D’abord un constat: la mobilité s’impose aujourd’hui à tous et partout. Le basculement vers la mobilité a déjà eu lieu (4 nouveaux mobiles sur 5 sont des smart phones), les usages se développent (B2C, B2E, e-governement), et le Gartner group prévoit que 80% des entreprises utiliseront des tablettes en 2013.

Mais la mise en oeuvre, dans un paysage fragmenté (smart phones, tablettes, OS, applications, SI), se révèle complexe. Une stratégie de développement est indispensable pour parvenir à suivre le marché, les technologies, les usages et business models permettant les gains de productivité par l’accès au SI en mobilité, sans compromettre la sécurité, et à un coût maîtrisé.En 2011, Devoteam est devenu un acteur majeur de ce marché à travers une offre complète d’accompagnement, allant de la définition de la stratégie à la mise en place d’un App store mobile multi-terminaux et multi-OS, tout en gérant la sécurité des accès au SI et la distribution des applications.

S’engager dans une stratégie de mobilité est aujourd’hui un impératif d’adaptation aux nouveaux modes de travail de la génération Y, à l’heure où les frontières géographiques (bureau, domicile, déplacements) et temporelles (horaires  de bureau) sont à géométrie variable. Cette démarche darwiniste est aussi l’occasion de repenser sa stratégie de mobilité et de collaboration (outils, usages, besoins), tout en rendant l’entreprise plus étendue, compétitive et responsable. Elle passe donc par une phase de recensement des usages (collaboration, innovation,  tranversalité) et des outils collaboratifs de l’entreprise (mobilité, multi-canal, 2.0), permettant d’établir son profil.

C’est seulement une fois ce profil établi que se pose la question des moyens (réseaux sociaux d’entreprise, outils collaboratifs, téléphonie et messagerie unifiées, gestion de la présence…). L’ensemble de la démarche repose donc sur cet équilibre entre les chantiers orientés moyens et ceux orientés changements:  l’implication de tous les acteurs à travers une gouvernance adaptée, une approche pragmatique par étapes donnant lieu à des premiers succès immédiats et visibles, sont parmi les facteurs clés de succès.

Un autre enjeu majeur d’un projet de mobilité consiste à outiller les utilisateurs quels que soient leur terminal (tablette, smart phone…) et leur environnement (iOS, Androïd…). La plate-forme KMAP de Keivox, société acquise en 2011 par Devoteam, y répond en remplissant les 3 objectfis clé: développer les applications une seule fois pour tous les environnements, mettre à disposition un App store privé, et fournir les outils de suivi des installations et des usages.  L’écosystème Keivox fournit un environnement complet de développement (SDK), d’exécution sur le terminal (kPlayer), et de gestion (portail KMAP).

 Un aspect important de la mobilité en entreprise est la gestion du BYOD (Bring Your Own Device): aujourd’hui, les collaborateurs veulent pouvoir accéder à l’entreprise à travers leurs outils personnels. Ce phénomène favorisé par la consumérisation, et notamment l’arrivée massive des tablettes, est à la fois une opportunité (réduction des coûts, facilité d’adoption par le collaborateur), et un risque (perte de contrôle par l’entreprise).

Il est donc indispensable de mettre en place une solution de MDM (Mobile Device Management) permettant de gérer (inventorier, configurer, déployer, sécuriser) les applications, les terminaux, et la sécurité.

Le marché très fragmenté du MDM regroupe une soixantaine d’acteurs, avec des positionnements très variés (système, sécurité, réseau, gestion d’assets), souvent plus des pure players que des leaders maîtrisant la globalité de l’approche. C’est aussi là où la vision globale de Devoteam prend tout son sens dans l’accompagnement de ses clients !

Préoccupation majeure et récurrente des DSI, la sécurité doit faire face à la dissémination des terminaux et des OS, des usages, et des environnements de travail (moyens de transport, lieux publics…). Si aujourd’hui les virus s’attaquent encore relativement peu aux mobiles, leur prolifération à terme est inéluctable: ils iront là où la croissance forte des usages est encore mal protégée par l’immaturité des solutions. 

La sécurité doit donc être pensée et déployée comme un projet à part entière: identification des cas d’usage, de la stratégie de sécurité, choix des outils, implémentation et test des mesures prises. Sur ce plan là aussi, Devoteam propose un accompagnement global.

Enfin, bouquet final de ce très bel événement, la présentation de l’application mobile MyDevojob fut l’occasion d’inagurer l’App store Devoteam ! A travers cette application dédiée, les candidats au recrutement chez Devoteam Consulting peuvent retrouver les offres et les profils recherchés, le contenu des missions, des témoignages vidéos, et même postuler en ligne. Une belle vitrine pour nos futurs collbarateurs, mais aussi pour les clients !

Development of a fiber infrastructure to homes has encountered major barriers such as the level of investment required –in particular remote areas, competition of legacy technologies (mostly DSL), lack of national coordination, and low government incentives.

Regulators and governments, realizing the importance of “enabling” the development of such infrastructures in the long term are today considering different tools to promote the delivery of broadband infrastructure, enhancing customer’s experience with multimedia and next generation services, and increasing the penetration rate.

Through recent engagements for similar developments, Devoteam has identified three main approaches which are outlined below:

Pure Public funding After the introduction and promotion of facility-based competition and a strong push towards investment in infrastructure, regulators are considering more service-based competition and fostering passive and / or active infrastructure sharing strategies. The resulting decrease of capital and operating expenditures will help service providers to focus on investing in innovative services bringing larger benefits to customers. The infrastructure sharing policy should be established through a clear framework taking into account fair competition, protection of existing or planned investments, wholesale model licensing (e.g. utility companies) and lowering barriers for new entrants (end-users providers). Although beneficial for new entrants, the infrastructure sharing has so far proved that in most of the cases it does not go beyond sharing the passive infrastructure and does not lead to the expected benefits for the market (higher competition and penetration rate, better coverage) and end-users (lower prices, better customer’s experience).

Infrastructure sharing regulations and incentives : Where the government gets involved directly in building and operating a new access infrastructure. Today, and especially with the current economic downturn, the delivery of a national broadband network is costly, cash intensive, and takes time (variable depending on the country geography). Moreover, having a Government funded /operated infrastructure company competing with the private sector would be false competition and prevent the private facility-based companies from obtaining a reasonable return on investment.

Public-Private-Partnership (PPP) : The cost and long timeframe of new government-funded deployment is the main reason why governments and regulators in both developed and developing countries are seeking a close cooperation with the private sector for the delivery of such a challenging strategy. By extending rather than duplicating the existing infrastructure, such PPP collaboration will decrease the deployment timeframe and focus will be directed into areas the private sector cannot primarily address.

The PPP is a combination of both infrastructure sharing and government funding. Such a partnership will significantly reduce the investment expenditure for both the communication service providers and the government. In general, the PPP is expected to encourage all facility-based owners to take part in a partnership. Therefore, incorporating part or all of the existing infrastructure (Telecom incumbent and utilities companies), will ensure an efficient delivery of the broadband strategy (The Singapore and Australia initiatives are good examples for a best practice PPP in telecommunications). Also, PPP projects will help introduce large scale service-based competition which drives the telecommunications sector development especially in the emergent markets, thus improve customers’ experience and ensure affordable access to the community.

