Global Security Mag Online

Defcon 18, nom de code « Barely Legal »

Nicolas Oberli et Alain Mowat experts sécurités SCRT — 2010-08-11T14:13:49Z

Defcon 18, nom de code « Barely Legal » a eu lieu cette année pour la dernière fois à l'hôtel Riviera de Las Vegas, du 30 juillet au 1er août sous la chaleur suffocante du Nevada,. En effet, l'année prochaine la conférence se déplacera au Rio, situé en parallèle au célèbre Las Vegas boulevard, ce qui obligera les visiteurs à une petite marche pour rejoindre l'ambiance festive des casinos. Un changement dû non pas aux débordements de la conférence, mais à sa popularité croissante (et à la destruction prochaine du Riviera). En effet, l'édition de cette année a vu défiler plus de 160 présentations différentes au cours du week-end prolongé.

Les quelques 7'000 badges préparés pour l'occasion ont d'ailleurs rapidement été épuisés, laissant beaucoup de participants sur leur faim. Il fallait se lever de bonne heure le jeudi matin pour s'assurer de recevoir l'objet tant convoité. Le badge de cette année est le plus cher jamais produit pour Defcon : environ 14 US$ par badge, principalement lié à l'écran LCD utilisé, permettant, à la manière d'un écran e-ink, de ne pas consommer d'électricité lorsque l'écran n'est pas rafraîchi. La gravure au laser faite sur le côté « affichage » du badge compte également beaucoup dans le coût de celui-ci, mais la qualité du travail est remarquable. Comme chaque année, de nombreuses fonctions et informations étaient cachées au sein du badge, ces informations permettaient par exemple d'avoir accès à des soirées organisées par Defcon, mais aussi d'obtenir des indices bien utiles pour de nombreux challenges. A noter que le « Badge hacking contest » a vu de nombreux projets aussi originaux les uns que les autres, comme un « accouplement » de badges propageant un virus via leurs ports JTAG, ou encore une modification le transformant en éthylomètre indiquant le niveau du participant (noob, hacker, goon) en fonction du taux d'alcoolémie du sujet.

Les interminables files d'attente devant les présentations les plus prisées sont également gage du succès de la conférence. « How I met your girlfriend » de Samy Kamkar, auteur entre autres du ver Samy ayant sévi sur MySpace, a particulièrement retenu notre attention, si bien par la qualité de l'intervention que par le contenu technique présenté. Samy y présentait une méthode permettant de limiter drastiquement l'entropie d'un cookie de session généré par PHP, passant de 160 bits à 12 dans les cas les plus favorables, facilitant une attaque par force brute, permettant de récupérer les identifiants de sessions d'une victime potentielle. Dans une seconde partie, la présentation d'une attaque par XPS (Cross Protocol Scripting) utilisant les fonctionnalités du navigateur afin de déclencher l'ouverture d'un port sur le firewall de la victime via la reconnaissance d'une commande DCC était plutôt impressionnante, mais difficilement réalisable sans connaitre le modèle de routeur utilisé par la victime.

Dans un autre registre, on a apprécié la présentation de Shodan, un moteur de recherche indexant les bannières renvoyées par les serveurs (« Shodan for penetration testers »). Dans une des démonstrations, une requête bien conçue à permis à Michael Schearer d'obtenir les adresses IP de plus de 4200 routeurs, switches et firewalls Cisco accessibles sans aucun mot de passe. Ceci lui aurait même permis de détourner tout le trafic réseau d'un petit fournisseur d'accès Internet américain.

Cette année, de nombreuses présentations étaient liées à la sécurité physique, preuve que ce domaine est en plein essor. Des serrures, cadenas et menottes (« The search for perfect handcuffs... », « Attack the key, own the lock », « Insecurity engineering of physical security systems ») aux systèmes de gestion centralisés (« We don't need no stinkin' badges ») en passant par les systèmes de surveillance (« Physical security : You're doing it wrong »), de nombreux systèmes de protection physique sont passés en revue et décortiqués. A noter une magnifique démonstration d'ouverture de serrure biométrique à 200$ à l'aide d'un simple trombone... A cela, ajoutons que le « Lockpicking village » était très fréquemment rempli de personnes de tous niveaux, des débutants venant découvrir les techniques de base aux experts de TOOOL, avec de nombreux cours proposés par ces derniers.

Au delà de ses présentations, la Defcon est surtout connue pour ses multiples concours ayant lieu au cours du week-end. On y retrouve le célèbre « Capture the Flag » mettant en opposition des équipes du monde entier dans un concours de piratage informatique. Les 10 équipes présentes sont celles ayant précédemment gagné leur place au cours des qualifications sur Internet. Cette année, c'est l'équipe « ACME pharm » qui a décroché la victoire devant les « Routards », l'équipe française terminant une nouvelle fois en deuxième position. Les autres concours, tels que le « Gringo warrior » (concours de lockpicking), « Mystery Challenge » ou encore « Beer cooling contest », où les participants doivent construire un appareil permettant de refroidir une bière le plus efficacement possible, ont toujours un gros succès. Mais c'est surtout le tout nouveau « Social Engineering contest » qui a marqué les esprits et qui a d'ailleurs vu son vainqueur obtenir exceptionnellement un très convoité « black badge », lui permettant de revenir gratuitement et à vie à la Defcon. Dans ce concours, une compagnie différente était attribuée comme cible à chacun des participants qui devait alors découvrir un maximum d'informations sur elle en utilisant des techniques de social engineering.

