Let’s Encrypt, une autorité de certification gratuite, libre et pilotable ?

J’ai découvert cet après-midi (merci Arnaud Alcabez) ce nouveau projet soutenu notamment par la fondation Mozilla, Akamai ou encore Cisco – le moins que l’on puisse dire, c’est que c’est prometteur…

En effet, Let’s Encrypt propose de fournir une infrastructure de clés publique, ouverte et gratuite pour la mise en œuvre des protocoles SSL/TLS sur les serveurs Web – La promesse est de taille, on ne paye plus, plus de démarche complexe pour obtenir un certificat, tout est gratuit et automatiser.

Le code ouvert est publié sur GitHub, le service permet de totalement automatiser la demande de certificat, la récupération du certificat et l’installation du certificat sur le serveur Web – les échanges entre le serveur Web et le service Let’s Encrypt sont basé sur ACME (Automated Certificate Management Environment). Le service est sensé démarrer été 2015. A suivre de très près !!!

Plus d’information sur le site du projet.

Une backdoor dans Linux ???

icon_linux

 

Il faut regarder cette vidéo, à partir de la 24ème minute… soudain une question du “monsieur loyal” qui amène les “panelists” à une situation inconfortable, la gène est perceptible…. et les démentis d’après conférence n’y feront rien… Si la NSA a une backdoor côté Windows, il n’y a aucune raison qu’il n’y en est pas côté Linux, Android etc… La négation orale conjointe à l’affirmation gestuelle de Linus Torvalds ne nous rassurent guère…

UNIX toujours jeune ;-)

pilipili

Malgré les prévisions “alarmistes” du Gartner prévoyant la mort d’UNIX dans les prochaines années (rien que ça !), je trouve que les ventes de serveurs UNIX ne vont pas si mal que cela ! En 2012, rien qu’en zone EMEA, le marché des serveurs UNIX a représenté presque 3 millions d’unités, ce n’est tout de même pas rien… Certes une vague de renouvellement des serveurs UNIX vers des serveurs Linux sous x86 est en cours, mais les applications stratégiques des mondes bancaires et industriels sont toujours confiées à des systèmes UNIX – Dans ce cadre, au travers des projets que je mène pour la sécurisation des différents systèmes, je dois dire que je suis toujours surpris de la qualité du système IBM AIX, je pense qu’il n’y a pas d’équivalent en terme de stabilité et de sécurité. Le seul bémol vient peut être du système RBAC AIX qui est une énorme “usine à gaz” pas vraiment fonctionnelle, mais dans ce cas, Centrify Direct Authorize fait des merveille en collaboration avec IBM AIX 😉

En conclusion, que le Gartner et les autres arrêtent de prendre leurs désirs pour des réalités, les systèmes UNIX sont bien là encore pour de nombreuses décennies – le tout est de pas avoir une approche partisane ou “religieuse”, chaque systèmes possèdent ses avantages et ses inconvénient, il faut juste respecter cela et ne pas se tromper en terme de positionnement…

 

Un SSO pour les applications Cloud relié à Active Directory

Planet  Centrify débarque dans le monde du SSO Cloud et de la Fédération d’Identité avec une solution assez révolutionnaire en terme d’approche: Centrify DirectControl for SaaS.

En effet, l’idée est de réaliser ici depuis votre PC sous Windows, depuis votre Mac, depuis votre station Linux, depuis votre téléphone iOS ou Android ou depuis votre tablette iOS ou Android un SSO vers les applications Cloud de l’entreprise. Ce SSO est possiblement basé sur différentes technologies (dans le backoffice), fédération d’identité, OpenID, Login/Mot de Passe, etc… Le tour de force réside dans différents aspects:

  • Le paramétrage se fait depuis Active Directory: Des GPOs et une MMC vont permettre de paramétrer les différentes options, les paramétrages peuvent aussi se réalisés coté du service Cloud et sont synchronisés entre le service Cloud et Active Directory: la désactivation d’un compte dans Active Directory désactivera l’ensemble des comptes utilisateurs dans les applications Cloud pour cette entreprise, bien utile en terme de sécurité !
  • La solution est extrêmement simple à installer: pas de serveur de fédération, pas de paramétrage complexe, pas de synchronisation d’utilisateur: il suffit d’installer un serveur Proxy dont le rôle est de synchroniser les information Active Directory vers un service Cloud Centrify basé sur Azure, le service Cloud Centrify fait le lien avec les applications SaaS – pas d’infrastructure complexe
  • Le service Cloud Centrify basé sur Azure permet de maintenir à jour les paramètres et le niveau de sécurité sur l’ensemble des devices, même si ils sont en dehors de l’entreprise, dès que ceux-ci se connectent à Internet et donc à Azure