Possible approaches and models to build the PPP project have to be carefully assessed by the regulator, including financial, governance, and stakeholders contribution aspects, in particular with regards to the implication of the incumbent in such project. Also, potential concerns with PPP such as market distortion, anti-competition should be addressed at the earliest stage of the PPP project definition. Particular regulatory provisions should be introduced to ensure the open and fair access nature of the network.

This article has been co-written by our colleagues from the Middle East, Bilal Moussa and Mohammad Bouanane who will be more than happy to answer any questions you may have. ]]> http://www.devoteamblog.com/all-categories/telecom-networks/developing_a_national_broadband_network_for_an_effective_public_and_private_partnership/feed 0 http://www.devoteamblog.com/all-categories/les-nouveaux-enjeux-de-la-securite-des-telecoms-2-les-infrastructures http://www.devoteamblog.com/all-categories/les-nouveaux-enjeux-de-la-securite-des-telecoms-2-les-infrastructures#comments Mon, 17 Jan 2011 16:10:05 +0000 François Mouillaud http://www.devoteamblog.com/?p=2436 La migration vers l’IP des infrastructures Télécoms ces dernières années oblige les opérateurs à dépasser la vision traditionnelle des enjeux de la sécurité.  Poursuivant notre série de billets de blogue sur ce thème, nous revenons aujourd’hui sur la sécurité des infrastructures.

Il est clair que le périmètre purement Télécom des réseaux d’opérateurs (réseau sémaphore) était jusqu’à récemment considérée comme un périmètre inviolable, et c’était en effet le cas tant qu’il restait sous le contrôle exclusif de l’opérateur.

Cela n’est clairement plus le cas aujourd’hui, l’IP étant rentré dans la place à travers la suite des protocoles SIGTRAN.

Ces protocoles, en permettant de transporter la signalisation Télécom sur IP (et notamment les briques de la pile protocolaire SS7) à travers un protocole de transport fiable (SCTP), ont ouvert la boîte de Pandore en exposant le cœur de réseau.

En effet, à travers un point d’accès SIGTRAN accessible en IP, et moyennant une couche d’adaptation au protocole sous-jacent (M3UA pour MTP3, M2UA pour MTP2, IUA pour ISDN, etc…), les passerelles de signalisation SS7 deviennent joignables. Le cœur de réseau est alors à portée de main…

Si l’on fait un petit tour des menaces effectives qui pèsent sur l’opérateur, on peut citer:

• Les lookups HLR:  si j’envoie un message MAP SendRoutingInfo, je recevrai en retour le MSC sur lequel est localisé le mobile (et donc le pays).  Mais au fait, qui a dit que j’étais bien un HLR ? Une fois le mobile localisé, on peut imaginer toutes les conséquences, des plus légères (SPAM géolocalisé…) aux plus sérieuses (cambriolage…)

• Les attaques ISUP: si je connais les points sémaphores des commutateurs du réseau, rien de plus facile que de formater un message ISUP, en indiquant le commutateur d’origine,  de destination, et le circuit (CIC). Un message initial d’adresse (IAM) va par exemple initier une communication et donc occuper un circuit: il est facile à ce rythme de saturer les circuits disponibles en créant un déni de service.
  Autre type d’attaque: l’envoi d’un message de libération (REL) au hasard va libérer une communication étable entre utilisateurs légitimes…
  Dans les deux cas, on voit que les dégâts financiers et d’image sont considérables !

• Un message de location update a pour objet légitime de signaler la nouvelle localisation d’un mobile. Mais utilisé frauduleusement, il peut faire croire au réseau qu’au lieu de vous promener tranquillement en Bretagne, vous êtes en réalité au fin fond du Kazakhstan.
  Mais il sera difficile au MSC de vous joindre là-bas….

• Au-delà des attaques du réseau, la fraude peut prendre un tour purement financier, comme l’envoi de SMS “gratuits” par exemple

De proche en proche, on voit que tout le périmètre du réseau mobile est susceptible d’être vulnérable…. Le schéma ci-dessous, présenté à la conférence par P1 Security, dresse un état de l’art des zones de vulnérabilités.

La société P1 Security est une start-up fondée en 2009 sur ce constat de vulnérabilité, et a développé des produits d’audits, disponibles sous forme d’appliance, ou en mode SaaS.

Ils permettent de restituer la cartographie SS7 du réseau (points sémaphores, mais aussi  points d’accès SCTP, numéros de sous-systèmes SCCP, etc…).

Cette cartographie est obtenue de proche en proche à travers un scan extensif  du réseau: points d’entrée SCTP,  points sémaphores, sous systèmes SCCP, et enfin applications de test (MAP, INAP, CAP, etc..).

Le résultat est d’ailleurs en lui-même une forme d’œuvre d’art…..

C’est en effet le moment de dire qu’à l’origine, les fondateurs de la société, “serial entrepreneurs” par nature, sont aussi à la base de la fondation de Qualys, qui propose justement des outils similaires dans le monde IP.  Ainsi un Ping scan deviendra un M3UA scan, un TCP SYN scan servira de base au SCCP SSN scan, etc…, et la boucle sera bouclée !

Le constat de l’envolée du marché des smartphones chez les opérateurs mobiles est soutenu par des chiffres éloquents. Par exemple, sur les 6 premiers mois de 2010, 118 millions de smartphones ont été vendus dans le monde, soit 54% de plus que sur la même période de 2009. Encore peu sécurisé par des solutions industrielles (antivirus), mais bourré de données confidentielles (coordonnées bancaires, mails professionnels, applications métiers…), et potentiellement générateur de revenus lucratifs pour les fraudeurs (SMS et appels surtaxés), le smartphone est une proie de choix pour les hackers.

Surtout, le smartphone est en train de réussir sa persée dans les entreprises. Les risques encourus permettent de situer l’enjeu: vol de données confidentielles, intrusion dans le SI de l’entreprise, infection par des virus, coûts Telecoms liés aux fraudes, ne sont plus seulement une vision théorique aujourd’hui. Quelques exemples récents dans le monde réel permettent d’en percevoir la portée. En janvier 2008, sur  WinCE, InfoJack récupèra des informations et changea les paramètres de sécurité. Fin 2009, un Ver Ikee sur iPhone, puis Ikee.B  a conduit au contrôle de l’appareil, et au phishing d’ING Bank. En janvier 2010 un phishing sur Android, concerna les identifiants de 50 banques. Ou encore, en juillet 2010, un botnet d’au moins 100 000 Nokia Symbian, envoyait un lien en rapport avec l’actualité à tous les contacts.

Les smartphones présentent en effet de nombreuses vulnérabilités exploitables par les hackers: 

• Attaques au travers des canaux GSM (SMS malveillant, géo-localisation intrusive, mise a jour contenant des backdoors, écoute des communications GSM)
• Attaques des services distants accessibles (accès SSH via le mot de passe par défaut, attaque bluetooth)
• Contournement des mécanismes de restrictions d’accès  (upload d’un nouveau Firmware, connexion USB permettant d’accéder aux données utilisateurs)
• Exploitation des applications installées (failles PDF, navigateurs WEB, spyware)

Face à ces menaces très diversifiées, les parades doivent être multiples pour restreindre la surface d’attaque, ou au moins en limiter les conséquences. Ainsi, en cas de perte ou de vol, on doit pouvoir effacer ou verrouiller à distance l’accès aux données, voire déclencher une alarme. Face aux menaces d’écoutes ou d’intrusion, le cryptage des données et des  communications est une politique efficace. Des profils de configuration (mot de passe, restriction des applications…) permettent de mieux contrôler l’accès aux données et aux installations.  Et si une fraude à but lucratif aboutit quand même, une politique de restriction d’appels et SMS (liste blanche, liste noire, antivirus, antispam…) doit permettre de limiter les coûts induits. 