Cette édition a également vu l'apparition de plusieurs nouveautés, comme par exemple un réseau WiFi « sécurisé » qui a permis aux participants de profiter d'une connexion Internet. La connexion offerte est d'ailleurs passée de 20Mb/s à 75Mb/s cette année, avec une upgrade à 100Mb/s au cours du week-end dû à la surcharge de trafic. Le « Wall of Sheep », fameux mur indiquant la liste de mots de passe récupérés en « sniffant » les connexions Internet non sécurisées effectuées sur le réseau de Defcon à une nouvelle fois fait des victimes. Une personne a même réussi à se retrouver pour la 4eme année consécutive sur ce mur... En parlant des réseaux sans fils, notons que des réseaux ad hoc, ainsi que le SSID « Free Public WiFi » ont été détectés plus d'un million de fois au cours du week-end, ce qui a certainement plu aux autres clients de l'hôtel.

Une autre nouveauté est le « Tamper evident contest », proposé par The Dark Tangent en personne, qui demande aux participant d'ouvrir une série de boîtes toutes scellées par différents moyens, comme un cachet de cire ou un adhésif à fil métallique, utilisés de nos jours pour sceller un colis. Le but de ce concours est de récupérer le contenu de chaque boîte, et de replacer le scellé sans qu'aucune trace d'effraction ne soit visible. Énorme succès pour ce concours, qui a vu de nombreuses méthodes de scellés déjouées par les « Motherfucking professionnals » qui ont remporté le concours.

Cette édition à également vu de nombreux stands offrant diverses activités permettant de récolter des fonds pour l'EFF. Entre autres activités, un simulateur de tir, des stands de t-shirts et même la possibilité de vendre ses cheveux contre une donation à l'organisation ! D'où les nombreuses crêtes et autres coiffures invraisemblables aperçues dans les couloirs du Riviera. Lors de la cérémonie de clôture, le montant total offert à l'EFF à atteint les 39'200$. Le chèque à été remis à l'organisation par Jeff Moss.

Au milieu de ce nombre impressionnant de rendez-vous et concours, les rencontres entre participants de différents horizons ont apporté leur lot de discussions aussi amicales que passionnées. Le cœur de Defcon se situe aussi ici, dans les rencontres faites entre participants. Une fonction intégrée au badge permettait d'afficher quatre centres d'intérêt personnels, et de faciliter ainsi les rencontres. Bien sur, il est impossible de parler de Defcon sans mentionner les innombrables fêtes qui ont lieu tout au long du week-end. Il est cependant difficile d'en parler sans briser la loi du « What happens in Vegas, stays in Vegas ». Une mention particulière ira tout de même à la Freakshow et la Ninja party qui ont comme d'habitude attiré un grand nombre de personnes.

En définitive, impossible de faire un compte rendu complet de l'événement tant le nombre d'activités est important. C'est une occasion unique d'apprendre, de découvrir et de partager ses connaissances avec une foule de passionnés pendant quatre jours de folie où la moindre heure du jour ou de la nuit apporte son lot de surprises et d'histoires.

Rebecca Steinberg Herson, Commtouch : l'acquisition de Command AV va nous permettre d'offrir un service d'anti-virus à nos clients

Marc Jacob — 2010-08-06T11:44:11Z

Commtouch est une société israélienne basé à Netanya et en Californie. Depuis sa création en 1991, elle propose des services de sécurité « in the Cloud » à la fois pour les Services Providers et en OEM. Cette société propose des seervices de sécurité pour les mails et le Web. Lors de notre rencontre avec Rebecca Steinberg Herson, Vice President Marketing à Tel Aviv, elle nous a annoncé en exclusivité l'acquisition par sa société de Command Anti-virus une division de la société Authentium. Cette acquisition va permettre à son entreprise d'ajouter un service d'anti-virus basé sur de l'heuritisque à son offre.

GS Mag : Pouvez-vous nous présentez Commtouch ?

Rebecca Steinberg Herson : Commtouch a été fondée en 1991 et est aujourd'hui forte de 75 personnes. Nous sommes coté au Nasdaq quasiment depuis notre création.Nous sommes parmi les premières entreprise à avoir proposé nos solutions dans le Cloud. Aujourd'hui, nous avons 5 Data Centers dans le monde 3 aux Etats-Unis, un en Europe et un en Asie. Nos solutions sont disponibles uniquement en OEM et pour les Service Providers. Nous proposons à la fois de la sécurité des emails et du filtrage URL. Parmi nos partenaires nous comptons plusieurs leaders de la sécurtié comme Check Point, RSA, F-Secure, G Data, Panda Security… en France nous avons un contrat d'OEM avec Arkoon Network Security. Nous faisons partie de la Security Alliance. Nos partenariats et nos clients MSSP nous adressent tous les jours plus de 2 billions de mails afin que nous les analysions. Ces mails proviennent de particuliers et d'entreprises.

GS Mag : Comment fonctionne vos solutions ?

