A tout seigneur tout honneur : l’hydre de la sécurité, le vaporware mythique, la bonne résolution sans cesse oubliée depuis dix bonnes années : la sécurité des serveurs DNS !

Cette année pourtant la sécurité (ou son absence) du DNS était sur toutes les lèvres, grâce notamment à la vulnérabilité très médiatique révélée par le chercheur Dan Kaminsky et à la mobilisation des éditeurs, prêts à faire front commun afin d’en limiter l’impact. Et l’on pourra penser ce que l’on veut de l’homme, de sa vulnérabilité et de l’emballement médiatique, il demeure évident que l’affaire a contribué à réveiller les consciences en matière de sécurité des serveurs DNS.

Et de fait l’année a été riche d’autres actualités liées au DNS : l’on a vu le passage à DNSSEC de plusieurs grands registrars nationaux (la Suède par exemple) et principaux (.org, .edu. .gov, et même .net prévu pour 2011). L’on a vu également de nouvelles solutions de DNS filtrant arriver sur le marché (Nominum), et même Google venir tâter le terrain avec son propre service. Par ailleurs, le même Nominum propose désormais aussi des solutions afin de faciliter le support de DNSSEC pour les serveurs non-autoritaires. Les choses pourraient être en marche pour le DNS.

Patcher à la volée

Autre attente des RSSI, la capacité à corriger les serveurs sans redémarrer, voire à la volée (dans le flux du réseau). L’éditeur Bluelane offrait une solution particulièrement séduisante en la matière, mais son rachat par VMware semble en avoir signé l’arrêt de mort. Depuis, les membres de SecurityVibes discutent avec passion dans l’espoir d’identifier la prochaine solution qui leur offrira un peu d’air dans leur fenêtre de patch !

S’il semble n’y avoir que peu d’espoir du côté de VMware pour l’instant, quelques solutions viennent aider : la start-up K-Splice, que nous avions repéré peu avant l’été, permet ainsi d’appliquer des correctifs noyau Linux sans redémarrer. Elle vient d’ailleurs de recevoir une récompense pour la pertinence de son approche.

La situation semble un peu meilleure du côté des bases de données, avec Sentrigo et son vPatch (correction sur le flux), ou un GreenSQL libre. Mais le problème demeure, pour l’essentiel, intact.

La sécurité dans le Cloud Computing

Beaucoup de débats, peu d’initiatives : la question de la sécurité des services de Cloud Computing semblait mal engagée en début d’année. Mais les choses se sont accélérées en fin d’année avec la création du Cloud Security Alliance , l’intérêt du Jericho Forum, la publication d’une étude consacrée au sujet par l’analyste Forrester Research, des contributions de Microsoft à l’occasion de la sortie d’Azure, etc… Le sentiment est celui d’une montée en puissance de la question en fin d’année après le flou artistique des débuts. L’année 2010 pourrait voir là aussi des développements intéressants.

Et deux questions en suspend

Enfin, deux questions posées dans l’année ne trouveront probablement pas réponse en 2010 mais méritent à notre sens que l’on continue à s’y pencher. Tout d’abord celle de la « tolérance » aux intrusions, que nous détaillons dans un article consacré à l’un des outils de cette catégorie.

Et enfin la question soulevée par Ira Winkler à l’occasion de la RSA Conference 2009 à San Francisco : ne vaudrait-il pas mieux encadrer la corrélation des données personnelles plutôt que seulement leur collecte ?