A chaque fois, un enjeu majeur de ces politiques est de les faire accepter et appliquer par les utilisateurs, en dépit parfois de leurs effets de bord (comme l’impact d’un antivirus sur les performances).  De plus, le succès des smartphones  et leur ouverture sur Internet fait qu’ils doivent accepter les règles d’un monde ouvert et concurrentiel. Ainsi, l’utilisation du jailbreak (opération consistant à outre-passer une restriction à l’utilisation, généralement en élevant les privilèges) afin d’utiliser l’iPhone sur un autre réseau que celui d’AT&T, ou pour permettre d’utiliser des applications non approuvées par Apple est devenu totalement légal aux Etats-Unis.

Sur ce nouveau marché, on retrouve trois types d’acteurs, aux approches complémentaires:

• Les fabricants de mobiles et d’OS
• Les gestionnaires de parcs
• Les “pure players” de la sécurité

L’actualité récente (comme le spectaculaire rachat de Mc Afee par Intel) montre que des industriels non spécialistes de ces univers font de la mobilité et de la sécurité une de leurs principales préoccupations stratégiques. A ce titre, on peut penser que l’essor des besoins de sécurité dans le monde mobile n’en est encore qu’à ses débuts….

Telecommunications Infrastructure Security – Getting in the SS7 kingdom: hard technology and disturbingly easy hacks to get entry points in the walled garden

Conférencier : Philippe Langlois, P1 Security Inc.

Date : jeudi 8 avril 2010

Cette conférence a pour sujet le réseau SS7, qui est utilisé dans les télécoms. Le conférencier a abordé le côté sécurité de cette infrastructure, et plus particulièrement les drapeaux (flags) positionnés sur les signaux transmis au sein de ce réseau. Il a bien insisté sur le fait que les opérateurs télécoms privilégient la disponibilité de leur infrastructure, et non la sécurité.

SS7 est apparu grâce aux « hackers », via BlueBox. Celle-ci permettait de se faire passer pour un switch (MSC = Mobile Switching Center), et donc de re-router les appels sans les payer, mais également d’être invisible car les appels ne pouvaient pas être tracés facilement.

Il existe plusieurs façons d’entrer dans ce réseau :

• Au niveau des terminaux mobiles, avec l’exploitation de vulnérabilités ;
• OpenBTS, qui permet de casser le chiffrement ;
• OpenBSC, qui peut permettre des attaques de type « homme du milieu » ;
• FemtoCell hacking. Les FemtoCell (cellules 3G) permettent de donner un accès aux personnes n’étant pas couverts par les réseaux. Donc, via l’équipement donné par l’opérateur, la personne aura un accès tunnel direct vers son infrastructure et pourrait tenter de l’exploiter ;
• L’injection de SMS.

Il est possible de scanner puis de hacker le réseau SS7. Tout d’abord, le périmètre de SS7 n’est pas facile à contrôler, car de nombreux nouveaux acteurs se connectent au réseau : pays qui se développent, nouveaux fournisseurs d’accès pas bien sécurisés, etc. Ces acteurs peuvent se connecter à d’autres acteurs déjà connectés au réseau SS7, et donc exploiter cette relation de confiance.

Voici les détails des attaques :

• Globalement, le Message Signal Unit (MSU) est utilisé pour positionner des signaux. On peut scanner les adresses IP du réseau, injecter des données et donc exploiter une vulnérabilité potentielle.
• Via l’utilisation de SCTP, il est possible de mener un « stealth scan ». Deux résultats différents à l’envoi d’une requête INIT sont exploitables :
  • Si le serveur répond par un ABORT c’est qu’il est en cours d’exécution (machine « up ») ;
  • Si aucun signal n’est renvoyé par le serveur, il peut être conclu que quelqu’un est déjà connecté à ce port.
• Via ISUP, il est possible de :
  • Mener une attaque de type Déni de Service, en envoyant de multiples requêtes de « provisionning » ;
  • Déconnecter des appels en cours : ISUP Call Release Flow.
• Il est possible de géo-localiser les clients connectés au réseau via des messages MAP, qui renvoient le point d’accès utilisé ;
• On peut re-localiser les matériels en modifiant leur « roaming number ». Tous les appels, SMS, MMS, etc., seront redirigés vers le matériel gérant ces « roaming numbers ». En prenant le contrôle de ce matériel, il est alors possible de récupérer les informations transmises par les clients.

Le réseau SS7 peut être protégé par trois moyens. Premièrement, il est possible d’auditer le réseau et de réaliser des tests d’intrusion, mais cela prend du temps et est complexe à réaliser. Deuxièmement, il est possible d’utiliser le Reverse Engineering pour auditer les binaires. Troisièmement, on peut scanner automatiquement les réseaux SS7 pour mesurer leur niveau de sécurité.

Pour conclure, le réseau SS7 n’est pas protégé actuellement. De nombreuses solutions de sécurité sont en cours d’industrialisation afin d’y remédier. De plus, la mentalité des télécoms à propos de la sécurité commence à changer, et le gouvernement intervient pour les forcer à sécuriser les infrastructures nationales.

Hacking the Belgacom Box 2

Conférencier : Benjamin Henrion (FFII.org, HackerSpace Brussels).

Date : jeudi 8 avril 2010

Ressource : une page Web encore plus complète que la présentation Hackito est accessible : http://www.zoobab.com/bbox2

La Belgacom Box 2 (BBOX2) est une box ADSL fournie par le fournisseur d’accès Belgacom, en Belgique. Elle est basée sur Linux et est très répandue en Belgique. En France, la LiveBox 2 d’Orange est très similaire.

Il existe divers moyens d’exploiter les failles de sécurité de la BBOX2. En introduction, on nous précise qu’il est facile de s’authentifier en tant qu’utilisateur « root » avec les identifiants par défaut. Cela s’effectue via WIFI, en passant par le protocole Telnet activé par défaut. De plus, si les identifiants ne sont pas ceux par défaut, il était possible avant correction par Belgacom, de les récupérer par une simple requête POST sur les paramètres « login » et « password ». Les identifiants étaient même en clair dans la page Web d’accès à l’espace d’administration de la Box.

Pour aller plus loin, du code personnalisé peut être chargé sur la BBOX2 :

• Par clé USB, mais cela requiert un accès physique à la box ;
• Par le protocole Telnet, et le protocole TFTP ;
• Via un connecteur JTAG disponible sur la BBOX2 (requiert également un accès physique). C’est un connecteur JTAG Philips standard, il peut donc être exploité très facilement :
  • Découverte des registres (très long à effectuer) ;
  • Possibilité de se connecter via le port parallèle d’un PC, pour le commander à partir de celui-ci, et sans carte externe.

