Generation Libre

 Détection d'intrusions, pare-feu, filtrage des mails et PKI : le logiciel libre ne cesse de marquer des points dans l'univers de la sécurité.

Logiciels libres et sécurité ne feraient pas bon ménage. L'ouverture du code rendrait ces outils vulnérables. Un argument battu en brèche : les entreprises, y compris les plus grandes, n'hésitent plus, en effet, ? recourir ? des solutions issues de la communauté open source pour sécuriser leur système d'information. D'ailleurs, l' open source constitue bien souvent le socle des offres commerciales ! Cela est vrai pour les boîtiers de sécurité qui embarquent les systèmes d'exploitation FreeBSD ou OpenBSD, mais aussi pour de pures solutions logicielles dont les algorithmes et les moteurs sont issus de la communauté du libre.

Plus étonnant, les failles majeures sont moins fréquentes dans les solutions open source et sont corrigées plus rapidement. Nombre de produits libres sont devenus des références. Même leurs richesses fonctionnelles n'ont rien ? envier aux offres commerciales, si ce n'est une fâcheuse constante ? l'absence de modules d'administration et de configuration graphiques. Dans quatre grands domaines de la sécurité, faire confiance ? l' open source représente un choix raisonné.

Détection d'intrusions et de vulnérabilités

« L'IDS [Intrusion Detection System, ou détection d'intrusions, NDLR] n'est pas un besoin régalien de la sécurité, mais doit être vu comme un plus pour élever, ? terme, son niveau de protection », rappelle Franck Dubray, consultant sécurité pour Intrinsec. La gratuité de l' open source constitue donc un atout majeur dans une logique de sécurité additionnelle. Et Snort, fleuron de l'offre libre IDS réseau, est le choix qui s'impose. Il est ? l'origine de tous les systèmes de détection d'intrusions commerciaux, avec son modèle de filtrage par signatures et règles. A ce jour, plus de 2 000 signatures d'attaques alimentent son moteur. Lesquelles sont souvent intégrées dans les produits commerciaux.

Snort a suivi les mêmes évolutions fonctionnelles que les autres IDS : de la simple détection des anomalies des entêtes IP et TCP vers la prise en compte des flux UDP et des paquets ICMP. Il connaît d'ailleurs les mêmes travers. Notamment, une difficulté ? filtrer rapidement des flux de 1 Gbit/s ou plus. « Le moteur de Snort n'est pas en cause », plaide Franck Dubray. Il préconise toutefois d'affecter le logiciel ? la surveillance de réseaux locaux de 100 Mbit/s.

Les reproches les plus probants faits ? l'encontre de Snort concernent son administration, quasi inexistante, et la configuration hermétique en mode ligne de commandes. La situation évolue, cependant, et les consoles d'administration se multiplient. Certaines sont d'origine propriétaire, tel Demarc, d'autres sont issues du libre, ? l'instar d'IDSCenter, ou d'Acid (Analysis Console for Intrusion Databases), le plus réputé. Ce moteur en PHP corrèle et analyse les alertes remontées par Snort pour établir des tableaux de bord.

Plus élaboré, Ossim (Open Source Security Information Management) corrèle les alertes Snort avec les informations fournies par le scanner de vulnérabilités Nessus. Développé par le Français Renaud Deraison, ce dernier se pose en complément indispensable de Snort pour réduire le taux de fausses alertes. A l'exception de Qualys, les éditeurs du marché ont directement puisé dans ce logiciel pour bâtir leur propre offre. Nessus, utilisé conjointement avec Snort et Prelude, un IDS ? la fois réseau et hôte, forme le triumvirat majeur de la détection d'intrusions. Et Ossim la base d'intégration qui manquait ? ces outils.

Filtrer le réseau et les applications

« 90 % des fonctionnalités utilisées par les entreprises sont disponibles dans le pare-feu open source Netfilter/IPTables », affirme Benjamin Drieu, consultant en sécurité chez Alcôve. Et selon lui, les 10 % restants ne sont pas majeurs. Ainsi, la gestion de sessions (ou stateful ) demeure impossible en mode répliqué. Cette fonction sert ? ne pas perdre une connexion TCP lorsque l'un des pare-feu tombe. Elle n'a pas d'impact direct sur la sécurité, mais est requise par des applications qui ne tolèrent aucune interruption (applications bancaires par exemple).

Avec Netfilter et son interface de commande IPTables, on retrouve une caractéristique majeure de la sécurité en open source : la spécialisation. Ce pare-feu filtre les paquets de manière dynamique en tenant compte de l'état des sessions, et gère la translation d'adresses et de ports. Des fonctions propres ? cette famille d'outils. En revanche, il ne s'aventure pas dans le réseau privé virtuel, une fonction disponible dans de nombreux pare-feu commerciaux. Il délaisse de la même façon le filtrage applicatif (niveau 7 du modèle OSI).

