Le blog de Mathieu et CoralieSinging in the rain

RFID signifie "Radio Frequency IDentification". C'est ce que l'on connait sous la forme de clefs sans contacts ou badge d'acces dans tant et tant de batiments et de societes.

Actuellement, c'est l'effervecense dans la communaute securite. Il ne se passe pas un jour sans que l'on nous parle, aussi bien dans la presse specialise que dans la presse grand publique, de cas ou un systeme RFID a ete contourne, cracke, pour un vol ou pour un acces. De multiples rapports, article, reportages, alarment, informent... ou tentent de.
Les exemples les plus recurrents concernent les voitures. Ces voitures qui s'ouvrent quand vous vous approchez et qui ne demarrent pas si le systeme d'injection ne detecte pas que vous avez bien la clef. Les americains "decouvrent" un probleme qui semble-t-il existe depuis longtemps en Europe: ce systeme est devenu faible et compte tenu de la faiblesse de l'encryption, il est facile de "prendre possession" d'un vehicule comme si c'etait le votre. David Beckham - l'international de foot anglais - s'est recemment fait voler a 2 reprises consecutives son 4x4 BMW x5 special edition rien que pour lui. Les autres exemples sont nombreux, et les chercheurs d'universite vous montre, video a l'appui, a quel point c'est facile a faire.

Alors, comme j'aime bien mettre un peu les mains dans ce genre de pate, j'ai cherche a obtenir un "kit RFID"... pour voir - oui, pour voir si je peux prendre le controle de ma voiture sans la clef...

Il n'y a pas besoin d'aller tres tres loin, une simple recherche sur Google retourne en toute premiere reponse un revendeur americain, qui vend des kits "d'evaluation" pour installer des systemes RFID la ou vous le voulez, et qui vous explique comment "creer un coffre fort qui ne s'ouvre qu'en presence de votre chien"...
Ils livrent dans le monde entier, un kit qui coute moins de $100. Mieux encore, ils ont un revendeur en France qui est en train d'inclure le produit dans son catalogue (prix non communique).

Mais la ou cela va etre plus dur d'obtenir le kit, c'est que partout... ils sont "Out of Stock"!
Hmmm... surprenant !!!

De retour du salon Infosecurity'06, voici les themes que je retiens.

"Votre site web est-il bien protege ?"
On a du me poser la question une 50aine de fois... Ce sont souvent des solutions de Firewall, hardware. Malheureusement, rien de vraiment dement et innovant sur le marche.

"Le parcours du combattant pour les mails"
Un nombre important - trop vraiment - de solutions anti-spam, anti-phising, filtre de contenu, et tout une serie de chose qui vont arriver a vos mails avant qu'il ne puissent enfin atteindre votre boite mail.

L'avenir est sombre pour ces pauvres petites betes. Ils vont devoir devenir de veritable athletes, etre tamponnes, estampilles, verifies, filtres et finalement, si ils reussisent a faire le quintuples saltos arriere et retombent sur leur deux pattes, tout en evitant les plombs du canon scie qui vient de leur tirer dessus, alors, peut-etre, apres decision du "tribunal du mail", attendront-ils votre boite mail. La guillotine, c'etait une plaisenterie a cote. Eradication, banissement, notification des administrateurs, signalement, referencement et j'en passe... Ca semble tres strict sur le papier... quid de la realite. Et surtout, combien de mails "valides" perd-on avec ces systemes?

Plusieurs solutions se proposent de de s'occuper de votre traffic mail pour vous. Vous leur envoyez le mail et il s'occupe de tout. Je vis personnellement ca comme une perte de controle, mais bon...

"Je crypte, tu cryptes, il crypte, nous cryptons... quoi ?!? Vous ne cryptez pas encore ?!?"
Tout se crypte. Les mails, les fichiers, les partitions, les clefs USB, les CDs et les disques dur complets.