Les exemples d’exploitation sont multiples. La transformation en Box Torrent est aisée, puisqu’un qu’un port USB permet de brancher un disque dur externe. De plus, comme il est possible de compiler de nombreux programmes, comme tcpdump ou airodump-ng, cette Box peut servir de plateforme autonome de hack.

Néanmoins, quelques problèmes sont présents :

• Certains modules comme tr69 et tr98 prennent beaucoup trop de ressources, et font redémarrer la BBOX2 inopinément ;
• Le matériel de la Box est vieux (2005) ;
• Les sources du logiciel embarqué ne sont pas disponibles ;
• Des drivers VSDL2 manquent sur certaines autres Box, comme la Fritz!Box.

Il reste donc beaucoup de travail sur la BBOX2. Benjamin lance un appel à toute personne travaillant sur cette Box, et également sur la LiveBox2 d’Orange pour les français.

Using AI Techniques to improve Pentesting Automation

Conférencier : Carlos Sarraute, Core Security.

Date : jeudi 8 avril 2010

Carlos Sarraute est un chercheur travaillant notamment sur les techniques d’Intelligence Artificielle (IA) pour tenter de résoudre les problèmes inhérents à la sécurité. Le but initial de son travail était de faciliter la vie des auditeurs, mais également de rendre l’analyse de la sécurité des réseaux plus accessible. Il explique que le test d’intrusion évolue, de part sa complexité (de plus en plus d’exploits), les nouveaux vecteurs comme le WIFI ou les applis Web, et de part l’évolution de l’organisation technologique / infrastructure : il faut automatiser.

Un outil d’automatisation du test d’intrusion a donc été développé. Il utilise d’une part un Framework (par exemple Metasploit), et d’autre part un langage de définition des plans d’attaque. Celui-ci est élaboré à partir du langage PDDL (Planning Domain Definition Language). Ce langage permet d’utiliser des objets typés (network, host, port, …), ce qui réduit le temps de recherche et la mémoire utilisée.

Le plan/planning d’attaque se construit à partir des étapes générales du test d’intrusion : le but de l’attaque (e.g. : données clients), les moyens mis en œuvre (e.g. : connexion TCP), les outils (e.g. : exploit), etc. Certaines techniques sont optimisées, comme le scan de port : l’outil ne scanne que les ports pour lesquels des exploitations sont possibles, ce qui en réduit le temps d’exécution.

La construction du plan d’attaque est le sujet principal de sa recherche. Comme la construction du graphe complet d’attaque peut s’avérer très longue, des variantes de l’algorithme A* sont utilisées. Pour information, les « planners » utilisés sont :

• FF (Fast-Forward) (Hoffmann 2000) ;
• Metric-FF (Hoffmann 2002) ;
• SGPlan (Chen, Hsu et al. 2006).

Carlos a ensuite réalisé une démonstration de l’outil. Celui-ci recense beaucoup d’exploits et d’outils de découverte. Il avait déjà réalisé la phase de découverte du réseau, et nous a donc montré la phase d’attaque : le plan d’attaque se construit, puis l’attaque s’exécute. Le logiciel émet un son dès qu’un « agent » est déployé sur un des postes audités ; il est ensuite possible d’explorer les dossiers distants ou d’accéder à divers « shells » via l’agent. Ce comportement est typique des produits Core Security.

Pour conclure, ce modèle est réaliste par rapport au point de vue de l’attaquant, car il représente des scénarios d’attaque réels. Il peut s’intégrer avec divers Framework, et la représentation PDDL pourrait être reprise pour d’autres projets.

Il pourrait être possible de récupérer les descriptions PDDL du projet, mais le produit est destiné à une utilisation commerciale.

Internet Explorer turns your personal computer into a public File Server

Conférencier : Jorge Luis Alvarez Medina, Core Security.

Date : vendredi 9 avril 2010

Le conférencier expose différents types d’attaques qui permettent d’accéder, par exemple, aux fichiers de l’historique d’Internet Explorer, aux documents récents ou aux sauvegardes. Comme Internet Explorer partage certaines fonctions de Windows Explorer, il est possible d’accéder aux fichiers locaux de la cible.

Les mécanismes de sécurité d’Internet Explorer qui sont attaqués sont les trois suivants :

• Les zones de sécurité ;
• L’élévation de zone ;
• La détection du type MIME.

Un des principes est d’utiliser les chemins UNC de type : \\@IP, en lieu et place des noms de domaine classiques. Par exemple :

• L’utilisateur tente d’accéder à « http://test.com/index.html », mais ce site est dans la zone restreinte ;
• Il lui suffit de remplacer le nom de domaine par l’adresse IP du serveur en chemin UNC, par exemple : « \\10.1.1.1\index.html », pour pouvoir sortir de la zone restreinte et donc accéder au site.

De manière plus complexe, il explique comment inclure du contenu directement sur le poste ciblé par l’attaque. Cela peut être fait, par exemple, dans les fichiers de cookies. Le problème de ces fichiers est que le contenu est très peu filtré avant d’être écrit : le simple fait de positionner le paramètre « Set-Cookie » sur un contenu personnalisé permet de stocker ce contenu dans le fichier cookie. Ensuite, ces fichiers peuvent être exécutés en forçant l’utilisateur à naviguer sur un site malveillant (« social engineering »), qui inclura un lien HTML dans la page Web redirigeant vers le cookie. L’avantage de ce type d’attaque est que le code personnalisé sera exécuté dans le contexte « loopback » du poste, et donc avec des droits plus élevés qu’une attaque standard.

Il est à noter qu’il utilise BeEF, un Framework d’exploitation de navigateurs, ce qui rend ses attaques plus aisées à monter.

Mac OS X Physical Memory Analysis

Conférencier : Matthieu Suiche, (MoonSols, Sandman, win32dd).

Date : vendredi 9 avril 2010

Le but de cette conférence est d’exploiter le contenu de la mémoire vive (RAM), afin de récupérer une multitude d’informations. Ces informations peuvent être :

• La liste des processus en cours d’exécution sur la machine ;
• Les fichiers utilisés par ces processus ;
• Des mots de passe entrés sur les navigateurs Web (Hotmail, banque en ligne, etc) ;
• Les mots de passe TrueCrypt ;
• …

Quatre étapes sont nécessaires :

• Récupération des symboles « kernel » ;
• Utilisation de ces symboles pour initialiser le « memory kernel manager » ;
• Parcours de l’adressage de la mémoire ;
• Récupération des informations.

Pour l’instant, aucun outil permettant de parcourir l’adressage automatiquement n’est disponible. Il faut donc écrire ses propres fonctions, sous condition d’avoir bien identifié l’espace mémoire concerné.

En ce qui concerne les autres systèmes d’exploitation, il existe de nombreux outils pour exploiter la mémoire RAM sous les systèmes Windows ; une publication d’Arnaud Malard en traitant est présente sur le blog de Devoteam.

Fuzzing- the SMB case

Conférencier : Laurent Gaffié, Stratsec.

Date : vendredi 9 avril 2010

Le principe exposé lors de la conférence est de « fuzzer » le protocole SMB, c’est-à-dire lui envoyer pleins d’informations construites aléatoirement ou non, afin de découvrir des bogues dans ce protocole.

