Access to the content		Beginning of the report
	Description		Report of the RSA conference 2003, held 14-16 Avril 2003 in San Francisco, USA
	Context & Dates		Report made for Netcost & Security Magazine . 22 April 2003 - Report writing 15 July 2003 - Publication on HSC's web site
	Author		Hervé Schauer (Herve.Schauer@hsc.fr)
	Type
	Abstract & Table of content		Participation Les faits de 2003 La fin de l'eldorado de la détection d'intrusion Les firewalls deviennent applicatifs Les tunnels SSL domine les applications extranet Le poste de travail est un composant crucial La gestion d'identité remplace les IGC Quelques produits Conclusion
	Related documents
	Copyright		© 2003, Hervé Schauer Consultants, all rights reserved.

L'exposition RSA 2003 a réuni comme chaque année plus de 200 exposants du 14 au 16 Avril 2003 à San Francisco. Elle demeure sans doute la plus importante exposition en sécurité dans le monde.

Malgré cette large participation, le marché n'est pas stable car il y a un fort renouvellement des exposants, mais le nombre total d'acteurs reste stable. Dans les fabricants de boitiers habituellement présents, 3Com et Top Layer n'avaient pas de stands à cette exposition. Chez les éditeurs de PKI les absences de Baltimore, Entrust et Valicert, pourtant habitués de longue date, sont remarquées. A noter également l'absence de TippingPoint qui avait un stand gigantesque en 2002, dans le domaine de l'analyse de contenu absence de Kavado, ou dans la détection d'intrusion d'ISS. Une absence laisse toujours planer un doute sur la santé financière des ces entreprises même si c'est un choix marketing de leur part. Le monde des infrastructures de clés est pour sa part peut-être à un tournant. A l'inverse, les rares absents de 2002 comme Nokia ou NAI étaient bien présents cette année. Enfin il faut noter une faible participation française avec Gemplus et Schlumberger, les autres les français ActiveCard, Alcatel, Bull, etc, présents les années précédentes, n'étaient plus là, alors que de nombreuses sociétés Allemandes s'étaient déplacées. Au final et avec le renouvellement des exposants, le nombre total d'acteurs reste stable.

En terme de direction du marché cette exposition apporte de faits clairs : la détection d'intrusion est remplacée par la prévention des intrusions; les firewalls deviennent résolument applicatifs et concentrés sur le flux du port 80, avec HTTP comme protocole de base de l'internet; les accès distants sont de plus en plus basés sur SSL à la place d'IPsec; et la gestion d'identité remplace les infrastructures de clés (IGC/PKI), services de confiance, signature électronique ou en encore annuaires et SSO (Single-Sign-On).

Les analystes réunis pour la presse (Burton Group, Gartner, etc) ont affirmé haut et fort que les logiciels de détection d'intrusion avaient échoués : plus des trois-quarts d'entre eux sont inexploités, ils demandent trop de ressources humaines et des compétences trop élevées. La prévention des intrusions (IPS : Intrusion Prevention System), nouvelle formule à la mode notamment pour permettre aux fournisseurs d'IDS de se repositionner, n'est à leur yeux qu'un mot pour faire du firewall au niveau applicatif, et utiliser des signatures dans le filtrage. Le besoin de base des utilisateurs et un système actif, qui arrête les paquets, pas un système qui détecte de manière passive. Enfin pour eux l'avenir des IDS se situe désormais essentiellement que sur le poste de travail, à l'image de NAI qui rachète 2 technologies pour cela.
Des exemples dans ce domaine : Sandstorm [www.sandstorm.net] avec NetIntercept se transforme en logiciel d'analyse et d'enquête. Q1 Labs [www.q1labs.com] intègre son système d'analyse de comportement dans les boîtiers Top Layer. Une autre nouvelle société présente avec de gros moyens cette année est DeepNines [www.deepnines.com] avec Sleuth9, qui propose un firewall très complet sur Solaris ou Linux. Sur le papier il intègre la prévention des intrusions avec une base de données de signature, un filtrage avec état et même le support du filtrage IPv6 pourtant très complexe.

Aussi bien en entrée du réseau qu'en sortie, le focus est le firewall dans le port 80, avec un filtrage et une analyse dits "applicatifs", pour indiquer que ce sont le contenu des données transportées par le protocole HTTP qui sont filtrées. Dans ce secteur précis de nouvelles sociétés sont même créées et la morosité ambiante n'est pas de mise : Netcontinuum [www.netcontinuum] engrange 20 M$ d'investissement et propose une nouvelle gamme de boîtier de terminaison SSL et filtrage en entrée des flux HTTP. Ingrian [www.ingrian.com] étends les fonctionnalités de ses boîtiers. BlueCoat [www.bluecoat.com] permet un filtrage très poussé du port 80, qui au-delà de l'analyse de contenu permet même un filtrage des messageries instantanée et une analyse du contenu dans celles-ci.