Centrify_for_SaaS

Coté Tablette ou Téléphone, une simple application téléchargée depuis le store ou un navigateur, permettent à l’utilisateur de réaliser toutes les opérations: accès aux applications en SSO, mise à jour des informations utilisateurs, réinitialisation de mot de mot de passe, blocage d’un device perdu ou volé, etc…

Centrify propose une version gratuite de sa solution, la version DirectControl for SaaS, pleinement fonctionnelle, sans limitation dans le temps ou dans le nombre de devices gérés: certaines fonctions pour les grandes entreprise seront uniquement présentes dans la version payante qui sortira en Q2 2013.

Mes premiers tests sur la version express de la solution sont plus que concluants: ce produit est génial – De plus, il fonctionne parfaitement avec Office365, que l’instance Office365 soit paramétrée en mode Login/Password ou en mode Fédération, sauf qu’il n’y pas besoin d’ADFS ou de DirSync V2 !

Enfin, je vous conseille vivement de regarder cette vidéo de démonstration de 5 minutes qui vous donnera une meilleure idée de la solution depuis un PC ou une Tablette:

 

 

 

Méthodologie et outils d’audit des permissions d’un Active Directory par l’ANSSI

Retrouvez sur le site de l’ANSSI, un très bon livre blanc décrivant la méthodologie et des outils d’audit des permissions d’un Active Directory.

Rappelons que l’une des missions de l’Agence nationale de la sécurité des systèmes d’information est de fournir des informations, des recommandations et des pistes de réflexion afin d’aider les entreprises et organisations de toute taille d’améliorer leur sécurité informatique.

Cela semble peu par rapport à ce que fournissent les différentes agences américaines, mais au moins cela a le mérite d’exister – de plus, ce Livre Blanc est très bien documenté – bonne lecture !

Que les dieux du CyberEspace bénissent Patrick Pailloux !

  Patrick Pailloux est le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’ANSSI est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Elle a pour principales missions d’assurer la sécurité des systèmes d’information de l’État et de veiller à celle des opérateurs nationaux d’importance vitale, de coordonner les actions de défense des systèmes d’information, de concevoir et déployer les réseaux sécurisés répondant aux besoins des plus hautes autorités de l’État et aux besoins interministériels, et de créer les conditions d’un environnement de confiance et de sécurité propice au développement de la société de l’information en France et en Europe.

Autant dire que l’ANSSI est une organisation plus qu’importante dans le dispositif de réflexion des entreprises et organisations françaises dans le cadre de la sécurisation de leur SI et est l’auteur de nombreuses publications.

Patrick Pailloux était invité à ouvrir les Assises de la sécurité 2012 par un discours d’ouverture attendu. Les “spectateurs” n’ont pas été déçus… en effet Patrick Pailloux a réalisé un discours de TRES grande qualité, je vous invite à le lire [ ICI ]

Si je devais résumer ce discours:

  1. La DSI a le pouvoir, pardon le devoir, de dire “NON” à toutes les demandes hurluberlus
  2. Au travers de la mission d’intérêt public, l’ANSSI travaille sur un document décrivant “L’hygiène informatique en entreprise – Quelques recommandations simples” – un appel à commentaires sur cette version “draft”é est posté [ ICI ]
  3. Le BYOD est une escroquerie intellectuelle: MERCIIIIIIII !!!!!!!!!!!!!!!!!!!!!!!!! [ Voir un article précédent ]

Qu’il soit béni.

En effet, je suis jour après jour de plus en plus stupéfié par:

  1. La lâcheté des directions informatiques face aux demandes de la “Direction”
  2. Les risques induits par les “technologies” à la mode du moment: Cloud public, BYOD et autre délire des équipes dites “métier”
  3. L’impact extrêmement négatif des fameux “analystes” sur les décisions prises par les DSI

Les “analystes” et autres auteurs de “carré magique” deviennent les assurances tout risque des DSI: Les DSI ont peur de prendre une décision, donc elles s’en remettent aux “décisions” des analystes, qui sont devenus les oracles des temps modernes, ils ont la bonne parole, c’est certain ! Il est tout à fait étonnant de constater l’attrait quasi mystique qui accompagne chacune des publications réalisées par ces “analystes”.