Les intérêts de s’attaquer au SMB sont multiples. Tout d’abord, il est implémenté dans toutes les versions de Windows, ce qui rend le périmètre d’exploitation très large. De plus, le client et le serveur s’exécutent avec les droits du kernel : le code exécuté peut quasiment effectuer n’importe quelle action sur la machine cible. Enfin, la rapidité du protocole SMB permet de rendre les attaques très rapides.

En conclusion, de nombreux bogues ont été trouvés, et certains ont été signalés à Microsoft. Les dernières mises à jour de sécurité pour le protocole SMB sont liées à ce travail (CVE-2010-0270). Il est à noter que lors des premiers tests du « fuzzer », des bogues sont apparus en moins de deux minutes.

Turbot – Next Generation Botnet

Conférencier : Itzik Kotler, Radware.

Date : samedi 10 avril 2010

Ressource : le code source du projet est disponible sur Google Code : http://code.google.com/p/turbot/

Turbot est un projet de recherche sur les botnets. En ce moment, il existe surtout des botnets fonctionnant sur HTTP & P2P. Par exemple, Conficker fonctionne sur HTTP pour la variante A.E.C., mais une autre variante D.E. fonctionne sur P2P.

Le problème des botnets classiques via HTTP est que s’ils fonctionnent sur un seul site, il suffit de fermer ce site pour arrêter le botnet. C’est pour cela que Conficker créé de multiples noms de domaines. Les chercheurs en sécurité ont décortiqué le malware et ont découvert l’algorithme utilisé pour générer les noms de domaines, ce qui leur a permis de prédire à l’avance les noms de domaines qui allaient être créés.

Le Single Point Of Failure (SPOF) est le point en communication qui, s’il est fermé, rendra tout le service ineffectif. Le principe des botnets serait donc de ne pas avoir de SPOF. C’est pour cela que le P2P est utilisé, car cette technologie est connue pour ne pas avoir de SPOF.

Turbot utilise HTML et HTTP. Il exploite des ressources publiquement disponibles. Voici des exemples :

• « Internet Clipboards » (e.g. pastebin) ;
• Emails jetables ;
• Contenu généré par les utilisateurs (e.g. des commentaires sur une news de site Web) ;
• Des raccourcis d’URL (e.g. Tinyurl).

Chaque ressource est divisée en plusieurs “room”, qui peuvent être privés, c’est-à-dire connus uniquement d’un bot et du master bot. De ce fait, si un bot est compromis, comme il ne connaît pas les autres bots il n’est pas possible de couper tout le service. Ces « rooms » peuvent être de deux types :

• Espace privé : canal privé de communication entre le bot et le master bot ;
• Lobby : canal public utilisé pour réserver l’espace privé auprès du master bot.

Par exemple, le bot va déposer un message sur un espace privé, chiffré avec la clé publique du master bot, afin de réserver l’espace pour lui-même. Ensuite, il envoie de la même manière un message contenant l’identifiant de l’espace privé, sur le lobby. Le master bot, qui scanne régulièrement les « lobby », va découvrir le message, ce qui aura pour effet d’enregistrer le bot auprès du master bot.

En conclusion, ce type de botnet est compliqué à désactiver puisque que les bots ne se connaissent pas entre eux. De plus, il est difficile de bloquer les communications de ces bots, puisqu’ils utilisent des ressources publiques (calculer l’entropie des messages chiffrés envoyés par ces bots peut néanmoins être effectué avant la publication desdits messages). Le seul moyen d’empêcher Turbot d’utiliser les ressources publiques est d’utiliser systématiquement des CAPTCHAS ou de l’authentification.

Fingerprinting hardware devices using clock-skewing

Conférencier : Renaud Lifchitz.

Date : samedi 10 avril 2010

Ressource : le code source du projet sera disponible sur Google Code.

Le « fingerprinting », ou prise d’empreinte, permet par exemple de différencier des machines. Les prises d’empreintes utilisées sont souvent basés sur des requêtes TCP/IP. Ici, le conférencier propose de différencier les composants en se basant sur les variations d’horloge.

Le principe est de mesurer la différence entre un référentiel de temps, et le temps de la machine dont on doit prendre l’empreinte. En effet, les variations d’horloge sont courantes à différents niveaux, et peuvent être dues à :

• L’implémentation logicielle des horloges ;
• L’imperfection matérielle des quartzs ;
• La longueur des câbles ;
• Etc.

La prise d’empreinte peut s’effectuer à distance ou localement. On doit alors faire face à deux problèmes majeurs : le choix d’un bon référentiel de temps (e.g. horloge atomique via un serveur NTP), et la prise en compte des temps de latence du réseau (latence du LAN par exemple). Il est à noter que l’utilisation de Linux est recommandée pour prendre l’empreinte, puisque les NTP Linux garantissent 10 à 30 ms de précision comparé à 1 ou 2 secondes sous Windows.

Du point de vue pratique, la mesure peut être « active », par « ICMP timestamp ». Cela donne le nombre de ms écoulées depuis minuit sur l’horloge du système distant, et fonctionne particulièrement bien sur les systèmes Windows, qui répondent à ces requêtes s’ils n’ont pas de pare-feu. La mesure “semi-active” se fait via les « TCP timestamps ». Elle fonctionne mieux sur les systèmes Linux, est plus précise que l’ICMP, et est calculée à partir du compteur de « tick » d’horloge. Cette mesure est proportionnelle au temps de dernier redémarrage système : il n’y a pas besoin de connaître l’heure de la machine pour calculer la variation.

Les faiblesses de ce type de prise d’empreintes sont les suivants :

• On peut distinguer approximativement 512 machines, ce qui se révèle trop peu pour identifier des composants sur de grands réseaux ;
• Il y a une sensibilité à la température, à l’altitude, et à une activité haute de l’ordinateur.

Ce système pourrait néanmoins être utilisé pour identifier des machines volées, ou pour détecter des machines virtuelles hébergées sur un même hôte.

Il est possible de se protéger en effectuant des synchronisations NTP fréquentes. De plus, la désactivation des « TCP/ICMP timestamps » et des services délivrant l’heure – comme le temps contenu dans l’en-tête HTTP d’Apache – peut être utile. Enfin, pour les plus paranoïaques, la température de la pièce peut être modifiée, l’altitude du composant ainsi son processeur ou sa carte mère…

La conférence a débuté par une belle présentation d’Angelo Ielitro (Devoteam Solutions), qui nous a brossé un vaste panorama des architectures des réseaux mobiles sur 30 ans, de la 1G à la 4G! Un véritable challenge pour une présentation d’une grosse demi-heure, qui a permis d’avoir une vue d’ensemble très progressive des technologies, de l’analogique au numérique et ses déclinaisons, GSM, UMTS, NGN, IMS, LTE, et enfin, l’advanced LTE (aka UMRS R10),  sur l’accès radio comme sur le coeur de réseau ! Déroulée comme un film en accéléré, cette intervention a permis de prendre la mesure de l’ampleur de l’évolution des architectures, et en particulier de la transition du mode circuit à la commutation de paquets. La dernière partie de son propos était d’ailleurs consacrée à l’évolution des réseaux de transport, du coeur de réseau (backbone), au fameux “last mile”, représenté, dans le cas des réseaux mobiles,  par les connexions entre RNC (ou BSC) et les “Node B” (ou BTS) !

