Stratégie

Microsoft UAG: chronique d’une mort annoncée…

SylvainLeave a comment

rip-tombstoneCa y est, c’est fait, après quelques mois de rumeur, la nouvelle est tombée: Microsoft arrête UAG (Unified Access Gateway). Il ne reste qu’environ 6 mois pour acheter des licences UAG depuis le tarif Microsoft.

Ma première remarque: quel gâchis…

Rappelons qu’UAG provient du rachat de la société Whale Communications et a été le fer de lance de la publication de la publication d’applications Microsoft telles qu’Exchange ou Sharepoint depuis plusieurs années.

L’arrêt de TMG avait annoncé la couleur: Microsoft ne souhaitait pas continuer dans le firewall applicatif, mais il semblait nécessaire de conserver une solution pour publier de manière sécurisée les différentes services applicatifs, de plus, on pouvait trouver des redondances entre TMG et UAG, donc cela pouvait sembler logique…

Mais là, la nouvelle est brutale, que d’énergie dépensée pour rien, quid des nombreux clients qui utilisent la solution, il y avait à mon avis beaucoup mieux à faire.

Ma deuxième remarque: les constructeur de firewall/reverse-proxy se frottent les mains…

C’est clair, déjà depuis la mort de TMG, c’était la fête du slip, mais là c’est la fête au village ! tous les constructeur de firewall avec des notions de filtrage applicatif et des fonctions de publication avancées ont le sourire des bons jours – Il n’y a qu’à regarder leur communication, elle est même de plus en plus spécialisée du genre « venez vers moi, mon produit le meilleur pour remplacer TMG »…

Bref, le cloud continue ses ravages, certaines personnes chez MS doivent penser que comme il ne faut plus rien mettre on-premise, il n’y a plus rien à publier, je crois qu’ils rêvent un peu, voir beaucoup…

Plus d’infos ici: http://blogs.technet.com/b/server-cloud/archive/2013/12/17/important-changes-to-the-forefront-product-line.aspx

 

Windows Azure Active Directory: les nouvelles fonctions

SylvainLeave a comment

waadMicrosoft vient juste de mettre en ligne tout un ensemble de nouvelles fonctionnalités pour WA AD (Windows Azure Active Directory). Tout d’abord, petit rappel, WA AD n’est PAS Active Directory dans Azure… Si une organisation veut un DC Active Directory dans Azure ou même faire une forêt complète dans Azure, la démarche est d’utiliser le service Infrastructure As A Service d’Azure et de faire une installation « classique » de Windows, suivi du rôle AD DS.

WA AD est en fait une nouvelle brique dans a stratégie de Microsoft, et c’est franchement très intéressant Il faut voir WA AD, principalement comme une offre de Fédération As A Service. En effet, l’instance WA AD d’une société va permettre en faite de connecté cette instance soit à des applications en ligne : Office365 bien sur, mais aussi SalesForce par exemple et/ou d’utiliser d’autres sources d’authentification comme étant le recueil d’utilisateur: l’instance WA AD d’un partenaire, un compte Google ou même un compte Facebook.

Comme l’instance WA AD de l’organisation est vraisemblablement « connectée »  à l’Active Directory on premise (dirsync + ADFS ou dirsync + Centrify for saas), et bien la boucle est bouclée.

WA AD débarque en deux mode, le standard et le premium – ce qui est bien avec le mode standard, c’est qu’il est gratuit, et franchement les fonctions de base sont assez impressionnantes.

Voici un détail des deux mode, en sachant que la version Premium est actuellement en beta, et donc gratuite elle-aussi jusqu’à la release finale:

WAAD_program

 

Une backdoor dans Linux ???

SylvainLeave a comment

icon_linux

 

Il faut regarder cette vidéo, à partir de la 24ème minute… soudain une question du « monsieur loyal » qui amène les « panelists » à une situation inconfortable, la gène est perceptible…. et les démentis d’après conférence n’y feront rien… Si la NSA a une backdoor côté Windows, il n’y a aucune raison qu’il n’y en est pas côté Linux, Android etc… La négation orale conjointe à l’affirmation gestuelle de Linus Torvalds ne nous rassurent guère…

UNIX toujours jeune ;-)

