La sécurité "by-design" de Remote-Anything

Comment ça marche?

Note: "client" est souvent utilisé à tort pour indiquer un serveur. Afin d'éviter toute confusion, TWD Industries respecte le sens technique de ces mots: les "serveurs" acceptent des connections initiées par les "clients" -et jamais l'inverse.

Dans les applications client/serveur classiques ou dans les applications peer-to-peer le serveur attend des connexions de la part des clients sur un ou plusieurs numéro(s) de port:

Internet
[Client] =====> [Serveur] (en écoute sur les ports x, y et z)

Le serveur est obligé d'accepter toutes les connexions pour vérifier si elles proviennent de clients autorisés à se connecter. Cela permet à un client de détecter un serveur à distance car le serveur doit répondre aux clients qui essaient d'établir une connexion sur un port en écoute.

Cette architecture pose problème car des pirates ou des vers peuvent:

           détecter des serveurs en scannant une plage d'adresses IP d'Internet

           créer des milliers de connexions pour attaquer chacun de ces serveurs:

                 découverte de mot de passe en essayant toutes les combinaisons
                 dépassement de mémoire tampon de l'application serveur
                 deni de service, faille de sécurité de la pile TCP/IP, etc.

C'est à cause des ports en écoute que Windows et les applications serveur (Web, Email, SQL, VPN, VoIP, Instant Messaging, etc.) sont compromises car chaque port en écoute est une porte d'entrée vers un service qui peut contenir des brèches de sécurité -rendant vos systèmes potentiellement vulnérable.

Le danger est proportionnel au nombre de ports en écoute sur l'infrastructure de l'entreprise. Les solutions de contrôle à distance (pcAnywhere, Laplink, NetOp, Timbuktu, etc.) ou d'administration de réseau (IBM Tivoli, Intel LanDesk, CA Unicenter, HP OpenView, etc.) installent un serveur sur chaque PC ce qui met toute l'infrastructure de l'entreprise en danger.

TWD Industries offre une solution radicale à ce problème, en éliminant la totalité des ports en écoute. C'est la sécurité "by-design":

Avec le DS, Master (le client) et Slave (le serveur) n'acceptent plus aucune connexion. Ils sont donc indétectables à distance et ne peuvent pas être attaqués par des pirates ou des vers:

Internet Internet
(aucun port en écoute) [Masters] =====> [DS] <===== [Slaves] (aucun port en écoute)

Seul le DS écoute sur un port (443 par défaut) ce qui réduit d'autant la surface d'attaque de votre entreprise: une seule machine, le DS, nécessite d'être surveilée (au lieu de toutes les machines). Le seul moyen physique pour les Masters d'accéder aux PC Slaves est le DS.

RA est le seul outil de contrôle à distance qui offre ce niveau de sécurité. Bientôt, d'autres applications réseau vont tirer parti de cette technologie brevetée.

- Un mot sur les brevets logiciels -
Aujourd'hui, les brevets logiciels ont mauvaise presse. Mais, beaucoup parmi ceux qui critiquent ces brevets possèdent de larges portefeuilles de ces brevets. Cela inclut certains fameux laboratoires de recherche publique qui ont fortement accusé les sociétés privées de "bloquer le futur". Pourquoi ces laboratoires continuent à enregistrer des brevets à un rythme soutenu reste un mystère, sauf si vous considérez honnnêtement qu'il n'y a pas de différence de mérite entre un brevet de moteur de voiture et un brevet de compression de données -du moment que le brevet lui-même n'est pas sans mérite. C'est à dire s'il résoud de manière nouvelle et efficace un problème technique réel. Le problème n'est donc pas de savoir si les brevets logiciels sont acceptables ou pas, mais bien de savoir pourquoi l'on permet l'enregistrement de brevets sans mérite.

	Admettons-le: si la 'sécurité' était assurée personne ne serait piraté. Si les gens sont toujours piratés c'est que les produits vendus par les sociétés de 'sécurité' ne vous mettent pas à l'abri. Voyons pourquoi.

Routeurs et firewalls

Qu'est-ce qu'un firewall? Dans un monde parfait, un firewall serait un appareil qui filtre tous les trafics entrant et sortant afin de ne permettre que ce qui est désiré et en bloquant le reste. Tout le reste.

Malheureusement, ce n'est pas ce qui se passe. La plupart des routeurs sont supposés faire la même chose mais ils échouent dans cette tâche et c'est pourquoi les "experts en sécurité" vous disent: "Achetez un vrai firewall". Traduisez "vrai" par "coûteux" en général. Certains routeurs coûteux laissent tout passer lorsqu'ils reçoivent plus de paquets qu'ils ne peuvent en filtrer. Au lieu de cela, ne devraient-ils pas tout bloquer lorsqu'ils sont surchargés?