Rebecca Steinberg Herson : Nous proposons deux types de service la sécurité des mails et la sécurité du Web. Notre premier Anti-spam a été mis en service en 2002. Puis nos solutions ont évolué régulièrement par l'ajout de fonctionnalités. Ainsi, en 2006, nous avons lancé Globalview Mail Reputation. En 2008, se fut le tour de Globalview URL Filtering. Enfin en 2010 nous avons mis sur le marché Outbound Spam Protection. Tous nos produits sont spécifiquement conçus pour les services provider et pour être intégrés en OEM dans d'autres solutions de sécurité. Notrre technologie repose sur notre système Recurent Patern Detection (RDP). Elle fait de l'analyse des messages en vérifiant les adresses IP, les URL, la structure des messages. Ce dernier point est important car nous sommes totalement agnostiques de la langue utilisée pour le message. Nous proposons une protection en temps réel et nous bloquons 99% des spams, phishing, virus. Nous avons aussi un taux de faux-positif très bas. Pour la partie Web Protection, nous proposons une protection Zero Heure. Du fait que nos services sont In the Cloud, elles sont très facilement upgradable ce qui est parfaitement adapté pour les MSSP.

GS Mag : Vous venez d'annoncer l'acquisition de entreprise américaine qu'elle est votre stratégie ?

Rebecca Steinberg Herson : Effectivement, nous avons acquis la division Command Anti-Virus qui faisait partie de la société Authentium dont le siège est en Floride. En fait, dans notre offre il manquait un bon anti-virus. Cette société est reconnue par les principaux tests comme Virus Bulletin ou AV Test pour la qualité de son anti-virus basé sur des technologies Heuristiques. Cette société est forte aujourd'hui 20 personnes qui viendront renforcer notre équipe. Cette acquisition sera finalisée tout début octobre.

GS Mag : Est-vous présents en France ?

Rebecca Steinberg Herson :Nous n'avons pas de collaborateurs présents directement en France. Par contre, Sylavain Levy, un de nos collaborateurs est d'origine française et a en charge notre développement dans ce pays. Il doit développer les partenariats OEM et avec les MSSP. Nous serons sans doute présents aux prochaines Rencontres franco-israélienne de la sécurité organisées apr la CCFI le 14 octobre prochain.

Uri Rivner et Yinon Glasner, RSA AFCC : 2010, La bonne année pour devenir un cybercriminel !

Marc Jacob — 2010-08-04T19:25:23Z

Hertzelia est une des stations balnéaires d'Israël, mais cette ville est aussi connue pour sa zone d'activité où l'on trouve entre autre le nouveau centre de recherche de Microsoft et surtout l'AFCC (Anit-Fraud Command Center) de RSA. Nous avons eu la possibilité durant notre voyage d'étude de rencontrer Uri Rivner, Head of New Technologies, RSA Consumer Solution et d'Yinon Glasner, Team Leader, Knowledge Delivery Online Threats Managed Service de RSA. Ils passent la majeure partie de leur temps à traquer le cybercrime qui vise les utilisateurs des banques. Pour eux, 2010 est « la bonne année pour devenir un cybercriminel » : peu d'investissement, fort RoI et risque minime. Un véritable trio infernal qui est devenue une plaie pour le système bancaire.

Photo prise à 8h51 Photo prise à 10h29

Dés l'entrée de l'AFCC un panneau annonce la couleur : le montant des fraudes en lignes trouver par les équipes de RSA. Ce conteur s'incrémente toutes les secondes ainsi, entre 8h51 le début de notre visite et 10h29 (photo prise vers la fin de cette même visite) 461.597 $ auraient été volés. Ces actions sont menées bien sûr par des bandes très organisées où chaque équipe à un rôle bien défini. Uri Rivner explique : « le dark cloud existe depuis de nombreuses années. Il ressemble tout à fait au cloud public, ressource « on demand », capacité de stockage illimitée, données stockées n'importe où et disponible en 24/7… la seule différence est le prix peu élevée des prestations environ 50$/mois. Bien sûr, les machines qui hébergent cette « infrastructure noir » sont des réseaux de botnets. »

Uri Rivner

Actuellement, dans le milieu bancaire, Zeus détient la palme des Trojans. Il coûte pour les dernières versions environ 3.000$ mais les versions plus anciennes sont quasiment gratuites. Ce Trojan permet de dérober à la volée toutes les données du PC infecté : nom, prénom, mot de passe, contenu d'Outlook, fichiers… Les malheureux utilisateurs infectés le téléchargent en allant sur des sites apparemment légitimes : banques en lignes, site marchands... selon Uri Rivner environ 88% des PC des entreprises répertoriées dans les Fortunes 500 auraient au moins un PC infecté par Zeus. Ce ratio semble tout à fait plausible comparer au fait que les anti-virus du marché ne détectent que 45% des variantes de Zeus !

Schéma du circuit des réseaux de pirates informatiques

Voyage au cœur du cybercrime bancaire

L'organisation du cybercrime bancaire est constituée de deux grandes parties liées par un réseau de communication pour « fluidifier » le trafic, explique Yinon Glasner.

Une infrastructure technique qui conçoit les produits : Trojan, phishing… et les réseaux de botnets
Une infrastructure opérationnelle qui recrute les « mules », récupére les objets volés...

Ces deux infrastructures, souvent séparées, sont mises en relation par des intermédiaires que l'on trouve souvent sur les forums underground. Sur ces forums, il est possible de trouver aussi les « nouveaux produits » qui sont proposés via de véritables communiqués de presse ou de publicité. On y explique le mode d'infection, l'OS ciblé, le mode de fonctionnement du SAV… et bien sûr le prix. Grâce à ces indications les pirates informatiques peuvent évaluer leur RoI.