Il est tout de même étonnant de constater que les DSI n’ont pas le courage (j’ai failli écrire autre chose…) de leur propre analyse et choix. A oui, pardon, “ce n’est pas leur métier” – ah bon ? et c’est quoi le métier d’une DSI alors ? de planter des fraises ?

Les clients finaux nourrissent les Fournisseurs de Technologies, les Fournisseurs de Technologies nourrissent les analystes, les analystes nourrissent les clients finaux: la boucle est bouclée !

Pour finir, je tire mon chapeau à Patrick Pailloux qui le courage de ses opinions et qui n’a pas cédé aux sirènes “du cocktail réputé des Assises de la sécurité” pour modifier son discours et dévier de sa vrai mission. En effet, année après année, les cocktails des Assises de la sécurité sont plus réputés que le niveau technique des sessions, c’est bien dommage….

 

Quelques mots de Frédéric Esnouf pendant les Techdays 2012…

  Les Microsoft Techdays 2012 sont aussi l’occasion de croiser quelques personnes de référence côté Microsoft France. Frédéric est Architecte sur la partie IAM (FIM & AD RMS principalement) chez Microsoft France.

Vous retrouverez son interview sur le site de ITPro.

Vous retrouverez un article évoquant la gestion des environnements Cloud avec FIM sur le site de ITPro.

Vous retrouverez des informations techniques autour de FIM et d’AD RMS sur son blog.

Webinar sur la sécurité et l’intégrité des données dans Active Directory

NetIQ a organisé avec l’aide de Darren Mar-Elia un webinar sur la sécurité et l’intégrité des données dans Active Directory. Pour ceux qui ne connaissent pas encore Darren, et bien disons que c’est le genre de personnage qui illumine les soirées par son intelligence et son agilité d’esprit. Je croise Darren tous les ans au MVP Summit, car il est lu aussi MVP sur les GPOs, et c’est franchement un réel plaisir d’échanger avec lui sur sa vision de l’IT et sur l’avenir de notre métier. En tant que ex-concepteur de Vintela, ex-CTO de Quest et actuel CEO de SDM Software, autant dire que ce sont des conversations ouvertes et intéressantes.

Vous retrouverez dans ce webinar gratuit toute la passion et intelligence de Darren, il est à voir si vous travaillez de près ou de loin avec Active Directory et la sécurité. Le webinar est accessible [ ici ]

 

Pré-requis client pour Microsoft AD RMS

Vous connaissez certainement le produit Microsoft Right Management Services, autrement appelé AD RMS. Cet IRM permet de protéger l’information au travers des documents Office et des emails créés avec Outlook/Exchange. Certaines extensions fonctionnelles telles que Gigatrust permettent d’étendre ces fonctions vers les documents PDF, les Blackberry, les Iphone/Ipad, etc…

Lors de recherches rescentes, je suis re-tombé sur 2 articles fort intéressants qui présentent les préquis et les matrices fonctionelles en fonction des versions de Windows et des versions d’Office. Ces éléments sont consultables au travers de ces deux liens:

Très bonne lecture à tous ceux qui s’intéressent de près ou de loin à AD RMS !

 

 

Active Directory 2008 R2: Backup et DRP

Peter Van Keymeulen est un consultant infrastructure de haut niveau travaillant pour une société de consulting belge spécialisée dans le domaine des infrastructures Microsoft. Il a créé il y a peu un document vraiment complet concernant les méthodes de sauvegarde et de restauration pour un Active Directory sous Windows 2008 R2. La partie restauration traite de façon précise les éléments nécessaire à un DRP (genre, c’est vraiment la misère de la misère noire…car pour faire un vrai DRP Active Directory, il faut quand même être motivé… ou ne pas avoir le choix…) J’ai vraiment été très impressionné par la qualité et l’exhaustivité du document, je me devais de vous le faire partager.

Bon d’accord, le document est en Anglais et non en Français, mais c’est pour en faire profiter le plus grand nombre car il faut bien reconnaitre que les articles du Microsoft Technet ne sont pas toujours très précis. Et puis, cela pourrait être pire… en Néerlandais !

Bonne lecture de ce [ très bon document ]