Après ce plongeon dans le passé, François Mouillaud (Devoteam Solutions, leader de la Communauté Telecom, Networks & Media) a fait un retour détaillé sur les deux dernières éditions du Mobile World Congress de Barcelone. Vous avez déjà eu sur ce blog (ici) un aperçu des tendances du congrès 2009, et la conférence a été l’occasion de développer l’ensemble des innovations présentées au congrès, selon 7 thèmes (business models, large bande mobile, innovation, terminaux, architecture réseau, green IT, paiement mobile), en faisant ressortir les tendances du moment, et en particulier les préoccupations majeures des opérateurs. Chacun des thèmes ont été analysés et développés à la lumière d’une sélection de 61 présentations d’industriels montrées à Barcelone, puis déclinés en puisant dans l’actualité la plus brûlante, à savoir les avis d’experts, issus des brochures quotidiennes du congrès 2010 (disponibles sur le site du congrès). 

Ce fut en particulier l’occasion de faire le point sur les grandes manoeuvres en cours (dont on remarque au passage qu’elles sont loin d’être l’apanage de seuls opérateurs mobiles, mais concernent aussi – voire surtout – des acteurs comme Apple, Google ou Microsoft), sur les efforts des opérateurs pour stopper le “tsunami” de l’explosion des débits utilisés (en particulier avec les “smartphones” dès aujourd’hui, mais aussi demain avec les “objets communicants”), ou encore sur les  belles initiatives du GSMA en terme de développement et de croissance durables !

Enfin, après le passé et le présent, la conférence s’est tournée vers le futur avec Dominique Cassou-Ribéhart (Devoteam Consulting), qui a exploré pour nous les perspectives du sans-fil à l’horizon 2020, à travers l’évolution des technologies, des usages, des attentes des entreprises, et des enjeux pour les DSI. Un exercice stimulant qui a mis en avant tout l’intérêt d’avoir une approche globale, combinant les nouvelles possibilités offertes par les différentes technologies (la courbe ci-dessous du Gartner est un exemple édifiant de la complexité de ce paysage), mais aussi les freins liés aux modes d’utilisation (craintes des employés de voir leur activité suivie en temps réel), ou encore à l’usage des technologies dans un contexte donné (par exemple, les limites de portée du WiFi dans les entrepôts restreignent les possibilités d’inventaire).

Le voyage spatio-temporel prit fin à la nuit tombée autour d’un cocktail, entre les contributeurs et un public qui n’avait pas craint de braver les aléas des transports parisiens en ce jour de grève, tout en imaginant déjà les prochaines destinations de nos Telcosphères….

Mobile services for the business market.
We already have a huge business- to- consumer market, where ring tones, games, and applications are growing in a tremendous speed. If we look at the corporate environment, what has happened? Till now, not much has happened for most of the corporate world. And nothing will happen until we make it happen, so it’s time to integrate your core IT/ information/ workflow/ business systems, and make important functionalities available for your employees’ cell phones.

OK, quite a few of us have our cell phones connected to our e mail, and calendar. Some are able to connect to the Internet. Fewer have established a presence management system, where the cell phone is included. Collaboration and Unified communications are areas where “mobile” make sense and enable a streamlined workflow and also rapid problem solving between employees.

Connect mobility to our value chains
We have to start thinking out of the traditional “IT” box, when discussing what “mobile” is all about. Our companies core systems needs to be able to reach out to the mobile devices. That’s the only way to make use of the mobility in an efficient way for the corporate world.  We need to be able to interact and to be connected with the value chain and core IT solutions of our business. This way we become more available, effective and have results requested once, and delivered at once.

Seamless integrations
What this means is that your company’s core systems, like BI, ECM, search, CRM and so forth needs to get connected with the employees cell phones, and other mobile devices. Connections aren’t enough; we need seamless interaction and automated workflows. To enable this we will need an architecture where the web and e mail activities are included. All online digital solutions need to be connected to make benefit and provide added value for the company’s employee, for partners and of course for the company’s customers. In short it’s needed to develop Multi channel structures. Imagine that you can send requests directly from you cell phone and into your company’s database, get a feedback – and the required information automatically delivered on your PC / your collaboration web portal and so forth.

Public sector
Public services have started becoming more effective, and will have to get eve n more so in the coming years. Self service systems will be a keyword in order to get there. Imagine what the possibilities there is in the European public sector for refining their systems, from the core backend IT solutions, via a well functioning web interface and a set of mobile services that simplifies people’s everyday life. For the public sector, the benefits are great. It saves time and costs for the employees in their public contact, and it makes citizens far happier, by getting their services automated, quicker and more convenient. You can imagine solutions where citizens can apply online, and get recites, confirmation codes, appointment reminders on their cell phone, to name a few very obvious concepts.

Hier, un téléphone mobile avait comme principale fonction de (devinez quoi ?) téléphoner.

Aujourd’hui, de par l’évolution des téléphones mobiles, la fonctionnalité de téléphoner a été reléguée  au second plan pour en devenir une parmi tant d’autres : le terme de téléphone mobile devient d’ailleurs désuet au profit du terme de téléphone « dit » intelligent (Smartphone).

Vous ne serez certainement pas étonné si je vous dis qu’aujourd’hui à partir d’un Smartphone, il est possible de faire (presque) tout ce qui est faisable à partir d’un ordinateur portable, à savoir : lecture/écriture de mails, lecture/écriture de documents (textes, PDF, tableurs, présentations…), accès à son agenda et à sa liste de contacts… Et quand bien même il n’existerait pas un moyen de faire ce que vous désirez, il suffirait que le besoin se fasse assez ressentir pour qu’une application fasse son apparition.

Car en effet, la nouvelle génération de téléphones mobiles a pour vocation de s’installer comme le successeur de l’ordinateur portable, comme n’a pas manqué de le remarquer le Gartner en soulignant que d’ici 2013 les ventes de Smartphones dépasseraient celles des ordinateurs portables.

Les Smartphones occupent donc aujourd’hui une place prépondérante dans le quotidien de chacun. Cette augmentation s’est réalisée de manière exponentielle avec l’arrivée de la 3G (et donc l’explosion des débits), d’une part, mais aussi grâce à la nouvelle ergonomie proposée : Smartphones disposant de clavier dignes d’un ordinateur, Smartphones tactiles …

Le fait que cette tendance se soit imposée aussi rapidement laisse à penser que les notions de sécurité ont été mises de côté. Pour preuve, un exemple dans l’actualité : Apple a proposé aux entreprises de mettre en place un système protégeant les données sensibles de leurs employés dotés d’un IPhone. Cependant, quelques jours après, une démonstration est apparue : il suffisait de quelques heures pour accéder aux données sensibles d’un IPhone (supposées être protégées) [1].

Est-ce la seule faille concernant les Smartphones publiée au grand jour ?

Malheureusement, non : toutes les fonctionnalités d’un Smartphone sont autant de vecteurs d’intrusions à prendre en compte. Pour vérifier cela, il suffit de se remémorer trois exemples :

-       La réception d’un SMS sur un IPhone rendait possible la prise du contrôle à distance  de ce dernier et donc l’accès à toutes les informations (sms, mails, agenda, contacts…) [2].