J'ai pu constater qu'il n'existe qu'une seule solution de cryptage de disque dur complet disponible sous Linux, celle de Pointsec. Pour les autres, soit c'est clairement "non", soit c'est a l'etude ("Eh vous, vous avez combien de machine sous Linux a crypter ?"), soit c'est dans une Roadmap, mais pas de produit avant 2007 (c'est Q4 2006 + le traditionnel retard). Une question interessante de l'un d'eux: "Pourquoi des gens utilisant un systeme gratuit iraient payer une solution de cryptage de disque dur ?". Pas con, mais il ne tient pas compte qu'il y a plein de raisons pour utiliser Linux, autre que simplement le prix...

Pour les mails, des solutions interessantes, qui se veulent les plus transparentes possible pour l'utilisateur final... sous Outlook

Pour les fichiers et partitions, quelques solutions generiques, Windows, Unix/Linux, Mac OSX, ... ca fait plaisir. Et un discours farouche contre le "full disk encryption" de la part de ceux qui n'ont pas de solution de ce type. C'est facilement contrable quand on connait les produits, mais le discours principal est "Et s' il faut faire une operation de maintenance, comment fait-on ?" (Partie de reponse: une partie de confiance possede des media de recovery lorsque l'OS crypte est mort.).

"J'en ai marre des mots de passe, de devoir les reseter pour vous, et d'en avoir tant."
Et les fournisseurs de produits vous connaissent bien: "Vous avez le meme mot de passe partout", "Vous demandez a chaque fois que l'on vous renvoie votre mot de passe par mail, car vous l'avez oublie".

Ils ont pense a vous, avec la "valise a mot de passe", USB a l'image d'Aladdin, ou bien l'authentification par carte a puce comme chez GemPlus. Les deux arrivent timidement sous Linux, l'un avec une librairie qui devrait permettre de recompiler tout pour que ca marche, l'autre avec une reelle solution, sur les differentes version de Linux... pour 2007.

La plupart des solutions de cryptages de disque dur complet sont prevues pour fonctionner avec une authentification par "token" (i.e. cle USB), voir meme, avec option empreinte digital sur la clef USB.

"Vos peripheriques USB - et autre - ne sont pas les bienvenus".
Cela s'appelle le controle de port et plein de solutions sont disponible spour que l'on ne puisse plus connecter n'importe quel peripherique USB sur son ordinateur de bureau. Ipod, telephones portables, clef USB perso ou disques dur amovibles sont pointes du doigt. Bien sur, c'est Windows, Windows, Windows, Windows...

"Nous ne faisons pas que de l'antivirus"
C'est le message commun de Symantec et Mcafee.

"On fait aussi de la securite..."
C'est celui de Microsoft

Les autres
Une petite note speciale pour 3M qui fait un filtre pour ecran LCD/TFT (le dernier en bas). L'utilisation est principalement prevue pour les ordinateurs portable, pour que vos voisins cessent de regarder votre ecran. Ils avaient une petite video d'un gars dans un avion coince entre deux autres qui mattent son ecran. Excellent et tellement vrai.

Les societes faisant des tests de penetration sur votre reseau d'entreprise ou de la verification de code contre de potentielles vulnerabilite etaient bien representees. Les systemes de detection d'intrusion etaient classés, pour la plupart, dans la categorie "Votre site web est il bien protege?". Et pas ou tres peu de trace des logiciels de scanner de reseau. Je n'ai vu que ISS, mais pour leurs autres produits, et en plus dans un coin du salon, assez mal places.

Les absents
Enfin, pour finir, une absence crillante de l'Open-source et de Linux. Une seule reference visible a Snort et une discrete mention "Linux inside" dans un equipement. La place est occupee par les solutions pour l'OS et les produits de Microsoft. La meme remarque s'applique pour l'OS d'Apple. Linux et Mac OSX sont des questions "colle" dans la plupart des cas.
Cependant, note positive, a la question "Et pour les OS autre que Windows ?", l'a reponse n'est plus "Que voulez vous dire ?", mais "Linux, oui..." et un deuxieme interlocuteur se joint a la conversation.

