===========================================
Réunion OSSIR groupe sécurité Windows
Lundi 07 octobre 2002
===========================================

Ordre du jour :
1 - Présentation du produit de filtrage Websense
(Websense - Pascal MALMED)
2 - Retour d'expérience sur une migration de parc Windows -> Linux
(ESPCI - Manuel SEGURA)
3 - Revue mensuelle des vulnérabilités Windows
(Edelweb - Nicolas RUFF)


====================================================
1 - Présentation du produit de filtrage Websense
(Websense - Pascal MALMED)
Contact : mbouzoubaa@websense.com
====================================================

WebSense est une société américaine basée à San Diego, qui a inventé le concept d'EIM (Employee Internet Management). Aujourd'hui elle emploie 300 personnes et reste leader sur ce marché.

Quelques statistiques présentées par Websense permettent de se rendre compte des pertes pour l'entreprise liées au surf improductif : ex. 54% des employés passent au moins 30 à 60 minutes par jour sur des sites sans lien avec leur activité professionnelle (le salaire moyen en France dans les professions sondées est de 22,86 euros par heure).

Contrairement à une idée assez répandue, les utilisateurs ne sont pas hostiles aux outils de filtrage Web : d'après une enquête SOFRES de 2001, 39% y sont favorables contre 31% hostiles. Les intérêts pour l'utilisateur d'un produit d'EIM sont :
* Eviter les situations potentiellement illégales ;
* Optimisation de la bande passante disponible pour les activités professionnelles.

Techniquement Websense comprend 4 composants :
* Un module de filtrage en surcouche applicative pour un Firewall, un proxy ou une Cache Appliance existante ;
* Une base de données d'URLs ;
* Un serveur de log ;
* Une console d'administration ;
Ces quatre composants peuvent être situés sur des machines physiques distinctes ou non. L'outil "Reporter" permet de générer des rapports personalisables à partir des journaux d'activité. 60 modèles sont fournis en standard.

Websense est disponible pour les OS Windows NT/2000, Linux et Solaris. Il s'intègre avec ISA Server, Firewall-1, Netscape Proxy, les appliances Cisco, etc. Le serveur de reporting est sous SQL Server ou MSDE.

La base de données comprend 3 900 000 URLs et 900 000 000 pages, triées en 79 catégories et sous catégories, ce qui représente 125 Mo de données. Chaque semaine, cette base s'accroît de 30 000 sites (soit 150 Ko par jour !).

En plus du filtrage par "black list" et "white list", il est possible d'ajouter manuellement des règles de filtrage par URLs ou par mots-clés (dans l'URL ou dans les pages).

A titre indicatif on notera les statistiques suivantes :
* Il existe 19 000 000 de noms de domaine enregistrés sur Internet ;
* 94% du trafic est à destination de 100 000 sites ;
* 38% du trafic est à destination de 100 sites.

Websense propose 3 catégories supplémentaires (payantes) :
* Premium Groupe I : Publicités, téléchargements, Instant Messaging, Pay-to-surf, bourse en ligne
* Premium Groupe II : Streaming Medias, Peer-to-Peer, disques durs virtuels
* Premium Groupe III : Sites malicieux ou infectés, détectés en amont par le moteur d'analyse Websense qui analyse quotidiennement plus de 20 millions de sites.

Ce moteur effectue un rafraîchissement complet de la base toutes les 7 heures. Il trie automatiquement les nouveaux sites en fonction de caractéristiques prédéfinies, seuls les sites "ambigus" sont soumis à une analyse humaine.

D'autre part la technologie WebCatcher permet aux utilisateurs de remonter des sites non catégorisés vers Websense.

L'ensemble des produits Websense sont téléchargeables en version d'évaluation 30 jours.

Q : comment sont détectés les contenus à caractère pornographique ?
R : le moteur d'analyse possède un algorithme de reconnaissance syntaxique propriétaire breveté (KILO II).

Q : comment sont testés les sites "malicieux" ?
R : chaque page du site est testée par le moteur dans une "sandbox" à la recherche d'opérations jugées "anormales". Il s'agit d'un développement propriétaire basé sur un algorithme de détection breveté, dont les détails techniques ne sont pas connus.

Q : le moteur Websense respecte-t-il le fichier ROBOTS.TXT ?
R : a priori non.

Q : comment sont traités les problèmes d'appréciation culturelle du contenu ?
R : Websense emploie 45 analystes bilingues issus de cultures étrangères (44 langues sont gérées dans la base de données).

Q : Websense possède-t-il une protection juridique contre une catégorisation de site erronée ?
R : a priori non, le problème n'a jamais été aussi loin, jusqu'à présent un mail au support technique a permis de corriger les erreurs.

Q : quels sont les problèmes juridiques posés par la mise en place d'un tel logiciel ?
R : il suffit d'informer la CNIL ainsi que les utilisateurs en mettant en place une charte Internet.

Q : SQUID est-il supporté ?
R : par le protocole ICAP uniquement, il n'a pas été identifié de marché suffisant pour un développement SQUID spécifique.