-       L’ouverture d’un fichier PDF malveillant sur un Smartphone Blackberry permettait à l’attaquant d’avoir un accès total au serveur Blackberry central de l’entreprise : il disposait donc de tous les mails de tous les salariés de l’entreprise. [3]

-       La visite d’une URL malformée à partir d’un téléphone Android permettait à l’attaquant de voler des données stockés dans le téléphones comme les mots de passe du navigateur, les messages textes, les contacts… [4]

Le raisonnement logique consisterait à ce qu’une personne dans l’entreprise se pose les questions suivantes : « Etant donné que je n’étais même pas au courant de ces failles, sont-elles réellement utilisées ? Si oui, à quelle échelle ? Suis-je impacté ? ».

Pour illustrer les problématiques de sécurité inhérentes à l’utilisation d’un Smartphone je m’efforcerai donc de prendre un exemple assez parlant.

Prenons un utilisateur, Bob, jeune cadre de 30 ans qui détient un Smartphone.  A partir de celui-ci, il peut : consulter son agenda, sa liste de contacts et ses mails personnels, consulter son compte bancaire, garder contact avec ses amis via les applications de réseaux sociaux qu’il a installé…

Après mure réflexion, Bob décide de changer d’entreprise. L’entreprise en question, se trouve être à la pointe en matière de nouvelles technologies. Cela s’explique par son souci d’améliorer la productivité et le confort de ses utilisateurs et aussi par le fait que ce souhait a été exprimé par la direction générale. S’apercevant que Bob utilise déjà un Smartphone, l’entreprise décide de lui fournir des accès depuis son Smartphone personnel. Dès lors, Bob a accès à son agenda, sa liste de contacts et ses mails professionnels, un accès à la base clients, mais aussi une application lui permettant de saisir son compte-rendu d’activité, ses notes de frais…

Pour son confort, il décide de renseigner une fois le mot de passe de chaque application puis comme son téléphone est « intelligent », il lui demande (gentiment) de les retenir pour lui.

Bob arrive t-il toujours a faire la différence entre l’usage personnel et professionnel de son Smartphone ? Lorsqu’il installera la dernière application de réseaux sociaux, et que l’application lui demandera s’il veut partager son répertoire (qui contient les contacts personnels et professionnels), refusera t-il sans hésitation ?

Si jamais un client ou un ami lui demande de lui prêter son Smartphone car il doit passer un coup de fil important, refusera t-il sans hésitation ? En sachant que s’il accepte ce dernier pourra avoir accès à des données sensibles, que ce soit sur un plan personnel avec son dernier solde bancaire téléchargé par l’application que sa banque lui a fourni, ou sur un plan professionnel avec la liste de ses clients, partenaires. En effet, son téléphone étant intelligent, il a retenu ses mots de passe pour lui.

Si jamais son téléphone est perdu ou volé (même pendant quelques minutes), à quelles données celui qui l’aura en sa possession pourra accéder ? Bob est-il capable d’en faire la liste exhaustive ? Bob alertera t-il son entreprise pour qu’un plan d’actions soit mis en place (changement des mots de passe pour que les connexions depuis le téléphone avec les mots de passe enregistrés soient refusées) ?

Bob a donc augmenté son confort et sa productivité (il répond quasiment en temps réel à ses mails, qu’il soit dans le métro ou au travail) mais aux dépends de la sécurité de ses informations personnelles, et de celles de son entreprise…

En guise de conclusion, il faut souligner l’augmentation exponentielle des vulnérabilités qui apparaissent quotidiennement concernant les Smartphones, principalement du au fait que chaque téléphone a son « Windows ».

Aujourd’hui, les risques liés aux Smartphones doivent êtres reconsidérés et pris en compte très sérieusement car comme nous avons pu le voir à travers cet article  ils sont réels et peuvent avoir des impacts assez importants. Encore faut-il en avoir conscience…

LIENS

• [1] Critique du chiffrement implémenté sur les Iphones
  http://www.wired.com/gadgetlab/2009/07/iphone-encryption/
• [2] Conférence de Charlie Miller au BH 2009 à Las Vegas

http://www.blackhat.com/presentations/bh-usa-09/MILLER/BHUSA09-Miller-FuzzingPhone-PAPER.pdf

• [3]Vulnérabilité PDF pour le serveur BES http://www.blackberry.com/btsc/viewContent.do?externalId=KB15766
• [4] Vulnérabilité Android dévoilée lors de la conférence Schmoocon en Février 2009 à Washington

http://www.forbes.com/2009/02/05/google-android-security-technology-security_0205_android.html

Publié le 04 Février 2010 – Global Security Mag

http://www.globalsecuritymag.fr/Kevin-Prigent-Consultant-Securite,20100204,15828.html

Cette double évolution coeur de réseau / SI permet ainsi de passer d’un environnement en silos, typiquement hétérogène, fragmenté, redondant, et faiblement adapté au paysage actuel des télécoms, à un environnement “Telco 2.0″. Dans cet écosystème convergent, on trouve un coeur de réseau (IMS) et un middleware (SI) uniques, sur lesquels des enablers de services connectent respectivement les différents services et accès telecom de l’IMS, et les processus business du SI, le tout à travers des interfaces normalisées (comme Soap, Corba pour le SI, ou OSA/Parlay pour les services IMS).

Si l’on revient aux sources, on peut modéliser l’OSS (Opérational Support Systems) sous la forme d’un moteur commun (typiquement une plate-forme des grands acteurs du marché IT) connecté aux différents noeuds d’un réseau, et sur lequel se branchent les différents processus opérationnels (provisioning, gestion, inventaire et  supervision du réseau, exploitation des statistiques, activation et configuration des services, etc..).

La notion de BSS (Business Support Systems) recouvre quant à elle tout ce qui touche de près ou de loin au client et à la facturation:

• Gestion des produits, des offres, et des commandes
• Gestion des comptes clients et exposition à travers différentes interfaces, dont la gestion par l’abonné lui-même (customer self care)
• Taxation et facturation
• Activation des services et provisioning des éléments réseau

 On peut représenter le BSS selon le modèle standardisé eTOM ou enhanced Telecom Operations Map, aujourd’hui largement reconnu dans l’industrie comme le modèle de représentation des opérations au sens large d’un opérateur Telecom:

Devoteam Danet, la société allemande qui a rejoint le groupe en 2009, possède une expertise unique en la matière, qu’elle est venue présenter à l’ensemble des membres de la Communauté Telecom de Devoteam lors d’une “Telcosphère”, organisée à Levallois le 28 septembre dernier.  Les fidèles lecteurs connaissent bien les Telcosphères,  vitrines de nos belles réalisations en Telecoms,  qu’ils peuvent retrouver à plusieurs reprises sur ce blog (lire en particulier la “rétro 2008″).  Grace à la combinaison d’une expérience très forte en conseil / intégration, et d’une plate-forme intégrant les briques de plusieurs éditeurs du marché, chacun étant spécialisé dans un domaine, Danet peut désormais offrir une palette de services “SI convergents” de bout en bout, de l’audit à la réalisation sur mesure aux clients opérateurs de Devoteam.

