**********************************************************************
*               OBSERVATOIRE DE LA SECURITE                          *
*         DES SYSTEMES D'INFORMATION ET DES RESEAUX                  *
*                                                                    *
*                   GROUPE SECURITE WINDOWS                          *
*                                                                    *
*       COMPTE RENDU DE LA REUNION DU 11 FEVRIER 2002                *
**********************************************************************

Rédaction:      Nicolas Ruff (nicolas.ruff@edelweb.fr)
Relecture:      Jean Olive (jean.olive@edelweb.fr)

La réunion de l'OSSIR – SW a eu lieu le lundi 11 février à 14h en
présence de 30 personnes dans la salle de réunion RENATER au :
	151 Boulevard de l'Hôpital
	75013 Paris
	Métro   : Place d'Italie (lignes 6 & 7)
        	  ou Campo Formio (ligne 5)

L'ordre du jour était le suivant:
- Évolutions des technologies virales
- ConfiMail : Solution de sécurisation des e-mails
- Sécurisation d’un serveur contrôleur de domaine Windows 2000 (2/2)
- Revue mensuelle des vulnérabilités Windows 2000


************************************
I Evolution des technologies virales
************************************


L'intervenant (Trend Micro France) ne s'est pas présenté.


************
II ConfiMail
************


Guillaume RIGAL, directeur R&D chez SafeLogic (www.safelogic.com), est venu présenter le produit de
messagerie sécurisé ConfiMail. Le support de présentation est disponible sur le site de l'OSSIR.

Safelogic est une société spécialisée en cryptographie de 4 personnes dont Guillaume RIGAL est
fondateur/associé. La gamme de produits proposée comprend :
- Lastwall, outil de contrôle d'intégrité
- SafeAPI, une API de cryptographie en Java (disponible également en DLL COM)
- Confimail, le produit présenté aujourd'hui

Les risques liés à la messagerie traditionnelle non sécurisée sont connus (écoute, usurpation
d'identité, falsification de messages). Les problèmes couramment rencontrés avec les solutions de
messagerie sécurisée classiques (ex. PGP) sont :
- Configuration lourde (génération et gestion des clés)
- Administration lourde (le produit se présente sous forme de plugin pour le client de messagerie)
- Complexe pour les utilisateurs
- Coût des licenses
- Parfois, absence de sécurité de bout en bout (ex. le message est stocké en clair sur le client)

SafeLogic propose avec l'offre ConfiMail une solution de WebMail permettant de répondre à ces
problématiques.

La sécurité est assurée de bout en bout car le chiffrement/déchiffrement se fait sur le poste client
dans une applet Java signée. Une offre concurrente est celle de Hushmail. Confimail se distingue par
sa technologie de gestion des pièces jointes de gros volume qui a fait l'objet d'un dépôt de brevet
(technologie SafeStreaming, déposé en février 2001).
Le corps du message et les pièces jointes sont chiffrées, mais pas les entêtes MIME.
L'expéditeur est automatiquement ajouté à la liste de personnes pouvant déchiffrer le
message, ainsi il peut toujours relire ses envois.

Les algorithmes de cryptographie ainsi que la qualité du code ont été audités par des experts
indépendants, dont Julien STERN de Cryptolog.

L'architecture du système est la suivante :
- Un serveur "racine" autorité de certification technique pour le système (Safelogic n'est pas et
n'aspire pas à devenir une autorité de certification légale)
- Un serveur Confimail dans l'entreprise, possédant chacun un certificat délivré par le serveur
"racine"
- Des clients banalisés (IE 4,5,6 ou Netscape 6 uniquement - l'applet n'est pas compatible avec la
JVM de Netscape 4)

Le serveur Confimail est un linux Red Hat 6.2 exécutant les applications Apache, TomCat, 
ainsi qu'une base de données (PostgreSQL). Il fait office de serveur Web HTTPS (le
certificat délivré par Certinomis non reconnu dans les navigateurs va être remplacé par un certificat
Thawte) et de client SMTP et POP3 ; de plus il stocke les messages et les clés utilisateur sous forme chiffrée.
La clé utilisateur est protégée par sa "passphrase" et n'est déchiffrée que par l'applet sur le poste
client. L'infrastructure ConfiMail peut se brancher sur le serveur de messagerie existant ou
être livré avec un serveur SMTP et POP3 (sendmail ou postfix).

L'architecture choisie dite "en racks" permet d'étendre ou de réduire à tout moment la capacité du
serveur Confimail par ajout/suppression de machines de stockage.

La sécurité des serveurs est assurée par des audits réguliers de la société Qualys.