Un petit post depuis le train, et hop, me voici a Waterloo. Direction le metro pour se rendre a "Olympia - Kensington", le lieu du salon Infosecurity '06.

La station de metro est en plein air, au pied du "Grand Hall" de l'exhibition. Des le quai du metro, ca commence tres fort... A la descente du metro, de charmantes jeunes femmes commencent a distribuer les depliants, les sacs, les brochures. Vous avancez, vous prenez ce que lùon vous tend, sans trop savoir ce que c'est, Il ne faut pas se leurrer, pas de cadeaux, que de la pub. Plus vous approchez du salon, plus les poches sont grandes: logiques, elles contiendra toutes les autres, et c'est la derniere compagnie qui fera le mieux passer sa publicite sur le support.

Dans les salon, tous les grands sont la, Symantec, juste a cote a cote de Mcafee, Microsoft, Cisco, HP, IBM, Thales - ou j'ai recontre un ancien de Motorola Les Ulis, Checkpoint - egalement proprietaire egalement de ZoneLabs, PGP, F-Secure et j'en oublie, dont beaucoup d'autres moins connus du "grand public".
Je suis rapidement charge de multiples brochures, CDs de presentations, on me demande des cartes de visites - et les 22 que j'avais prevues n'auront tenu que quelques heures. J'en recupere de egalement de quoi remplir mes poches.
Je participe aux multiples tirages au sort pour potentiellement gagner (*dream*) 2 Xbox 360 (non, aucune de Microsoft), 3 Ipods (pas deux fois le meme modele), etc...

Tout est bon pour attirer le visiteur depuis le couloir sur le stand directement: Magiciens, hypnotiseur, consoles de jeu et jeux video, nuee de jeunes filles - bien selectionnees, concours, tirages au sort et j'en passe. Cela ne comprend pas la distribution de sacs et autres brochures dont j'ai deja parle, sauf qu'une fois l'entree passee, on prend le temps de vous expliquer ce qu'il y a dedans et si vous y montrez le moindre interet, ca ce finit par le traditionnel echange de carte de visite. Si vous n'en avez plus, on trouvera un autre moyen de prendre vos coordonnees

60% de la gente feminine sur le salon est de "l'attraction"...Certaines ne sont pas beaucoup vetues, exemple d'un stand ou 3 pauvres malheureuses semblaient sorties du Lido. Sur ce meme stand, une table de jeu... Aucun rapport, eveidemment avec leur produit. Les posters et presentations tournantes ne donnaient aucune explication. Consolation, ils n'ont pas eu l'air d'avoir plus de monde que les autres.
En revanche, les 40% de la gente femine restant que j'ai pu rencontre etaient vraiment pro.

C'est d'ailleur une note generale sur le salon. Mes interlocuteurs ont toujours ete tres honnetes sur leur connaissances techniques - toujours assez elevee - et avaient toujours une tres bonne connaissance de leurs produits et egalement assez bonne de la concurrence. Pas de pipeau et d'embobinnage avec des termes techniques qui ne veulent rien dire. Personne n'a fait semblant d'avoir la reponse a ma question. Quand il ne savaient pas, on passe la main a quelqu'un plus apte, meme si cela doit etre le President de la branche UK de la societe (ca m'est arrive 2 fois... des histoires de Roadmap pour Linux... ah ca, c'est la question qui colle ).
Et puis il y a cette question qui revient souvent: "Vous etes technique ou management ?" et en fonction on vous oriente vers l'interlocuteur qui vous convient le mieux.