Ces firewalls applicatifs qui filtrent le port 80 rejoignent dans leurs fonctionnalités les boîtiers conçus pour construire des extranets basés sur SSL/TLS, qui peuvent permettre de remplacer des tunnels IPsec, comme SafeWeb Secure Extranet Appliance [www.safewebinc.com], Neoteris [www.neoteris.com] précurseur du domaine et Aventail [www.aventail.com]

Enfin, en complément des firewalls traditionnels sur son périmètre et de l'essor des tunnels SSL, le logiciel de sécurité sur le poste de travail devient un élément clé de la sécurité. Il associe Firewall, VPN chiffré, détection d'intrusion, anti-virus, et un système de configuration centralisé, qui commence même à vérifier l'intégrité du poste de travail et son niveau de correctif avant d'autoriser la connexion du poste au réseau et des droits d'accès dépendant de la localisation du poste dans le réseau. Ce sont les fruits des vers SQL slammers arrivés sur les réseaux internes des entreprises par des ordinateurs portable nomade d'un réseau à l'autre qui ont mis en lumière récemment ce besoin. Les principaux éditeurs mettant en avant cette intégration future étaient notamment NAI [www.nai.com], Sygate [www.sygate.com] en pointe dans le domaine, Symantec [www.symantec.com], Zone Labs [www.zonelabs.com], etc.

Il n'est plus question d'IGC ni de SSO ni même d'annuaire. Le seul mot d'ordre est gestion des identités (identity managment). Les produits derrière demeurent cependant toujours les mêmes, les éditeurs aussi comme Computer Associates, Oblix [www.oblix.com], RSA qui se positionne résolument sur le sujet, etc. Beaucoup proposent de l'infogérance comme Verisign avec son service Trust Gateway qui persiste à confondre contrôle d'accès et sécurité des échanges et Ubizen qui propose un service similaire - mais avec le même nom OnLine Guardian que l'infogérance de firewalls. Positionné un peu différemment, Oblix NetPoint facilite la gestion dans son annuaire de l'authentification des utilisateurs et de leurs autorisation d'accès et dans le même domaine Courion [www.courion.com] offre un système de gestion de helpdesk facilitant l'interface de celui-ci avec l'annuaire ou la base de données des utilisateurs, et Arcot [www.arcot.com] une gamme complète de systèmes de gestion d'identité.
Attention, le vrai support de méthodes permettant à des applications différentes de réutiliser l'authentification de l'utilisateur comme SAML n'est pas toujours clair et dans ce domaine. Tout ce qui a été présenté à RSA se caractérisait encore cette année par des solutions propriétaires et une faiblesse d'interopérabilité qui freinera encore le marché. Il faut toujours bien maquetter ses projets dans le domaine.
Cette gestion d'identité dérive jusqu'aux premiers produits utilisant TCPA avec Embassy de Wave [www.wave.com] qui propose une autorité de certification permettant une signature de documents PDF dont la confiance repose sur les composants électronique du matériel TCPA. Puis le système de gestion d'identités grand public de Liberty Alliance, promu partout, et notamment pas la division services de Sun. Ce type de système permettra aux sites sur Internet d'utiliser une identification unique entre services différents, facilitant les recoupements.

Firewall

Cloudshield, qui avait présenté sa technologie en avant-première en 2002 [www.hsc.fr/ressources/veille/rsaconf2002.html.fr], était présent pour la première fois sur l'exposition avec son boîtier de filtrage et d'interception déjà utilisé dans la construction de l'infrastructure échelon. Le boîtier désormais accessible aux entreprises se connecte sur deux interfaces optiques Sonet OC-48c ou Gigabit Ethernet. Il est agnostique aux protocoles, son système de configuration très particulier permet de définir la grammaire du protocole à filtrer dans une interface graphique en Java, IP ou SS7.

Tous les autres fabricant habituels de firewalls étaient présents comme Checkpoint avec un stand de 9m2, Cisco, Netscreen, Nokia, Nortel, Stonesoft, etc sans présenter de produits réellement nouveaux.

Le groupe australien de défense Tenix [www.tenix.com] propose un boîtier de cloisonnement de réseau, certifié au niveau E6 en Australie mais dont la cible d'évaluation n'est pas disponible. Ils se sont même lancés, aux USA, dans une évaluation E7. Il n'a pas été possible sur le stand de savoir comment leur boîtier Data Diode fonctionne en interne. Il supporte les protocoles FTP et SMTP, et garanti que l'information ne peux passer que dans un sens, permettant une interconnexion, par exemple, d'un réseau secret à un réseau confidentiel.

Gestion centralisée et corrélation de journaux

Plusieurs sociétés méconnues mais avec des logiciels qui semblent très complets comme ArcSight [www.arcsight.com] à la fois temps réel et permettant des investigations par la suite et TowerView de HighTower [www.hightowersecurity.com].
Ces outils viennent presque toujours de développements sur mesure, réalisés pour un grands clients comme une grande administration américaine. L'expérience a montré que même développé pour la NSA ou le DoD, la survie de ces entreprises n'est jamais acquise. Les acteurs un peu plus connus du secteur ne sont pas tous là. Est notamment présent Arbor [www.arbornetwork.com] avec son boîtier Peakflow de corrélation de données issues de NIDS.