On obtient cette fonction en configurant finement, avec des règles établies par protocole, un proxy de type Squid. Le module IPTables autorise toutefois le marquage de paquets entrants pour un traitement ? la volée. Ce qui permet d'envisager une analyse des données applicatives des paquets, qui n'est pas encore développée.

En revanche, la difficulté d'administrer de manière centralisée les pare-feu Netfilter/IPTables pose vraiment problème. Nul n'est plus efficace que Check Point Software en la matière. Le logiciel libre Firewall Builder s'inspire largement de l'éditeur israélien sans parvenir ? l'égaler. Il gère les logiciels libres IPTables, IPFilter, et OpenBSD Packet Filter, ainsi que PIX, le pare-feu de Cisco. Le défaut d'administration constitue la seule vraie faiblesse des pare-feu libres, selon Fabien Maréchal, responsable de la sécurité des systèmes d'information de la Direction générale du Trésor et de la Politique économique. Ce qui ne l'empêche pas d'affirmer : « Aucun pare-feu du monde propriétaire ne surpasse Netfilter/IPTables ».

Le filtrage des messages

La lutte contre le pourriel est l'activité qui a le plus profité de l' open source . Solution abondamment empruntée par les éditeurs, le logiciel SpamAssassin s'appuie sur le premier algorithme bayésien (traitement statistique) proposé librement par Paul Graham en 2002, alors chercheur au Massachussetts Institute of Technology. Alors que les éditeurs misaient sur la reconnaissance des mots clés pour identifier les courriers indésirables, la communauté open source développa ce qui est devenu la référence : le filtrage par méthode bayésienne.

Depuis lors, les éditeurs ont emboîté le pas ? SpamAssassin sans jamais le surpasser. La différence réside dans les interfaces d'apprentissage de son contexte d'exploitation. Il s'agit d'une phase primordiale de l'antispam qui doit filtrer au plus près des besoins de l'entreprise. « C'est un travail fastidieux dans un grand compte », reconnaît Franck Dubray, d'Intrinsec.

Nerim, fournisseur de services DSL, a misé sur l' open source pour filtrer ses courriers électroniques et ceux de ses clients. 30 000 e-mails sont quotidiennement passés au crible par SpamAssassin et par l'antivirus ClamAV. Installé sur la passerelle de messagerie, ce logiciel open source détecte et bloque plus de 20 000 virus et vers. Une dizaine de développeurs permanents enrichissent la base de signatures. Avec son module Freshclam, on obtient un équivalent ? la mise ? jour automatisée de l'outil de Symantec. Les ressources des éditeurs phares devraient garantir une meilleure réactivité. Mais il est arrivé ? plusieurs reprises qu'une signature de virus soit disponible dans ClamAV avant de l'être chez les ténors de la lutte antivirale. Un comble, lorsque l'on sait que c'est ce service qui justifie le coût d'un antivirus commercial. La différence ne s'effectuant plus sur le moteur.

Les infrastructures ? clés publiques

Sur le terrain du prix, les infrastructures ? clés publiques (ICP ou PKI) libres sont imbattables, bien que payantes. Elles coûtent cinq fois moins cher que les solutions propriétaires. Mais le prix ne constitue plus leur seul argument. « Désormais, nous remportons des projets parce que notre PKI offre une plus grande richesse fonctionnelle », explique Sébastien Abdi, de la société de services en logiciels libres IdealX. Son offre, baptisée IDX-PKI, est compatible avec des cartes ? puce et des lecteurs d'origine Oberthur et Gemplus, ainsi qu'avec les jetons d'authentification SafeNet ikey.

L'ICP open source continue de marquer des points. Ainsi, Oberthur travaille avec IdealX pour fournir une applet et un middleware normés, de sorte que les administrations n'aient plus ? se soucier de leur fournisseur de cartes ? puce. Un souhait d'indépendance que l'on retrouve dans l'Administration française. Le ministère de l'Agriculture, de l'Alimentation, de la Pêche et des Affaires rurales a ainsi fait le choix d'une PKI open source . « D'abord, nous devons générer nos propres certificats serveurs de façon ? ne pas en acheter. Et la PKI nous sert ? sécuriser les sessions en SSL, ? signer, ? chiffrer les messages et ? s'authentifier auprès des applications », dit Louis Di Benedetto, le responsable du projet de PKI, dont l'échéance est prévue en début 2005.

Apparues en 2002 lorsque leurs équivalents dans le monde propriétaire avaient déj? quatre ans d'ancienneté, les PKI open source dépassent désormais leurs aînées. L'intégration des nouveaux standards - tels OCSP, qui contrôle la validité d'un certificat, et TSP, qui assure la délivrance de tickets d'horodatage - s'effectue plus rapidement. L'évolutivité est assurée avec des logs XML générés par la PKI d'IdealX, et par une API HTTP pour créer des requêtes depuis d'autres applications. La PKI open source, qui se présentait jusqu'? présent comme une succession de briques au-dessus d'un composant OpenSSL, a su s'émanciper pour proposer de réelles infrastructures intégrées.

• Source article