Le salon est grosso-modo organise en 2. Le rez-de-chaussez, ou sont tous les "grands", au millieu. Sur les cotes et sur la gallerie, les plus petits. Presque tous les stands du rez-de-chaussez sont equipes de grands ecrans LCD/Plasma, 27" - 31", pour montrer les presentations tournantes ou retransmettre les presentations "live" dans les angles morts des stands.
Et a partir de 17h, soit 1/2 heure avant la fermeture du salon, ce sont de nombreuses XBox et autres PS2 qui sortent de sous les contoirs ou des reserves, et tout de suite, les ecrans geans prennent une autre fonction - bah quoi faut bien tester... Et ca, c'est pour ceux qui n'avaient pas la console officiellement sur le stand (non, pas chez Microsoft). Ambiance sympa de visiteurs et exposants qui jouent ensemble. Eh, c'est sur qu'un ecran LCD 31", 16/9, splitte en deux verticalement, ca vaut bien mon 17" a la maison.

Je ramene un sac a dos plein de goodies en vrac. C'est l'ambiance salon, on recupere de tout, on tri apres.... Par contre, je rapporte 2 trucs tres sympas :

• un "valise a mot de passe" et token d'identification de chez Aladin. Apres avoir tenu la jambe au mec - bien technique le gars - entre 20 minutes et 1/2 heure, parle Linux - oui, aussi - il est alle m'en cherche une dans la reserve.
• Une carte a puce GemPlus, file par un gars bien content de pouvoir decrire son produit en francais . C'est pas une exclu, il y en avait des tonnes sur le stand. Il faut que je regarde ce que c'est exactement, mais la demo qu'il m'a fait est une carte sans-contact pour penetrer dans les batiments, avec une puce pour s'authentifier sur son laptop et il m'a fait une demo sur un Dell, comme le mien au bureau.

Pour le reste, il parait que j'ai un pack de logiciel qui "vaut £80" de Trend Micro et puis j'ai apercu les traditionnels stylo et une casquette. En pleine chaleur, SmoothWall m'a offert un innocent smoothy bien frais. Tres sympa.

A la fin du salon, je suis alle sur le stand de (ISC)2 pour prendre quelques details sur comment aller a la reception organisee. Apres 15 minutes de marche, a un rythme tres lent (quand on est reste debout toute la journee...), je suis arrive a l'hotel en question. Une agreable reception suivait. J'ai rencontre un gars de TrainingCamp, un grand gaillard, Suisse-Allemand vivant a Londres, qui va essayer de me trouver qui me Spam depuis ma demande d'infos sur la formation CISSP a sa societe...
Neanmoins, j'ai demande a continuer a recevoir les spams en question. C'est toujours interessant de savoir ce qui se fait en formation.

Retour vers 22h30 je suis arrive a la maison. Dans le train, episode comique. Le controleur passe verifier les billets. Je fais donc le tour de mes poches et sort la pile de cartes de visite recuperees au long de la journee. Voyant cela, le controleur n'a pu s'empecher de rire: "Oh, obviously, it's in there !!!". Meme pas.

Lorsque je suis rentre, j'ai retrouve Coralie et Jane, qui s'etaient fait une soiree filles, hilares. Il semble que j'aie rate le meilleur triffle du monde de Jane, sponge imbibe de calva, kiwi, framboises, bananes et creme anglaise... Snif. Meme pas mal.
Enfin si, un peu... aux jambes.

Il y a quelques temps, je me suis inscrit pour recevoir un badge d'acces gratuit au salon Infosecurity'06, qui se deroule du 25 au 27 Avril.
Comme le 26 au soir, il y a une conference de l'(ISC)2, l'organisme qui m'a delivre ma certification CISSP, j'ai pense combiner les deux.

Hier soir, vers 18h, soit 30 minutes apres la fermeture du 1er jour du salon, je recois un n-ieme mail des organisateurs. Un bref resume de ce qu'il y a eu, puis... "Nous avons remarque que vous n'etiez pas venu aujoud'hui."!!!
"Nous savons qu'il est difficile de s'eloigner du travail, mais pensez a l'unique opportunite que ce salon est pour vous cette annee." Je vous passe le nouveau descriptif du salon. Puis, "Nous esperons vous voir demain."

Bon, la, je suis dans le train qui m'emmene a Londres... Le savent-il deja?