Bien sûr sur ces forums, on trouve aussi des malwares qui ne sont pas commercialisés mais réservés à des groupes de cybercriminels, comme par exemple « Silent Banker » ou « Torping Siwall ». On a aussi de véritables SSI qui proposent leurs services à des prix défiant toute concurrence. Ainsi, pour 23$, il est possible de se constituer un réseau de 1.000 Botnets et le prix est dégressif ! Par contre, un réseau ciblé pour un pays peut coûter entre 130 et 270$ pour 1.000 PC infectés. Certains réseaux proposent aussi des « Call Center » pour un prix de 10$ par appel abouti. Enfin, sur ces forums on trouve aussi de « véritables DRH » qui recrutent des « mules » pour le transfert d'argent.

Le règlement de ces prestations se fait généralement via Western Union voir même à l'aide de transactions bancaires frauduleuses… « La boucle est ainsi bouclée ! »

Yinon Glasner

L'AFCC le centre de réponse de RSA

Pur répondre à cette cybercriminalité, RSA a élaboré une stratégie multi-couches. Bien sûr, il y a des produits avec entre autre des solutions d'authentification, mais aussi une équipe dédiée qui répond en 24/7. Cette équipe se trouve dans une pièce à l'entrée de laquelle est écrit en lettres noires sur fond couleur or : « Here be heroes of Internet ! ». Cette équipe analyse en temps réel toutes les attaques sur des sites bancaires : e-mail, transactions… Dés qu'une transaction frauduleuse est repérée un mail est adressé à l'entreprise abonnée, généralement des banques, qui l'informe du type de fraude, fournit le lien URL suspect… Elle est composée de jeunes femmes et hommes qui travaillent sur deux PC à la fois : un pour analyser les informations reçues, un second pour adresser les mails aux banques abonnés. En moyenne, quelques heures après le début d'une attaque le client abonné est informé. Ces mails sont paramétrés par avances et peuvent être adressés en différentes langues, anglais, français, allemand, chinois… Reste aux banques concernées à prendre les contre mesure nécessaire. A côté de cette équipe, une seconde équipe analyse précisément, tous les nouveaux malwares en les dé-compilant afin de trouver à l'intérieur des codes quelles banques sont ciblées. Ces informations sont alors retransmises au premier groupe. Cette procédure permet de gagner encore du temps.

Ce service est proposé soit en installation direct via un soft soit en mode hébergé par RSA.

Gabi Reish, Check Point : Check Point Application Control Blade, du contrôle à la sensibilisation des utilisateurs

Marc Jacob — 2010-08-02T06:05:17Z

Gabi Riesh, Head Product Management de Check Point a présenté en avant première à la rédaction de Global Security Mag, lors d'un voyage d'étude en Israël, Check Point Application Control Blade, sa solution de contrôle de l'accès à des applications. Cette solution qui s'intègre totalement à l'offre de Check Point permet à la fois d'ajuster sa politique et de sensibiliser les utilisateurs.

Check Point a lancé officiellement le 2 août Check Point Application Control Blade. En avant première nous avons pu rencontrer Gabi Riesh, Head Product Management de Check Point qui nous a présenté les points forts de cette solution de contrôle d'accès aux applications internet, VoIP… Cette solution permet de détecter et de contrôler en temps réel l'accès aux applications de type Facebook, Twitter…, Plus de 4.500 applications, 50.000 réseaux sociaux et Widgets sont ainsi répertoriés et réparties en 150 catégories dans un Wiki appelé AppWiki. Cette base serait selon Gabi Reish la plus importante du marché aujourd'hui. Elle est "upgradée" régulièrement afin de tenir compte des nouveautés. Cette base de données est en accès libre sur le site de Check Point.

Cette solution est totalement paramétrable et permet aux administrateurs de pouvoir soit faire des groupes d'utilisateurs afin d'appliquer la politique de sécurité de l'entreprise. De plus à l'intérieur de ses groupes il est possible d'appliquer des règles d'exception.

Par ailleurs, comme dans les solutions de DLP de Check Point, des pop up permettent de sensibiliser les utilisateurs lorsqu'ils veulent allez sur des applications interdites. Par contre, un second pop up propose à l'utilisateur de créer des règles d'exception en les motivants. Ainsi, l'administrateur ou le RSSI peuvent assez facilement soit accéder à la demande soit la limitée ou encore la rejeter.

Cette solution sera disponible à partir d'octobre 2010 soit sur des Blades soit dans les appliances Check Point. Elle s'intégra directement dans la console centralisée des firewalls de la marque. Cette console propose des rapports sous forme de graphiques avec données sur l'utilisation de la bande passantes, des applications les plus utilisées. De surcroît, elle offre une lisibilité sur les risques potentiels qui pèsent sur l'entreprise à partir des informations sur les applications les plus utilisées.

Dan Sarel, Sentrigo : la protection des bases de données est capitale pour la survie des entreprises !