Au niveau de la politique tarifaire, l'offre se décline en deux volets :
- Une offre vente de matériel + location du logiciel (personnalisable aux couleurs de l'entreprise
grâce à une programmation HTML modulaire exploitant les feuilles de style CSS)
Coût indicatif :
* 15000€ la première année, 9000€ la deuxième pour 100 comptes
* 34000€ la première année, 28500€ la deuxième pour 1000 comptes
- Une offre ASP à 7€/compte/mois (dégressif) avec une adresse email @confimail.com

La maintenance du logiciel et du système est assurée par Safelogic via une console SSH. Les mises à
jour du logiciel Confimail sont fortement recommandées, parfois obligatoires si les protocoles
utilisés changent fondamentalement d'une version à l'autre afin d'implémenter un standard.


Q : Y a-t-il une requête au "Root CA" à chaque lecture de message ?
R : La clé publique de la "Root CA" est "en dur" dans l'applet. En cas de révocation, l'applet est
mise à jour sur chaque serveur Confimail.

Q : Comment les serveurs Confimail se reconnaissent-ils ?
R : Safelogic tient à jour une liste des serveurs Confimail, ainsi qu'une "black list" des clefs de
serveur corrompues. Cette liste est accessible par HTTP.

Q : Quelle est la taille de l'applet ?
R : 178 Ko

Q : Cette solution s'intègre-t-elle avec des antivirus de messagerie ?
R : Par conception, l'analyse antivirus est impossible ailleurs que sur le poste client puisque les
messages sont chiffrés.

Q : Comment sont gérés les messages HTML ?
R : Le Webmail ne supporte pas les messages HTML - le contenu HTML est affiché de manière "brute" par
l'applet. Les risques liés au contenu HTML sont donc nuls.

Q : Existe-t-il un mécanisme de recouvrement, comme l'exige la loi (les entreprises doivent pouvoir
fournir des preuves demandées par la justice) ?
R : Il n'existe ni mécanisme de recouvrement, ni "backdoor". De tels mécanismes sont simples à
implémenter à la demande des clients.

Q : Existe-t-il une révocation de clés utilisateur ?
R : Il est possible de restaurer le système dans un état N-1 si l'utilisateur oublie sa passphrase. En cas de compromission du compte utilisateur, celui-ci est recréé.

Q : Confimail s'interface-t-il avec des clients de messagerie traditionnels ?
R : Non. Une évolution sous forme de proxy local est à l'étude.

Q : Quel est le format des certificats ?
R : Propriétaire. Une évolution vers X509 ou PGP-Keyring est envisagée.

Q : Le logiciel permet-il de communiquer avec des clients non-Confimail ?
R : Oui, l'émission et la réception de messages en clair est supportée.

Q : Les sources du produit LastWall seront-elles publiées en Open Source comme annoncé lors de la
présentation du produit au groupe SUR ?
R : Le produit LastWall est en recherche de financements, et pourrait reprendre son cycle de vie sous
forme ASP.


*******************************************
III Sécurisation d'un DC Windows 2000 (2/2)
*******************************************


Maxime de JABRUN, consultant sécurité au sein de Edelweb
(www.edelweb.fr), est venu présenter la deuxième partie de son
intervention sur la sécurisation d'un contrôleur de domaine Windows
2000. Le support de présentation est disponible sur le site de l'OSSIR.

Après un bref résumé de la première partie de la présentation, Maxime de
JABRUN aborde les sujets du jour à savoir :

- Présentation d'un modèle de gestion des comptes utilisateurs et
administrateurs décliné sous les points suivants :
* Procédure de création de compte et appartenance aux groupes
* Gestion des droits et du mot de passe
* Verrouillage de compte
* Stockage du mot de passe

- Services démarrés
* Les services indispensables, utiles, et dangereux.
* Configuration du réseau et du protocole SMB en particulier, ports en
écoute.

- Permissions sur le système de fichiers et la base de registre
* Protection des clés de démarrage (Run, RunOnce, etc.)
* Stratégie de protection des fichiers système


Q : Comment verrouiller le compte administrateur ?
R : PASSPROP (Resource Kit NT 4.0) n'est applicable qu'à partir du SP2
de Windows 2000. Des incompatibilités ont été constatés sur les serveurs
pré-SP2. L'outil ADMNLOCK doit remplacer PASSPROP pour Windows 2000 . Il
est en cours de développement, la date de sortie n'étant toujours pas
fixée.

Q : Si NetBIOS disparait pour laisser place à SMB sur TCP/IP,
qu'advient-il des applications utilisant les API NetBIOS (ex. outils
d'administration exploitant le browsing de domaines).
R : Elles ne fonctionnent plus. Les outils de plus haut niveau utilisant
exclusivement les API SMB ou réseau standard continuent à fonctionner.

Q : Active Directory est-il indispensable ?
R : Oui. Un participant du groupe propose un retour d'expérience sur la
synchronisation de base des utilisateurs avec un annuaire LDAP externe,
mais les objets système restent stockés dans Active Directory.


***************************
IV Revue des vulnérabilités
***************************


Nicolas RUFF, consultant sécurité chez Edelweb, présente les dernières vulnérabilités de Windows 2000.