Les firewalls sont-ils vraiment sûrs? Cherchez "firewall + vulnerability" sur Google et voyez par vous-même. 232.000 liens c'est plus qu'assez pour vous montrer à quel point un firewall vous fait courir de nouveaux risques.

Pourquoi les firewalls supposés vous sécuriser ne sont pas sûrs eux-mêmes? Il y a plusieurs raisons pour cela -politiques, techniques et commerciales. Comme la plupart des éditeurs gagnent leur vie en vendant les mises à jour de leurs produits il n'y a pas de réelle motivation pour faire un produit qui ne génère pas des revenus récurrents...

Qu'en est-il des "firewalls personnels". La plupart exploitent l'ignorance des utilisateurs afin de faire de l'argent facilement sur des peurs soigneusement nourries. Un "firewall personnel" ne devrait pas jouer la bande originale de la fin du monde pour chaque paquet entrant ou sortant. Du fait qu'ils sont exécutés sur la machine censée être défendue, ils peuvent être compromis très facilement -même à distance- en:

modifiant sa configuration -permettant aux pirates ou aux virus de passer

le désactivant ou le stoppant -permettant aux pirates ou aux virus de passer

prenant l'identité d'un utilisateur, d'un programme ou d'un service autorisé

y injectant du code pour tromper l'utilisateur afin de faire ce que l'on veut

utilisant une couche réseau à un niveau plus bas -pour faire ce que l'on veut

agir au démarrage ou à la fermeture de Windows -pendant qu'il ne tourne pas

Voyons combien les "vrais" firewalls échouent dans leur mission: le leader du marché expose plus de 15.900 liens de vulnérabilités sur Google. La pub n'a jamais mentionné le fait que votre système de 'sécurité' devait être corrigé encore et encore (à vos frais) sans jamais vous mettre en sécurité parce que les mises à jour viennent APRES que les vulnérabilités soient publiquement publiées...

Si vous avez besoin d'être connecté à d'autres réseaux un firewall seul n'est pas la solution car il ferme juste quelques portes et laisse d'autres portes ouvertes.

Note: les firewalls seraient sans objet si les systèmes d'exploitation et applications n'avaient pas de ports ouverts vulnérables.

Systèmes de Détection d'Intrusion (IDS)

Un IDS est supposé filtrer tout le trafic entrant et sortant afin d'alerter l'administrateur réseau à propos de ce qui n'est pas autorisé ou désiré. Malheureusement, ce n'est pas ce qui se passe.

Cherchez "IDS + vulnerability" sur Google et voyez par vous-même. 118.000 liens sont plus que suffisants pour vous montrer combien les IDS échouent à renforcer la sécurité de vos systèmes.

Un IDS n'est pas sûr parce qu'il peut être abusé très facilement en:

n'utilisant pas de méthodes trop facilement identifiées comme des menaces

cachant les attaques parmi des milliers de connexions et de fausses alarmes

faisant du firewalking pour cartographier un LAN sans déclencher d'alarme

endossant l'identité d'un utilisateur, programme ou service autorisé

compromettant l'IDS pour cacher des attaques ou des tentatives de pénétration

Qu'est-ce qui ne va pas à propos des IDS? Ils apportent de nouvelles vulnérabilités à vos systèmes et ne vous alertent que pour de VIEILLES ET BANALES menaces. Cela signifie que si ce produit n'est pas capable de détecter un type de menaces alors ces menaces vivront des jours heureux sur vos systèmes. Les pirates ont le choix d'utiliser des attaques invisibles sophistiquées ou des attaques bien connues et peu évoluées. Devinez ce qu'un pirate expérimenté -la catégorie la plus dangereuse- choisira de faire.

Si votre but est de surveiller les attaques des gamins alors un IDS vous donnera satisfaction mais si vous souhaitez davantage, hé bien, un IDS n'est simplement pas la solution. Enfin, les utilisateurs d'IDS doivent souscrire à des contrats de maintenance coûteux pour mettre à jour leurs listes de menaces -toute leur vie.

Note: les IDS seraient sans objet si les applications n'avaient pas de brèches de sécurité exploitables.

Programmes anti-virus

Un programme anti-virus est une application supposée vérifier l'intégrité des fichiers de vos disques et filtrer tout code exécuté (de préférence le code utilisateur et système) afin de ne laisser que ce qui est autorisé et de bloquer le reste. Tout le reste.

Malheureusement, ce n'est pas ce qu'ils font car le système a un accès total à tout et parce que les programmes anti-virus sont exécutés sur la machine qu'ils sont supposés protéger. Cette caractéristique fait d'eux des cibles faciles -comme pour les "firewalls personnels".