Marc Jacob — 2010-07-30T07:30:13Z

Depuis 2009, Sentrigo a renforcé sa présence en France et dans le monde. Ce spécialiste de la sécurisation des bases de données annoncera une nouvelle version de sa solution phare et une nouvelle stratégie commerciale. Dan Sarel, VP Produit de Sentrigo, rencontré lors de notre voyage d'étude en Israël dans la perspective des prochaines Rencontres de la CCFI (14 octobre à Paris) nous confie en « prime time » les grandes lignes de son actualité. Pour lui, les entreprises ne peuvent plus faire l'impasse de la sécurisation de leurs bases de données.

Caroline Kohn et Dan Sarel

GS Mag : Quelle est l'actualité de Sentrigo ?

Dan Sarel : Depuis notre dernière rencontre l'été dernier, nous avons conforté notre positionnement tant en Europe qu'aux Etats-Unis en termes d'implantation géographique. Nous avons aussi élargi notre gamme de solutions en ajoutant de la détection de vulnérabilités des bases de données. Enfin, nous allons annoncer dans le courant août une nouvelle stratégie et nous adresser directement aux clients finaux avec une solution dédiée. En effet, pour le moment nous ne travaillons qu'avec des consultants et des intégrateurs.

GS Mag : Justement, comment se porte votre réseau de distribution dans le monde ?

Dan Sarel : Notre réseau s'est étendu encore cette année, en particulier suite à la signature d'un partenariat au niveau mondial avec Integralis. En France, nous avons aussi amélioré notre réseau et en plus de Nes, nous travaillons aussi, entre autres, avec Advens. Pour le moment, nous n'envisageons pas de créer une filiale en France, car nous préférons approcher ce marché par l'intermédiaire de nos partenaires qui sont très bien formés à nos produits. Bien sûr, dans certains cas, nous venons les soutenir.

D'une façon générale, nous notons dans l'ensemble des pays un intérêt croissant pour la sécurité des bases de données qui est poussé par les législations en matière de sécurité.

GS Mag : Pouvez-vous nous décrire les principales nouvelles fonctionnalités que vous avez apporté à votre produit phare ?

Dan Sarel : Nous lancerons fin août de nouvelles fonctionnalités qui incluront du test de vulnérabilités. Nos clients pourront directement scanner leur bases de données, faire leurs propres tests, comparer les tests… Les entreprises pourront ainsi capitaliser très rapidement sur les résultats des tests de vulnérabilité et donc améliorer la couverture des risques. Nous avons élargi aussi la compatibilité aux bases de données de type DB2 et MySQL. Les clients SAP peuvent tester leurs bases de données.

GS Mag : Quel est votre message à nos lecteurs ?

Dan Sarel : Les actifs les plus précieux des entreprises sont les données sensibles. C'est une faute de sécurité que de penser que les bases de données ne doivent pas être protégées. De plus, avec le Cloud et la virtualisation, il est important d'utiliser des versions logicielles pour protéger les bases de données.

Vadim Pogulievsky, M86 Security : Des rootkits sont disponibles à partir de 100$

Marc Jacob — 2010-07-29T11:48:37Z

Vadim Pogulievsky est le Manager M86 Security. Pour cet expert en sécurité, familier des Black Hat Conference, Defcon…, les pirates informatiques ont de beaux jours devant eux. Dans son bureau, son PC contient près d'une trentaine de rootkits disponibles sur le Web au « marché noir » à des prix compris entre 100 et 200 dollars. Tous ces rootkits sont conçus pour faire de l'injection de codes malicieux sur les sites web légitimes. Bien sûr, Vadim Pogulievsky se trouve du côté blanc de la force. Son travail consiste justement à déceler les sites infectés et à comprendre les méthodes d'infections qu'utilisent les pirates informatiques. Rencontré au siège de M86 dans la zone industrielle de Netanya, il nous livre quelques méthodes utilisées par les pirates informatiques.

Selon Vadim Pogulievsky, Manager M86 Security, la France vient en dixième position en matière de sites infectés. En fait, environ 2% des sites français contiendraient des malwares dont l'objectif est d'infecter leurs visiteurs. Pour cet expert, les pirates informatiques sont de véritables professionnels qui cherchent à maximiser leurs gains. A titre de démonstration, sur sa propre machine, Vadim a près d'une trentaine de kits de développement de piratage dont les plus évolués fournissent de véritables consoles d'administration avec des statistiques sur les types de browser infectés, les vulnérabilités concernées, la « qualité » de l'infection… Bien sûr, ils sont « édités » en plusieurs langues en fonction des besoins de « clients ». Entre autres, il a fait une démonstration de « l'efficacité » d'un rootkit au nom romantique « d'Eleonore Exp. » qui offre la possibilité de construire de façon automatique des malwares. Il permet de cibler les attaques grâce aux informations contenues dans sa console d'administration qui donnent des statistiques précises. « Ce type de rootkit a été récemment utilisé contre une banque allemande. Les pirates informatiques avaient injectés un code qui permettait de modifier les dates des transactions, les montants et les destinataires. Ils avaient au préalable recruté en Moldavie des « mules » avec de véritables contrats de travail qui avaient ouvert des comptes courants dans cette même banque pour plus de discrétion. Par la suite, les mules retiraient l'argent en liquide pour le transférer via Western Union en Russie. En un week-end, 300.000 euros auraient été détournés. Au final, seules les « mules » ont été arrêtées par la police, les véritables instigateurs sont toujours en fuite. Devant cette pratique courante, les polices restent trop souvent impuissantes. En effet, trop de pays sont impliqués, les procédures sont longues et en plus certains Etats, comme l'Iran, la Russie… sont de véritables « havres de paix » pour les pirates informatiques » explique Vadim.

