MISC N°
Numéro
42

La virtualisation : vecteur de vulnérabilité ou de sécurité ?

Temporalité
Mars/Avril 2009
Article mis en avant

Résumé

Nous expliquons dans cet article le concept de « virtualisation », pour ensuite nous intéresser plus particulièrement à la virtualisation de systèmes. Une classification est alors présentée. Il s'ensuit une introduction aux extensions matérielles développées par Intel et AMD pour faciliter la virtualisation de leurs architectures.

Dans ce numéro...


La guerre de l’information est généralement définie en France par la désormais célèbre formule « par, pour et contre l’information » [1], laquelle est d’ailleurs reprise dans le récent rapport sur la Cyberdéfense [2] (publié dans la foulée du Livre blanc sur la défense et la sécurité nationale 2008) [3]. Mais la France ne dispose toujours pas d’un document unique de référence en matière de guerre de l’information, qui définirait à la fois le concept, les enjeux, les outils et les rôles respectifs des acteurs civils et/ou militaires. Alors, chacun l’utilise un peu à sa guise, tantôt synonyme de guerre ou intelligence économique, de manipulation de l’information, du rôle des médias, d’information dans la guerre, de cyberguerre et de cyberattaques, d’espionnage, d’opérations d’information, d’opérations d’influence, voire de cybercriminalité. Prise semble-t-il dans la tourmente des vagues de cyberattaques qui ont jalonné les deux dernières années, la France a placé la sécurité des systèmes d’information au rang d’enjeu de défense et de sécurité nationale (§1). Les menaces telles qu’elles sont identifiées et perçues (§2) justifient une stratégie fondée sur la maîtrise de l’information, des systèmes, et la mise en œuvre de moyens de lutte informatique (§3) ; cette stratégie sécuritaire contribue à préciser les contours d’une conception française de la guerre de l’information, dont les bases sont déjà posées dans la doctrine militaire qui préfère parler de « temple des opérations d’information » (§4).
Hyper-V est le dernier-né des produits de virtualisation de Microsoft. Il se veut être un hyperviseur orienté serveurs utilisant les dernières technologies hardware de virtualisation. C’est aussi la figure de proue de Microsoft sur le marché grandissant de la virtualisation. Cet article a pour but de présenter en profondeur l’architecture d’Hyper-V, notamment l’utilisation d’API appelées « hypercalls ».
Xen est aujourd’hui l’un des systèmes de virtualisation parmi les plus utilisés en matière d’hébergements mutualisés. Bien que ce système soit fréquemment mis en œuvre, ses rouages internes sont encore méconnus.
La virtualisation a connu une croissance exponentielle ces dernières années. Elle apporte de nombreux avantages indéniables – consolidation, réduction des coûts, simplification de la gestion de l’architecture – mais également des inconvénients dont la sécurité, mal appréhendée, fait parfois partie. Cet article se veut être un recueil de bonnes pratiques pour intégrer au mieux la sécurité dans un projet de virtualisation en entreprise. Ce recueil n’est bien évidemment pas exhaustif et il conviendra de le compléter et de l’adapter au contexte de son projet. Enfin, ces recommandations sont tirées d’un retour d’expérience d’un projet de virtualisation de 200 serveurs auquel nous avons participé.
Les différents codes malveillants suivent, voire devancent, les innovations technologiques que connaît le monde informatique, mois après mois. Ainsi, au fil des évolutions techniques, les rootkits ont pu migrer facilement du niveau utilisateur vers le niveau noyau, atteignant ainsi le Saint Graal : avoir tous pouvoirs sur la machine. Ces dernières années ont vu également l'émergence de la virtualisation, en particulier matérielle, permettant de faciliter le déploiement de solutions, mais également de renforcer la sécurité. Mais, si donner les moyens au processeur d'accéder très facilement à la virtualisation a pu accroître de façon significative la rapidité des logiciels de virtualisation, cela a, en même temps, conduit à fournir de nouvelles solutions aux concepteurs de virus.
Dans l’article précédent [1], nous avons vu, d’un point de vue théorique, qu’il était possible de retrouver le code d’origine d’un programme simple protégé par un système d’obfuscation sans jamais analyser ce dernier.En effet, à l’aide d’un émulateur qui nous permet une approche dynamique, nous avions porté une attaque en deux temps :Tout d’abord, nous avions réalisé une analyse différentielle statistique élémentaire sur l’ensemble de la trajectoire [L1] pour dégager des instructions « intéressantes » appelées « program points » [L4].Ensuite, à partir de ces program points obtenus, nous avions réalisé une analyse locale en générant des slices [L5] par backward slicing. En supprimant les instructions de transfert, nous avions obtenu sur le binaire proposé par Craig Smith au recon2008 l’algorithme de vérification du « Serial » en quelques minutes.Dans cet article, nous allons prolonger une partie de ce travail en regardant ce qui se passe sur des protections plus robustes.
Cet article propose de montrer que les données présentes sur une clé USB sont exposées à plus de risques qu'on ne le pense.Dans la première partie [1], nous avons fait un bref rappel des grandes familles de vulnérabilités qui pèsent sur la clé USB, et nous avons décrit son mode de fonctionnement sous Linux. Nous avons également expliqué en détail un premier « Proof of Concept » sous Linux montrant que l'on peut copier les données présentes sur une clé à l'insu de son propriétaire, par exemple lorsque l'on prête sa clé USB à quelqu'un pour une présentation, pour donner un fichier ou pour se faire copier un fichier dessus.Dans cette deuxième et dernière partie, nous ferons évoluer notre « Proof of Concept » sous Linux et nous montrerons une « Cross-Platform » qui passe de Linux à Windows. Ayant montré la réalité des risques, nous conclurons cet article par quelques parades, solutions existantes, et conseils pratiques.
Suite au précédent article présentant l’utilisation de Netkit [MISC 40] pour la conception de réseaux virtuels constitués de machines sous Linux, nous nous proposons de présenter, dans cet article, Dynamips qui permet l’émulation de routeurs Cisco et de firewalls PIX.Mots clés : réseau / spanning tree / VLAN / 802.1q / virtualisation / Cisco
Dans la conception traditionnelle de la cryptologie, la sécurité est vue de manière abstraite : pour attaquer un cryptosystème, l'attaquant se borne à échanger des messages avec celui-ci, et espère en les utilisant pouvoir mettre en défaut les objectifs visés (confidentialité, intégrité, authenticité,…) par différentes techniques de cryptanalyse. La cryptographie classique s'efforce donc de construire des schémas avec si possible des preuves relatives de sécurité contre ce type d’attaque, en admettant la difficulté de certains problèmes mathématiques au sens de la théorie de la complexité.