SylvainLeave a comment

pilipili

Malgré les prévisions « alarmistes » du Gartner prévoyant la mort d’UNIX dans les prochaines années (rien que ça !), je trouve que les ventes de serveurs UNIX ne vont pas si mal que cela ! En 2012, rien qu’en zone EMEA, le marché des serveurs UNIX a représenté presque 3 millions d’unités, ce n’est tout de même pas rien… Certes une vague de renouvellement des serveurs UNIX vers des serveurs Linux sous x86 est en cours, mais les applications stratégiques des mondes bancaires et industriels sont toujours confiées à des systèmes UNIX – Dans ce cadre, au travers des projets que je mène pour la sécurisation des différents systèmes, je dois dire que je suis toujours surpris de la qualité du système IBM AIX, je pense qu’il n’y a pas d’équivalent en terme de stabilité et de sécurité. Le seul bémol vient peut être du système RBAC AIX qui est une énorme « usine à gaz » pas vraiment fonctionnelle, mais dans ce cas, Centrify Direct Authorize fait des merveille en collaboration avec IBM AIX 😉

En conclusion, que le Gartner et les autres arrêtent de prendre leurs désirs pour des réalités, les systèmes UNIX sont bien là encore pour de nombreuses décennies – le tout est de pas avoir une approche partisane ou « religieuse », chaque systèmes possèdent ses avantages et ses inconvénient, il faut juste respecter cela et ne pas se tromper en terme de positionnement…

 

Gartner: Cool Vendors IAM 2013

SylvainLeave a comment

 

coolvendors

 

 

 

C’est désormais un rituel annuel, le 29 Avril 2013, Gartner a publié la liste des « cool vendors » dans le domaine de la gestion des identités et des accès – comprendre – les sociétés qu’il faut surveiller si vous travaillez dans le domaine IAM, car leur technologies pourrait s’imposer dans les années à venir. Cette année, les sociétés à surveiller sont:

BioCatch
Brainwave
STEALTHbits Technologies
Victrio
Veriphyr

le document est [ ici ]  et coûte  495 $

Que les dieux du CyberEspace bénissent Patrick Pailloux !

Sylvain1 Comment

  Patrick Pailloux est le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’ANSSI est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Elle a pour principales missions d’assurer la sécurité des systèmes d’information de l’État et de veiller à celle des opérateurs nationaux d’importance vitale, de coordonner les actions de défense des systèmes d’information, de concevoir et déployer les réseaux sécurisés répondant aux besoins des plus hautes autorités de l’État et aux besoins interministériels, et de créer les conditions d’un environnement de confiance et de sécurité propice au développement de la société de l’information en France et en Europe.

Autant dire que l’ANSSI est une organisation plus qu’importante dans le dispositif de réflexion des entreprises et organisations françaises dans le cadre de la sécurisation de leur SI et est l’auteur de nombreuses publications.

Patrick Pailloux était invité à ouvrir les Assises de la sécurité 2012 par un discours d’ouverture attendu. Les « spectateurs » n’ont pas été déçus… en effet Patrick Pailloux a réalisé un discours de TRES grande qualité, je vous invite à le lire [ ICI ]

Si je devais résumer ce discours:

  1. La DSI a le pouvoir, pardon le devoir, de dire « NON » à toutes les demandes hurluberlus
  2. Au travers de la mission d’intérêt public, l’ANSSI travaille sur un document décrivant « L’hygiène informatique en entreprise – Quelques recommandations simples » – un appel à commentaires sur cette version « draft »é est posté [ ICI ]
  3. Le BYOD est une escroquerie intellectuelle: MERCIIIIIIII !!!!!!!!!!!!!!!!!!!!!!!!! [ Voir un article précédent ]

Qu’il soit béni.

En effet, je suis jour après jour de plus en plus stupéfié par:

  1. La lâcheté des directions informatiques face aux demandes de la « Direction »
  2. Les risques induits par les « technologies » à la mode du moment: Cloud public, BYOD et autre délire des équipes dites « métier »
  3. L’impact extrêmement négatif des fameux « analystes » sur les décisions prises par les DSI

Les « analystes » et autres auteurs de « carré magique » deviennent les assurances tout risque des DSI: Les DSI ont peur de prendre une décision, donc elles s’en remettent aux « décisions » des analystes, qui sont devenus les oracles des temps modernes, ils ont la bonne parole, c’est certain ! Il est tout à fait étonnant de constater l’attrait quasi mystique qui accompagne chacune des publications réalisées par ces « analystes ».

Il est tout de même étonnant de constater que les DSI n’ont pas le courage (j’ai failli écrire autre chose…) de leur propre analyse et choix. A oui, pardon, « ce n’est pas leur métier » – ah bon ? et c’est quoi le métier d’une DSI alors ? de planter des fraises ?

Les clients finaux nourrissent les Fournisseurs de Technologies, les Fournisseurs de Technologies nourrissent les analystes, les analystes nourrissent les clients finaux: la boucle est bouclée !