Côté nouveauté chez M86, Marcio Lempert, Senior VP EMEA Sales & GM Israel Operation de M86 Security, a annoncé pour octobre le lancement d'une console d'administration centralisée pour Secure Web Gatway, dont la technologie vient de celle utilisée déjà pour les produits issus de 8i6. "Nous allons continuer l'intégration des produits Finjan avec ceux de 8i6 avec, entre autres, la sortie d'une nouvelle solution de protection des URL. Cette année, un focus particulier sera mis sur la France où nous comptons déjà plusieurs grands comptes comme clients" a-t-il conclu.

Saar Bargay, Trustware : Buffer Zone, la liberté de surfer en toute sécurité

Marc Jacob — 2010-07-28T00:25:00Z

Créée en 2003, entre autres par Eyal Dotan, Trustware a lancé depuis 2006, BufferZone qui permet d'avoir une zone de surf virtuelle. Pour Saar Bargay, VP of Engineering de Trustware, cette solution permet de s'affranchir des mises à jour toujours fastidieuses et surtout de surfer en toute liberté et sécurité. Rencontré à Tel Aviv, Saar BArgay présente sa solution.

GS Mag : Pouvez-vous nous présenter votre entreprise ?

Saar Bargay : Notre entreprise a été fondée en 2003, entre autres par Eyal Dotan. Elle est située à Tel Aviv. Nous sommes actuellement une dizaine de personnes réparties entre Israël et les Etats-Unis. Nous sommes partis du constat que le Web engendrait de plus en plus de menaces et que l'utilisateur devait être toujours plus méfiant. Toutefois, il est en réalité très difficile pour un usager, même averti, d'éviter toutes les menaces. De plus, nous estimons que les mises à jour ne sont plus suffisantes pour remédier aux problèmes posés par les malwares, même si par ailleurs, il est important de déployer des outils de sécurité comme les suites antivirales. Ainsi, selon les statistiques des éditeurs d'antivirus 35% des PC seraient infectés. Plus de 11.000 seraient victimes de cross-site scripting… Partant de cette constatation nous avons créé BufferZone qui est une sorte de browser virtuel. Il nous a fallu environ trois ans de développement pour parfaire notre produit dont le début de la commercialisation a commencé courant 2006. Cette solution utilise la virtualisation pour isoler la navigation web.

GS Mag : Comment fonctionne votre solution BufferZone ?

Saar Bargay : BufferZone est proposé sous forme de soft qui s'installe en quelques minutes. Il ne nécessite ni base de signatures, ni listes d'update. Lors de l'installation, l'administrateur peut soit protéger toutes ses applications, soit sélectionnés les applications les plus critiques. Ainsi, le surf de l'utilisateur se déroule dans une zone virtualisée totalement hermétique qui est balisé par un cadre rouge afin de prévenir l'internaute. Grâce à notre solution, si un malware s'installe, il ne peut se propager ou s'exécuter sur le disque dur du PC. De plus, les fichiers, Outlook… sont cachés grâce à notre produit. Si un spyware veut voler des données ou le contenu d'Outlook… il ne peut les trouver. Par ailleurs, tous les fichiers attachés reçus dans Outlook sont automatiquement ouverts dans BufferZone. Si un malware est dissimulé, il ne pourra pas s'exécuter sur la machine de l'utilisateur.
Par contre, l'utilisateur peut se créer des zones d'exception pour des sites réputés « sûrs ». Ainsi, lors de la navigation, un cadre de couleur verte se positionnera autour de la fenêtre ouverte.

GS Mag : Quels sont vos projets ?

Saar Bargay : Nous travaillons actuellement sur la possibilité pour l'utilisateur de pouvoir avoir accès à ces fichiers lors de la navigation. Nous souhaitons aussi attaquer le marché français et nous serons sans doute présents aux prochaines rencontres de la Sécurité organisées par la CCFI.

GS Mag : Comment commercialisez-vous votre produit ?

Saar Bargay : Nous ciblons plusieurs marchés. En premier, le marché du grand public. Nous avons mis en ligne une version limitée qui est en téléchargement libre sur notre site Web. Nous proposons, bien sûr, une version payante non bridée. Nous avons aussi des partenaires éditeurs qui intègrent BufferZone dans leur solution de sécurité. Enfin, nous adressons le marché de l'entreprise. En effet, la problématique de la protection du End Point concerne toutes les organisations.

Ron Meyran, Radware : DefensePro, une seule appliance pour répondre aux nouvelles menaces

Marc Jacob — 2010-07-27T12:33:45Z

Ron Meyran est "Director of Security Products" de Radware. A l'occasion d'une rencontre à Tel Aviv, il présente les nouvelles solutions de son entreprise. Selon lui, pour faire face aux menaces, les entreprises ont besoin de l'association d'un IPS, d'une analyse heuristique et d'un système de prévention des DoS. Ainsi, DefensePro propose en une seule appliance ces trois solutions.