Les produits anti-virus sont-ils sûrs? Cherchez "antivirus + vulnerability" sur Google pour vous faire une opinion. 59.000 liens devraient suffire pour vous convaincre du contraire.

Souvenez-vous quand les logiciels ont commencé à être si gros que la disquette a été remplacée par le CD-ROM. Cela a soudainement empêché les virus de se répandre de PC en PC du fait que le CD-ROM est read-only (on ne peut que le lire et pas y écrire).

C'est alors que Microsoft a violé une loi fondamentale. Ils ont mélangé données et code exécutable. Avant Outlook les emails ne contenaient que du texte sans danger mais Microsoft y a ajouté VB-script, ActiveX, java et beaucoup d'autres dangers qui ont créés une industrie très lucrative pour 'combattre les virus'. Où a été le bénéfice pour les utilisateurs? Personne ne le sait mais un tel 'progrès' a été très rapidement étendu aux feuilles de calcul Excel, aux bases de données Access, aux documents Word et HTML, etc. avec les résultats dramatiques auxquels on doit faire face aujourd'hui.

Si vos revenus venaient principalement de la vente de produits anti-virus ou anti-SPAM, considèreriez-vous les auteurs de virus et de SPAM comme une menace ou comme une ressource vitale pour la croissance de votre société? Pensez-y à deux fois avant de faire confiance à ce que les magazines ou les "vendeurs de sécurité" écrivent parce que leurs intérêts peuvent ne pas coïncider avec les intérêts de leurs clients.

Les produits anti-virus exploitent le manque de connaissances techniques des utilisateurs pour faire de l'argent. Un produit anti-virus n'est pas sûr et peut être compromis facilement en:

modifiant sa configuration -permettant aux pirates ou aux virus de passer

le désactivant ou en le stoppant -permettant aux pirates ou aux virus de passer

se faisant passer pour un utilisateur, programme ou service autorisé

y injectant du code -permettant aux pirates ou aux virus de passer

utilisant un niveau système plus bas -permettant aux pirates et virus de passer

Qu'est-ce qui ne va pas dans les produits anti-virus? Non seulement ils ajoutent des vulnérabilités à vos systèmes mais ils ne 'protègent' vos systèmes que contre de VIEILLES ET BANALES menaces crées par Microsoft pour des raisons restées obscures. Cela signifie que les dangers non pris en compte par les anti-virus -ou que les anti-virus ne savent pas prendre en compte- vivront des jours heureux sur vos systèmes 'protégés'.

De plus, les anti-virus doivent être mis à jour continuellement pour offrir leur 'protection'. Ce n'est un inconvénient que pour les consommateurs bien sûr -les auteurs de virus et d'anti-virus vivent à leur dépens.

Note: les anti-virus seraient sans objet si les systèmes d'exploitation et applications avaient de vraies règles de droits d'accès (pourquoi votre Navigateur Internet est-il autorisé à accéder aux fichiers de vos disques?).

Serveurs proxy

Les serveurs proxy sont utilisés pour relayer le trafic entre l'Internet et un réseau protégé. Les serveurs proxy peuvent contribuer à la sécurité d'un réseau protégé en empêchant les utilisateurs internes d'accéder à Internet sauf s'ils fournissent les accréditations appropriées.

Les serveurs proxy ne devraient jamais être considérés comme une solution de remplacement pour les firewalls car les serveurs proxy filtrent le trafic au niveau application et pas au niveau paquet comme les firewalls. Cela signifie que les serveurs proxy ne peuvent protéger leur hôte ni les hôtes placés derrière eux contre des attaques IP.

Certains serveurs proxy sont limités à une seule application comme FTP ou peuvent être "génériques" comme SOCKS (http://www.socks.nec.com). Dans les deux cas, vous ne pouvez pas compter sur un serveur proxy seul pour protéger un réseau.

Réseaux privés virtuels (VPN)

Les VPN ont été créés pour répondre à des failles spécifiques du protocole TCP/IP. Certains ont annoncé qu'IPSec rendrait les firewalls obsolètes. Ce n'est pas le cas. Si l'on considère le prix ce ces produits, c'est fort dommage.

IPSec authentifie juste les extrémités d'une connexion et crypte les données transmises. Un VPN IPSec est complémentaire d'un firewall mais n'assure pas les fonctions d'un firewall qui restreint les services permis entre deux réseaux.

Certains éditeurs reconnaissent ce fait et ont combiné des firewalls et fonctions IPSec. C'est une bonne chose lorsque tous les postes à protéger ont les deux, mais même ainsi vous n'êtes pas vraiment en sécurité. Google indique plus de 109,000 liens utiles pour la requête "VPN + vulnerability". Tous les vendeurs de renom y sont listés. Où est donc le problème avec les VPN?

