits de la gamme.

 http://www.microsoft.com/france/communautes/

Pour clôturer cet article, voici une modélisation en 4 couches du processus de développement du processus qualité de l’informatique de confiance.

Tout au long du cycle vie d’un produit Microsoft, de la conception aux correctifs, la notion de sécurité est un leit motiv.

Ces journées nous permettrons de détailler ces 4 couches « Trustworthy Computing » et de découvrir les nouveaux produits Microsoft qui vous permettront d’optimiser la sécurité de votre infrastructure.

Nos équipes ont choisi d’assister à plusieurs conférences :

-         Sécurité des applications : notions fondamentales

-         Utilisation du chiffrement sur la plate-forme Windows

-         Gestion des mises à jour avec Windows Update Services (ex SUS 2.0)

-         Sécuriser les serveurs Web

-         Fonctionnalités de Microsoft Internet Security and Acceleration Server

-         Nouveauté en matière de services pack 2 de Windows XP

-         Hacking Windows : aperçu de quelques attaques et contre-mesures

-         SMS 2003 et ses nouveautés

Nous rédigerons ces articles à chaud de façon quotidienne et nous nous efforcerons de relever les points importants des conférences. Ces articles ont pour but de vous de vous faire découvrir la démarche et la logique actuelle mise en place par Microsoft pour sécuriser vos systèmes d’informations.