Pour finir, je tire mon chapeau à Patrick Pailloux qui le courage de ses opinions et qui n’a pas cédé aux sirènes « du cocktail réputé des Assises de la sécurité » pour modifier son discours et dévier de sa vrai mission. En effet, année après année, les cocktails des Assises de la sécurité sont plus réputés que le niveau technique des sessions, c’est bien dommage….

 

La désillusion du VDI ou la nouvelle version de l’imposture informatique

SylvainLeave a comment

  Une fois n’est pas coutume, cet article n’est pas spécifiquement orienté vers le thème de l’IAM, mais porte sur un sujet qui m’est cher: « L’imposture informatique« .

Toute personne travaillant dans l’informatique doit avoir lu le livre « L’imposture informatique« , c’est une nécessité afin de bien comprendre l’industrie dans laquelle « nous » travaillons. Notez, je suis tout à fait conscient de participer très activement à cette imposture, mais je ne suis pas dupe. Malheureusement il se trouve que je gagne en partie ma vie grâce aux nouveaux besoins que le couple Gartner/IDC invente jour après jour, je sais, c’est mal (c’est comme « croiser les effluves »).

Le livre « L’imposture informatique » explique brillamment (à mon avis) comment l’industrie informatique construit elle-même les besoins de ces futurs clients, et comment ces nouveaux besoins nourrissent à nouveau la genèse d’autres besoins – un exemple simpliste: d’abord inventons la messagerie électronique, puis inventons l’anti-spam après quelques années, puis inventons des software de relais en masse déjouant les anti-spam. Ce livre est vraiment bien vu, je le conseille à toutes les personnes qui travaillent dans l’informatique, quel que soit le poste.

Au fait, en parlant d’imposture, discutons donc du Cloud ! Ceux qui me suivent et lisent ce blog régulièrement connaissent ma « passion » pour le Cloud et ce que j’en pense. Bref, voilà encore une belle invention conjointe de Gartner/IBM/MSFT/Google/IDC/etc…. Mais bon, il faut bien assurer les nouveaux relais de croissance, quitte à rendre friable l’informatique de ses propres clients, de toute façon ils reviendront ! ils ont besoin d’informatique !

La nouvelle imposture à la mode: le BYOD, et son âme damnée: le VDI. Non, mais sans blague, vous connaissez personnellement une entreprise qui « fait » du BYOD ? et je ne parle pas des pseudo articles dans « 01 » ou dans « l’informaticien » mais de quelque chose que vous avez vu de vos propres yeux…

Le cas du VDI est plus complexe. En effet, la promesse « fonctionnelle » est réelle et peut être considérée comme intéressante. Néanmoins:

1/ pourquoi payer avec le VDI 3 à 4 fois le prix d’une infrastructure classique client-serveur ? existe t-il un ROI intéressant sur la durée d’un vie d’une telle infra ? -> NON

2/ pourquoi déployer du VDI, alors qu’une infra client-serveur bien réalisée couvre à 99% (voir 100%) les même besoins ? -> PAS DE REPONSE

3/ pourquoi se rajouter des problèmes techniques et fonctionnels et sachant que le VDI ne couvre pas actuellement techniquement ce que l’on attend de lui ? Sur ce point le VDI me fait penser à l’ASP de 1999: belle idée, mais une idée trop en avance par rapport aux possibilités techniques du moment.

Je sais, tous mes potes travaillant dans la Virtu et le VDI vont me jeter des tomates – tant pis – et d’ailleurs, comme leur dieu s’appelle Brian Madden, je leur conseille de lire » le nouveau testament« : « The VDI delusion » – c’est fascinant.

 

Post = le message d’un inconnu

Sylvain1 Comment

Il y a qq jours, j’ai eu un message via le formulaire de contact du blog, message intéressant, incongru, piquant, mais sans signature électronique, je ne peux donc pas répondre !

Que l’individu se reconnaisse et laisse un message sur ce post – nous pourrons alors débattre !