« Depuis plusieurs années, nous avons constaté une évolution des menaces vers une simultanéité des attaques qui conjuguent à la fois du Déni de Service distribué, des envois de malwares inconnus et des attaques massives de spam par des réseaux de bonets de plus en plus grands. Ainsi, en 2009, on a vu, entre autres, plusieurs attaques en direction d'administrations américaines réalisées par des réseaux de plus de 50.000 botnets » a expliqué Ron Meyran.

« Pour répondre à ce type de menaces, nous avons conçu DefensePro qui propose en une seule appliance d'offrir de l'IPS, une protection contre les DoS et une plateforme anti-malwares qui fonctionne avec de l'analyse heuristique. L'intérêt de notre solution est qu'il est facile de monter en capacité par l'acquisition de softwares. L'administrateur n'a pas à tout réinstaller. Il s'agit en quelque sorte d'ajout de « mémoire » supplémentaire. La capacité de chaque appliance peut monter jusqu'à 12Gbps de trafic légitime.

Concernant le DoS, il faut rappeler que Radware en mai dernier a enrichi son portefeuille de brevets de sécurité de trois brevets américains.
No. 7617170 “Generated Anomaly Pattern for HTTP Flood Protection” (Modèle d'anomalie générée pour la protection contre le flood http),
No. 7624084 “Method for Generating Anomaly Pattern for HTTP Flood Protection” (Méthode pour générer un modèle d'anomalie pour la protection contre le flood HTTP),
No. 7607170 “Stateful Attack Protection” (Protection contre des attaques “stateful”). (cf. article http://www.globalsecuritymag.fr/Def...).

Ces trois brevets couvrent un système, une méthodologie et une approche visant à détecter l'utilisation malveillante du web par un botnet et les attaques par déni de service.

Dans chaque appliance, on trouve trois modules :

DME pour prévenir des DoS qui fonctionne avec un ASIC
SME pour l'IPS qui fonctionne aussi avec un ASIC
NBA pour l'analyse heuristique.

Bien sûr, cette appliance propose une console d'administration centralisée qui fournit des rapports graphiques paramétrables en fonction des besoins des équipes SSI. Ces rapports sont conformes à la norme PCI-DSS.

En 2009, nous avons créé une équipe de veille qui permet de répondre sous 30 minutes à tous problèmes de nos clients, en particulier en cas d'attaques. Elle travaille en 24/7. Chaque dossier est pris en trente minutes et nous proposons une solution dans les délais les plus courts possibles. »

La France au cœur de notre développement

« Depuis 2010, nous nous sommes focalisés sur notre développement en France. Ainsi, nous avons recruté Isaac Boccara en tant que country Manager et nous participerons aux Assises de la Sécurité. Nous avons plusieurs clients parmi lesquels des grands comptes et des administrations » a conclu Ron Meyran.

Zouhir El Kamel, Config : Nous souhaitons adresser le marché des grands comptes

Marc Jacob — 2010-06-07T00:05:00Z

La Config Partners est l'occasion pour les partenaires (éditeurs et intégrateurs) et pour les collaborateurs de Config d'établir des contacts fructueux en privilégiant la convivialité. Pour les équipes de Config, il s'agit de trouver un difficile équilibre entre moments de travail intense et de détente, le tout dans un timing serré. Pour cette cinquième édition, l'objectif est atteint aux dires de la centaine de participants venus de près d'une dizaine de pays de la France à la Suisse en passant par les pays du Maghreb et l'Afrique francophone. Les éditeurs estiment le retour plus que positifs : ils ont rencontré des intégrateurs, découverts toute l'équipe de Config et aussi échangé des informations entre eux. Pour les intégrateurs c'est aussi le moment de discuter entre confrères afin d'échanger sur les problèmes rencontrés, les solutions trouvées, mais aussi envisager des opportunités de collaboration sur certains projets.

Aujourd'hui, Zouhir El Kamel souhaitent adresser le marché des grands comptes afin de détecter de nouveaux projets pour ses intégrateurs. L'important étant de générer du business pour l'ensemble de ses partenaires.

GS Mag : Quelle est l'actualité de Config ?

Zouhir El Kamel : A part bien sûr l'édition 2010 de la Config Partners à Marbella, c'est la signature d'un partenariat avec Microsoft pour la commercialisation de l'offre de sécurité Forefront. La mise en place de ce contrat nous a demandé beaucoup d'effort et mobilisé pleinement mes équipes. En parallèle, nous avons signé des partenariats avec Exceliance, EdenWall, NEC et Synerway depuis le début de l'année. Les solutions Synerway nous permettent de compléter l'offre de Bakbone que nous avons en portefeuille depuis 2009.

GS Mag : Quels sont les pays dans lesquels vous êtes présents, où votre business se développe le plus rapidement ?

Zouhir El Kamel : En premier lieu, je dirais que c'est le Maroc. C'est en effet, un grand pays avec donc un marché important et dont les législations en matière de sécurité conduisent les entreprises et les administrations à avoir de gros besoins. En second lieu je dirais que c'est la Tunisie, mais c'est un plus petit pays avec donc un marché intérieur en conséquence.

Notre progression se fait aussi en Afrique francophone de façon satisfaisante, mais c'est un marché plus complexe qui mobilise beaucoup d'énergie. D'ailleurs, nous essayons d'ailleurs de trouver des partenaires relais pour cette région.

GS Mag : Pourquoi avoir créé il y a cinq ans déjà la Config Partners ?