Q : quels sont les protocoles supportés ?
R : HTTP, HTTPS, FTP, Gopher

Q : comment passe le HTTPS ?
R : il est possible de bloquer l'utilisation du HTTPS ou non.

Q : quelle est la performance de la base d'URLs ?
R : il s'agit d'une base en format propriétaire entièrement stockée en RAM. La diminution de performance pour l'utilisateur n'est pas sensible.

Q : quel est le coût des licenses ?
R : le produit est loué pour 1, 2 ou 3 ans. 50 utilisateurs pour 1 an = 1689 euros (soit 0,17 euro/jour/utilisateur).

Q : quelles sont les références Websense ?
R : 17 800 clients dont 1 000 groupes français, qui n'apprécient pas trop la publicité : L'Oreal, CA, Carrefour, Arcelor, Pechiney, Ministère de la Défense, HSBC/CCF, AGF, MAIF, etc.

====================================================
2 - Retour d'expérience sur une migration de parc Windows -> Linux
(ESPCI - Manuel SEGURA)
====================================================

Les critères de décision qui ont conduit à l'étude d'opportunité de migration du parc informatique de Windows NT4 vers Linux sont :
* Les plantages incessants de Windows, pas toujours correctibles (ex. corruption de la base de registre) ;
* La sensibilité aux virus ;
* Les dangers liés au monopole et le manque de contrôle sur l'OS (formats binaires et propriétaires) ;
* Les problèmes de sécurité récurrents dans les développements ;
* Le coût de maintenance élevé ;
* Le coût des licenses Microsoft (+ mises à jour, renouvellement de parc matériel et formation).

Parmi les problèmes sans solutions rencontrés sous Windows :
* Destruction de la table des partitions lors d'un crash, malgré un triple partitionnement du disque ;
* Droits d'écriture accordés par défaut à tout le monde sur C:\, qui ont pu être limités aux répertoires C:\WINNT\HELP et C:\TEMP au prix de quelques incompatibilités logicielles.

Après une rapide étude, la distribution Debian a été jugée fiable et complète, en particulier au niveau du mécanismes de mise à jour du système et des applications. Toutefois des distibutions majeures comme Red Hat et Suse n'ont pas été évaluées en détail.

La solution transitoire adoptée a été celle d'un multiboot Linux/NT4. Les applications majeures telles que OpenOffice et Mozilla ont été installées dans les deux environnements. Les utilisateurs, et en particulier les nouveaux élèves, ont été sensibilisés à ce changement.

Les avantages de Mozilla (successeur libre de Netscape) sont à la fois son ergonomie (suppression des popups, navigation par onglet) et sa robustesse face aux virus. Mozilla Mail inclut l'outil de chiffrement GPG.

OpenOffice est basé sur XML en natif, mais peut générer des fichiers compatibles Office, Flash, LaTex et PDF. Les versions Windows et Linux sont 100% compatibles. Dans l'autre sens (Office -> OpenOffice), il n'y a pas de compatibilité à 100% (en particulier dans la mise en forme des tableaux et les images vectorielles) ; toutefois ces problèmes de compatibilité existent d'une version d'Office à l'autre. On notera aussi que les formats OpenOffice 1.0 et StarOffice 5.2 sont incompatibles, une mise à jour vers StarOffice 6.0 (compatible nativement avec le format OpenOffice 1.0) est recommandée.

Au niveau des serveurs, le DC Windows NT4 a été remplacé par Linux + SAMBA et donne toute satisfaction. La fiabilité du système est nettement supérieure à celle de Windows NT. Seul la synchronisation de mot de passe Unix / Windows pose encore un problème, résolu par un script qui met à jour les 2 mots de passe à la fois.

Q : Est-il possible de désinstaller Internet Explorer d'un poste Windows NT4 ?
R : Non car certains composants sont utilisés par le système (tel que MSHTML.DLL par ajout/suppression de programmes). Toutefois IEXPLORE.EXE peut être supprimé.

Q : Support du XML par Office ?
R : Office génère un XML "propriétaire" Microsoft, très lourd.

Q : Compatibilité de OpenOffice avec les particularités régionales (oe, euro, etc.) ?
R : Ce problème a été résolu en grande partie dans Linux par l'introduction du charset 8859-15.

Q : Y a-t-il une différence de taille sensible entre les fichiers Office et OpenOffice ?
R : Les fichiers OpenOffice sont considérablement plus petits.

Cette présentation a donné lieu à un débat sur l'avenir politique et économique de Linux face au couple Windows/Office, qui représente un standard de fait du marché.

====================================================
3 - Revue mensuelle des vulnérabilités Windows
(Edelweb - Nicolas RUFF)
====================================================

Les vulnérabilités les plus récentes des environnements Windows sont passées en revue. Un débat s'en est suivi sur des sujets d'actualité en législation informatique : taxe sur les disques durs, projets Palladium et TCPA aux Etats-Unis.

La prochaine réunion du groupe est fixée au lundi 4 novembre 2002.

Le groupe est ouvert à toute proposition d'intervention et/ou d'hébergement.