Le mal est dans le design. Les serveurs, passerelles et clients VPN écoutent sur des numéros de port. Cela signifie qu'ils peuvent être attaqués. Même s'ils ne répondent pas à des connexions entrantes ne respectant pas le format désiré ils sont vulnérables aux attaques de déni de service et à des connexions qui exploitent les brèches de sécurité des serveurs, clients ou passerelles VPN:

      dans la procédure d'initialisation des connexions
      dans l'implantation de l'authentification
      dans implantation du filtrage de paquets
      dans implantation du traitement des paquets (encapsulation, cryptage, envoi, etc.).

Les experts en sécurité vous disent d'installer des firewalls afin de protéger les clients VPN mais les firewalls ne protègeront pas contre les exploits qui ciblent un VPN spécifique parce que si des paquets entrants réussissent à tromper le VPN sur quelle base le firewall pourrait-il décider de les rejeter?

La question importante est: "Cela peut-il être évité?"

La réponse est oui. La sécurité "by-design" développée par TWD Industries ne requiert plus de passerelles et permet aux clients VPN de ne plus écouter sur des numéros de port. Cela signifie plus de vulnérabilités déployées largement, plus d'attaques de déni de service, plus d'exploits.

De plus, si les serveurs VPN deviennent invisibles, si l'on élimine les passerelles VPN et si les clients VPN n'ont plus de ports en écoute, alors les firewalls deviennent effectivement obsolètes.

Le marché a besoin de quelque chose de meilleur et d'abordable afin que tous puissent être en sécurité.
TWD Industries travaille à une solution de ce type.

Cela signifie-t-il que les produits offerts par les vendeurs de 'sécurité' sont totalement inutiles? Non. Cela signifie juste qu'ils échouent à fournir le niveau de sécurité que les utilisateurs attendent d'eux.

Est-ce qu'un 'vrai' firewall serait sûr s'il faisait son travail correctement? Malheureusement la réponse est non car vous ne devez pas seulement bloquer quelques portes pour être sûr. Vous devez vous assurez que:

Seuls les visiteurs désirés passeront les portes laissées ouvertes

Les visiteurs désirés feront seulement ce qu'ils sont supposés faire et rien d'autre.

Maintenant vous commencez à voir la différence entre ce que vous avez et ce dont vous avez réellement besoin. Si les solutions traditionnelles de 'sécurité' ont échoué alors il y a un besoin pour quelque chose de meilleur.

TWD Industries présente une alternative plus efficace et économique: la sécurité "by-design".

Qu'est-ce que cela signifie "by-design"?

Les utilisateurs n'ont pas le savoir nécessaire pour comprendre ou interpréter les alertes ni
contraintes de sécurité et ils ne veulent pas devenir des experts en sécurité car ils ont autre
chose à faire. Ils ont déjà un autre métier.

Les 'solutions de sécurité' fournies par l'industrie échouent dans leur mission parce qu'elles ne sécurisent pas les utilisateurs sans une équipe dédiée (et chère) de professionnels de la sécurité travaillant à plein temps pour prendre soin d'eux. Cette 'solution' est simplement inappropriée.

Q) Pourquoi laisser tout le monde se connecter à tous vos PC en écoute?

R) Vos applications réseau ne savent pas comment joindre un PC distant sans port en écoute.

La seule façon de s'assurer que tout le monde est en sécurité est de sécuriser les gens by-design. Au lieu de cela, l' industrie a créé plus de complexité, de confusion... et des frais récurrents.

Comment la sécurité "by-design" de TWD Industries résoud ces problèmes?

les PC sont invisibles et injoignables –on ne peut les détecter ni les attaquer

les utilisateurs mobiles sont en sécurité où qu'ils soient au monde –sans configuration

accéder aux PC et utilisateurs derrière un routeur ou un firewall est sûr et transparent

les utilisateurs se joignent entre eux en tapant leur nom –plus besoin d'adresses IP

cette solution peut être intégrée progressivement sans toucher aux vieux systèmes

La technologie de TWD Industries peut sécuriser "by-design":

Les applications réseau (VPN, ERP, CRM, MES, approvisionnement…)

Les appareils intelligents en réseau (ordinateurs, PLC, PABX, Stockage en réseau...)

L'infrastructure réseau (routeurs, Switches, Hubs…)

Si vous souhaitez obtenir une licence de cette technologie brevetée contactez-nous.

Accueil | Commander | Produits | FAQ | Ce que disent les clients

Presse | Tarifs | La société | Nous Contacter