Zouhir El Kamel : Nous avons des partenaires, "éparpillés" sur toutes les régions que nous couvrons. C'est donc l'occasion d'en rencontrer un grand nombre sur trois jours dans une ambiance chaleureuse, détendue mais aussi avec des moments de travail intense. Nos intégrateurs sont aussi très heureux de rencontrer en une seule fois la plupart des marques que nous avons en portefeuille. C'est aussi l'occasion pour eux de faire part de leurs remarques aux éditeurs sur les solutions qu'ils proposent, de découvrir de nouvelles marques et de nouveaux produits…

Cette année, nous avons 45 intégrateurs qui sont venus à Marbella, ce qui fait avec les éditeurs et nos équipes plus d'une centaine de personnes présentes.

Les tables-ronde sont une manière conviviale pour les éditeurs, les intégrateurs et nos collaborateurs de mieux se connaitre

GS Mag : Quels sont les points de cet événement ?

Zouhir El Kamel : C'est tout d'abord la première journée où les éditeurs font des présentations d'une trentaine de minutes pour donner envie aux intégrateurs de les rencontrer individuellement le lendemain matin autour d'un petit-déjeuner qui dure près de 4 heures. Ce petit-déjeuner est l'occasion pour les éditeurs, les intégrateurs et nos collaborateurs de mieux se connaître et d'échanger de façon conviviale : pour les intégrateurs leurs projets et pour les éditeurs sur les solutions qui permettent d'y répondre. Les employés de Config sont aussi présents afin de faciliter ses échanges et donner des exemples de déploiement…

Puis dans l'après-midi, ces échanges peuvent se poursuivre de façon informelle autour de la piscine de l'hôtel ou d'un verre…

Lors de la Config Partners, nous privilégions les rapports humains, la convivialité, voire même l'amitié entre les différents acteurs !

GS Mag : Quels sont vos projets pour cette fin d'année ?

Zouhir El Kamel : Nous commençons à développer une approche client final pour nos revendeurs-intégrateurs. Nous souhaitons adresser les grands comptes afin de détecter en amont les projets et les adresser à nos revendeurs. Nos partenaires semblent assez contents de cette démarche novatrice de génération de leads car cela va leur faciliter la tâche.

GS Mag : Quel est votre message à nos lecteurs ?

Zouhir El Kamel : L'intégration et la maintenance des solutions de sécurité chez les clients finaux nécessitent une montée en compétence des intégrateurs et des clients. Il y a actuellement un déficit dans ce domaine qui conduit souvent à une remise en cause des produits alors que le problème vient souvent de l'intégration et/ou de la maintenance.

Christian Maillard, Synerway : Config va nous ouvrir des opportunités sur ces marchés cibles

Marc Jacob — 2010-06-06T10:04:34Z

Avec déjà 7.000 appliances de sauvegardes de données déployées dans le monde, Synerway est un acteur français qui, comme dit la maxime, « gagne à être connue ». Christian Maillard, PDG Synerway participe pour la première fois à la Config Partners, pour lui s'est l'occasion de rencontrer en une seule fois tous les collaborateurs de Config et ces principaux intégrateurs.

GS Mag : Pourquoi avez-vous fait le choix de venir à la Config Partners ?

Christian Maillard : En fait, nous venons de signer un partenariat de distribution avec Config grâce à à son représentant en Suisse Gaël Landin que je connaissais car il avait vendu près d'une trentaine d'appliances Synerway dans sa précédente entreprise. C'est ainsi qu'il m'a présent Zouhir El Kamel le dirigeant de Config et que j'ai signé ce contrat de distribution sur l'ensemble des pays couvert par Config.

Venir à la Config Partners, c'est pour moi l'occasion de rencontrer à la fois tous les collaborateurs de Config et aussi ses principaux intégrateurs dans l'ensemble des pays qu'il adresse. C'est donc beaucoup de temps de gagner et en plus d'une ambiance très sympathique et conviviale.

GS Mag : Que présentez-vous sur cette édition ?

Christian Maillard : Nous avons présenté notre solution de traitement des données pour faire de la sauvegarde. Nous avons donc montré les appliances Synerway qui vont jusqu'à des capacités de 32 terras. Suite à notre conférence, j'ai eu de nombreux intégrateurs qui se sont montrés très intéressés par nos solutions. Après seulement trois mois de partenariat avec Config, il me semble qu'il y a déjà un portefeuille de projets important autour de notre offre.

GS Mag : Quels sont les pays couverts par Config qui semblent les plus matures par rapport à votre offre ?

Christian Maillard : Au départ j'avais souhaité que Config, nous distribue uniquement en Suisse. Toutefois, j'ai rapidement été convaincu par Zouhir El Kamel que des opportunités de business importantes pouvaient venir des autres pays qu'il adresse en particulier au Maghreb et en Afrique où nous avons déjà quelques clients. Par expérience je sais que ce sont des marchés assez compliqués avec des cycles de décision parfois long. Pour ce qui concerne la France, c'était aussi une opportunité pour nous de recruter de nouveaux intégrateurs.

GS Mag : Quel est votre message à nos lecteurs ?

Christian Maillard : Vous ne connaissez peut-être pas encore Synerway, mais si vous avez un projet de protection des données, nous avons sans doute une réponse. Nous avons déjà plus de 7.000 appliances déployées dans le monde, alors pourquoi de pas venir en discuter avec nous ?