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

De la scytale au bit quantique : l’avenir de la cryptographie

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Imaginez un monde où nos données seraient aussi insaisissables que le célèbre chat de Schrödinger : à la fois sécurisées et non sécurisées jusqu'à ce qu'un cryptographe quantique décide d’y jeter un œil. Cet article nous emmène dans les méandres de la cryptographie quantique, où la physique quantique n'est pas seulement une affaire de laboratoires, mais la clé d'un futur numérique très sécurisé. Entre principes quantiques mystérieux, défis techniques, et applications pratiques, nous allons découvrir comment cette technologie s'apprête à encoder nos données dans une dimension où même les meilleurs cryptographes n’y pourraient rien faire.

Les nouvelles menaces liées à l’intelligence artificielle

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Sommes-nous proches de la singularité technologique ? Peu probable. Même si l’intelligence artificielle a fait un bond ces dernières années (elle est étudiée depuis des dizaines d’années), nous sommes loin d’en perdre le contrôle. Et pourtant, une partie de l’utilisation de l’intelligence artificielle échappe aux analystes. Eh oui ! Comme tout système, elle est utilisée par des acteurs malveillants essayant d’en tirer profit pécuniairement. Cet article met en exergue quelques-unes des applications de l’intelligence artificielle par des acteurs malveillants et décrit succinctement comment parer à leurs attaques.

Migration d’une collection Ansible à l’aide de fqcn_migration

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Distribuer du contenu Ansible réutilisable (rôle, playbooks) par l’intermédiaire d’une collection est devenu le standard dans l’écosystème de l’outil d’automatisation. Pour éviter tout conflit de noms, ces collections sont caractérisées par un nom unique, formé d’une espace de nom, qui peut-être employé par plusieurs collections (tel qu'ansible ou community) et d’un nom plus spécifique à la fonction de la collection en elle-même. Cependant, il arrive parfois qu’il faille migrer une collection d’un espace de noms à un autre, par exemple une collection personnelle ou communautaire qui passe à un espace de noms plus connus ou certifiés. De même, le nom même de la collection peut être amené à changer, si elle dépasse son périmètre d’origine ou que le produit qu’elle concerne est lui-même renommé.

Body