 » Bonjour, un point qui me turlupine depuis quelques années (si, si) et pour lequel je ne vois aucun développement concret aboutir. Il y a bien Shibboleth mais seules des centres de recherche sont impliqués et non le vulgum pecum. Or, je considère cela comme fondamental dans le monde électronique actuel et nous pourrons en discuter ensuite : la réappropriation par l’usager de son identité (et de ses authentifiants). Depuis quelques années on assiste à une centralisation forcée des identités et c’est volontairement que les multinationales avancent masquées sur le  sujet : l’identité individuelle recèle un gisement important de monétisation. Ben tiens. Qui plus est, avec les attaques que subissent régulièrement les offreurs de service hébergeant des bases d’identité on sera bientôt obligé de changer son mot de passe (80% des gens utilise le même mot de passe pour tous leurs services) toutes les heures. Il y a bien OpenId ou équivalent mais nous sommes toujours dans une optique de centralisation de l’identité. Et ça ce n’est pas tolérable. L’identité  ne DOIT PAS être délégable mais offrir malgré tout de la résilience. En fait, l’identité DOIT être un service  comme le DNS : distribué, individualisable (j’ai mon propre serveur DNS pour les domaines que je possède) et résistant (j’ai un secondaire qui n’est pas sur le même réseau). Les esprits chagrins objecteront que la sécurité est un sujet trop sérieux pour être laissé au particulier. Je leur répondrai que sans DNS l’Internet n’existerait pas et pourtant celui-ci est dans mon placard chez moi. Mais bon, il est vrai que je ne demande pas à Mme Michu d’héberger michu.com chez elle. Il existe des produits que l’on nomme HSM qui peuvent se matérialiser sous la forme d’une simple carte à puce connectée à un lecteur USB. La carte bancaire, ça, tout le monde connaît non ? On peut donc imaginer un boîtier homologué et certifié (EAL4+) qui assurerait la gestion de ou des identités des personnes qui souhaitent assurer cette gestion en propre. Pour les autres, comme il y a les serveurs DNS des hébergeurs, des registres ou des FAI et bien, il y aurait les fédérateurs d’identité commerciaux (sorte de FAI dédiés à l’identité). D’où la question : pourquoi ne pas commencer à développer une telle solution (coût de l’ordre de la centaine d’euros pour un équipement et donc 200 euros pour le système redondant) ? Votre question : pourquoi votre blog pour cette question ? Le hasard 🙂 db  « 

Mandriva va ou va pas ?

SylvainLeave a comment

Nouveaux rebondissements autour de la société Mandriva. Faites vos jeux…Rien de va plus… La société Mandriva SA ne va plus gérer le développement de l’OS Mandriva… et laisse donc à la « communauté » le soin de gérer les futures évolutions. Quelle future cohabitation attendre avec le fork Mageia ? mystère et boule de gomme.

Au delà des dysfonctionnements évidents de la société Mandriva SA, ce nouvel évènement met sous la lumière la difficulté du modèle économique de distribution Linux.

La société Mandriva avait commencé une initiative intéressante consistant en la création d’un package Annuaire des Identités, il est vraiment dommage que ce « produit » n’est pas évolué depuis plusieurs années, car il y a de la place à prendre sur ce secteur…

Néanmoins, très bonne chance à eux (j’ai un copain là-bas…).

Connaissez vous l’ANTS ?

SylvainLeave a comment

  L’Agence Nationale des Titres Sécurisés (ANTS) est un établissement public administratif, placé sous tutelle du ministère de l’Intérieur, de l’Outre-Mer et des Collectivités Territoriales.
L’Agence a pour mission de répondre aux besoins des administrations de l’Etat en matière de titres sécurisés : le certificat d’immatriculation (communément appelée carte grise), le passeport biométrique, le permis de conduire, la carte nationale d’identité électronique (CNIE) et le titre de séjour électronique (TSE). Ces titres sont des documents qui sont délivrés par l’Etat et qui font l’objet d’une procédure d’édition et de contrôle sécurisée.

La création de cet établissement s’inscrit dans la volonté de réforme, de modernisation et de rationalisation des moyens de l’Etat. L’Agence est amenée à se développer dans un contexte national et européen de renforcement de la sécurité des titres délivrés par l’Etat.

L’Agence Nationale des Titres Sécurisés a aussi en charge de la définition, l’évangélisation, le développement et le support des middleware liés aux cartes dite IAS ECC, qui sont utilisées dans le cadre. Il reste à noter qu’il peut être très intéressante d’utiliser ces cartes dans des projets non gouvernementaux, en effet, cela permet d’obtenir des middlewares développés et maintenus gratuitement (sauf nos impôts…) par un organisme gouvernemental à but non lucratif et d’être certain d’obtenir une interopérabilité complète quelque soit le fournisseur de la carte: Gemalto, Oberthur ou Sagem.

Il reste à déplorer que cette spécification n’est trouvé l’élan de développement à l’échelle Européenne, alors qu’il s’agissait à priori d’une volonté affichée par les organismes gouvernementaux.