Produits divers

Il est facile d'oublier les éditeurs "classiques", dont le produit n'est ni innovant, ni un firewall, par exemple F-Secure dont les versions de SSH ont toujours du succès car l'usage de SSH est toujours en phase ascendante.

Ncircle [www.ncircle.com] propose un boîtier de tests de vulnérabilités basé sur une technologie propriétaire, avec une gestion centrale de plusieurs boîtiers.

Messagesoft [www.messagesoft.com] propose un logiciel anti-spam SMG qui s'intègre dans n'importe quel serveur de messagerie, mais il n'était pas possible de vérifier sur le stand l'efficacité et la rapidité surprenante affichés par l'éditeur.

Pour revenir sur un domaine en vogue : la sécurité des réseaux sans fil, il n'y avait aucune innovation notable, mais plusieurs fournisseurs essayent d'en profiter notamment avec la fourniture de cartes à puce ou tokens pour authentifier les utilisateurs, comme chez Gemplus, Raak [www.raaktechnologies.com], Schlumberger. Ou bien pour vendre des VPN chiffrés à la place de l'utilisation 802.1X et le WEP de seconde génération (Note de l'auteur : Attention un VPN complémente la sécurité sans fil mais ne la remplace pas et il faut authentifier au niveau réseau ses utilisateurs de réseaux sans fil).

Plus spécialisé Phaos [www.phaos.com] propose une gamme très complète de bibliothèques Java pour développeurs, implémentant tous les protocoles et mécanismes de SSL à SAML, facilitant l'intégration de fonctions de sécurité dans les applications java.

Dans les originalités, Sony propose toujours ses lecteurs d'empreintes digitales pour assistants personnels, téléphones, ordinateurs, etc, avec un logiciel de gestion centralisé des empreintes. Toujours chez Sony et à savoir : tous les assistants personnels Sony Clié achetés au Japon incluent un lecteur de carte à puce, enlevé à l'export, l'emplacement est laissé vide dans les Sony Clié commercialisés aux USA et en Europe. Cela peut nous donne une indication sur la sécurité future de ces équipements.

Enfin, du chiffrements pour téléphones portables, "garanti par la NSA pour des informations Top Secret" chez General Dynamics [sectera-info@gd-decisionsystems.com]. Le module proposé transforme un Motorola Timeport tri-bande GPRS. Le système est simple, il y a 2 numéros de téléphone, un pour les communications en clair, et un pour les communications chiffrées qui demandent un équipement équivalent de l'autre coté (Note de l'auteur : Sagem en France (absent à l'exposition RSA) propose également ce type d'équipement, sans garantie de la NSA).

Normes et standards

Dans le domaine de la standardisation, OASIS [www.oasis-open.org] qui normalise les DTD XML propose de développer Application Vulnerability Description Language (AVDL) [www.avdl.org], un standard permettant aux applications de communiquer entre elles avec une vision commune des failles applicatives. Il ne s'agit que d'une annonce marketing pour voir s'il y a de l'intérêt, le standard n'est pas fait. AVDL se présentera sous la forme d'une DTD XML. Plusieurs acteurs, notamment de petite taille, ont montré leur intérêt en faisait déjà la promotion de ce standard sur leur stand dont Citadel Security Software, GuardedNet [www.guarded.net], Netcontinuum, SPI Dynamics [www.spidynamics.com] et Teros [www.teros.com]. Ils ont déjà étés rejoints par l'éditeur israélien Sanctum [www.sanctuminc.com]. Le positionnement vis-à-vis de CVE (Common Vulnerabilities Exposure) [cve.mitre.org] demeure flou, entre concurrent et complémentaire. Seul un des fondateurs du groupe AVDL respecte CVE, dictionnaire commun de vulnérabilités, qui est déjà supporté par plus de 30 logiciels. Il en est de même par rapport à IDMEF (Intrusion Detection Message Exchange Format), [www.ietf.org/ids.by.wg/idwg.html], norme IETF récente qui semble déjà tenir ce rôle. La première réunion du groupe de travail OASIS est prévue en Mai et AVDL devra montrer qu'il propose plus que les normes et standards existant en adoptant une description XML des attaques au niveau applicatif.

Une exposition très riche et un aperçu toujours partiel feront que ceux qui ne sont pas cités seront frustrés, mais il n'est pas possible d'être exhaustif avec plus de 200 exposants et encore plus de produits.
Les entreprises recherchent avant tout des solutions de gestion globales qui participent à l'organisation, à la maîtrise, et à une meilleure visibilité de la sécurité du système d'information. Elles demandent même un retour sur investissement en sécurité. Ce n'est pas encore ce que le marché propose, restant encore dans une multitude de solutions très atomiques répondant une tâche précise.