Le moment est idéal pour le marché.  Les opérateurs dits convergents sont à la croisée des chemins, leurs revenus croissant moins vite que les usages et que les débits, sur des réseaux qui sont loin d’être intégrés aujourd’hui en termes de processus, de maintenance, de déploiement de nouvelles fonctions, et d’interface unique pour le client.  Ils sont donc demandeurs d’une transformation et d’une simplification générale de leurs processus SI pour accompagner la convergence des réseaux tout comme la multiplicité des interfaces (clients, partenaires, fournisseurs de contenu, interceptions légales, interconnexion, etc..).

La transformation de leurs business models vers le Telco 2.0, la part prépondérante des contenus aujourd’hui, et de la QoS / QoE (qualité de service et d’expérience) demain, le raccourcissement des cycles de vie des produits et des services, la nécessité de rentabiliser les investissements à plus large échelle pour les grands opérateurs intégrés, sont autant de forces de marché qui poussent les opérateurs à agir.  Le potentiel des services de conseil et intégration OSS/BSS à l’échelle mondiale est quant à lui impressionnant (on parle de 4 milliards de $ à l’horizon 2012), ceci alors que les opérateurs n’en sont encore qu’au début des réseaux convergents, et notamment de l’IMS.

Lorsque les réseaux IMS seront déployés à grande échelle, le besoin d’une intégration avec l’univers OSS/BSS n’en sera que plus évident. Quand en particulier les terminaux IMS et leurs services innovants comme le RCS (Rich Communication Suite) arriveront sur le marché, le paysage global, encore largement basé sur la commutation de circuits aujourd’hui, sera entièrement numérisé. L’ARPU, qui repose encore majoritairement sur les usages voix, sera de plus en plus dépendant des usages data au sens large (multimedia, video, email, Web, etc…). Or, ce sont ceux qui sont les plus sensibles aux modèles de facturation: une réactivité dans la définition et la taxation des offres et dans la prise en compte de la consomation et des débits deviendra dès lors indispensable.

La convergence OSS/BSS doit donc relever les challenges des opérateurs, en adressant plusieurs besoins en même temps:

• La réduction des coûts opérationnels à travers de processus métiers optimisés et automatisés
• La modularité et l’ouverture des architectures et des interfaces pour une adaptation agile et ouverte aux nouvelles opportunités
• Une vision standardisée permettant l’interopérabilité entre constructeurs (modèles ITIL / eTOM)
• Une vision intégrée, consolidée, et convergente pour tous les types d’accès et d’interfaces
• Une architecture simplifiée, plus économe en ressources en mutualisant ce qui peut l’être
• Des plates-formes homogènes, permettant de réduire les OPEX et de minimiser les coûts d’intégration
• Une gestion des processus SI en temps réel, et non plus en mode différé (faite par  ”batch” quotidien par exemple)

Dans l’environnement en perpétuelle évolution des opérateurs telecoms, et dans le contexte économique de a crise financière et économique, la clé du succès des solutions OSS/BSS tiendra dans l’agilité, la rapidité, l’intégration des équipements, des processus, et des personnels, et enfin sur une base “low cost”. 

Seule la combinaison de ces paramètres permettra en effet aux opérateurs de prendre la décision d’investir, parce que les nouveaux systèmes seront ceux qui permettront une rentabiliser la croissance des usages, des débits, et des modes d’accès.  Il s’agit ici d’enfin monétiser le fameux “gap” résultant du découplage entre les usages (en croissance exponentielle, et de plus en plus gourmands en bande passante) et les revenus (en stagnation, et décorrélés de la consommation des ressources réseau). 

L’enjeu commercial est majeur, en particulier pour les opérateurs mobiles, où l’accès large bande a un impact non seulement sur le coeur de réseau (qu’on peut considérer comme bien dimensionné de ce point de vue), mais aussi et surtout sur les ressources radio, qui sont elles très sensibles à la montée en débit des usages. On peut estimer en fin de compte que la généralisation de l’accès large bande sur les mobiles dépendra fortement de la monétisation de ce gap, et donc de la capacité des opérateurs Telecom à le rendre effectif à travers leur SI (voir aussi à ce sujet l’article sur le Mobile World Congress).

Ce contexte général crée ainsi de nouvelles opportunités de marché pour les acteurs à même de répondre aux attentes des opérateurs d’une solution à la croisée de leur univers traditionnel et du monde “Telco 2.0″.  Sur ce segment porteur, Devoteam Danet est particulièrement bien positionné avec son offre “order to cash”, une solution sur mesure d’offre à la demande, reposant sur l’intégration sur une plate-forme dédiée des meilleurs outils  actuels sur le marché (content management, Web portal, CRM, billing, prépayé, médiation, gestion multi-canal, etc…).  Les références clients de Devoteam Danet s’adaptent à des secteurs industriels bien au delà des opérateurs telecom, et permettent à des acteurs non issus du secteur de développer une offre Telecom en capitalisant sur leur marque (par exemple, un distributeur alimentaire ou une banque peut créer une offre de MVNO).

Enfin, en rejoignant le groupe Devoteam, Danet s’adjoint l’expertise de tout le groupe en matière de conseil et d’intégration Telecoms. Devoteam peut alors offrir une vision globale (offre de conseil),  une capacité d’intégration mêlant le domaine IT et les réseaux Telecoms, et un niveau d’expertise pointu à la fois sur le coeur des réseaux Telecoms et sur le Système d’Information, ce à quoi peu d’acteurs du secteur peuvent prétendre aujourd’hui.

Juillet 2009 restera un mois marqué par la suppression de plusieurs livres, directement et à distance, sur les lecteurs de livres électroniques de clients. Cette opération maladroite, initiée par un distributeur majeur de contenus numériques, à cause d’une problématique de droits d’auteur, a provoqué la colère des consommateurs qui avaient acquis ces livres en parfaite légalité. Décryptage…

Nous avons, à mon sens, affaire ici à un acte fondateur dans l’histoire du livre électronique, et par extension de tous les contenus numériques. En effet, la décision d’Amazon permet à tous de comprendre qu’un livre numérique n’est pas la simple transposition d’un livre physique. Nous assistons donc bien aujourd’hui à la naissance publique du contenu numérique à part entière, ainsi que d’un écosystème qui lui est propre.

Ceci peut paraître paradoxal, car l’opinion générale parle plutôt d’un coup d’arrêt ! Il s’agit effectivement d’un sentiment de blocage, tout un chacun réalisant l’ampleur du phénomène et des chantiers à venir. Et à travers la perception justifiée d’intrusion par l’opinion générale, cette décision met en lumière la méconnaissance du grand public dans l’utilisation des appareils électroniques communicants. Elle ranime même une véritable méfiance envers les “boîtes noires”, également applicable aux mécanismes de paiement ou aux systèmes de vote électronique, par exemple.

C’est pourquoi je préfère parler de naissance. Car cette affaire révèle l’apparition du livre électronique, dans toute son entièreté et sa complexité numérique dans un monde virtuel : droit des contenus numériques (droit d’auteur, de copie…) et maîtrise du système (administration de l’équipement terminal, ingérence dans l’espace privé…). Elle place également en avant des acteurs, qui permettent à chacun un contrôle du monde numérique, comme les tiers de confiance, ou les gestionnaires de certifications, dont nombre de promesses encourageantes viennent de l’open source, plus indépendant.

Maintenant, la difficulté est d’expliquer au grand public cette “destruction” opérée par Amazon, d’un objet acquis légalement par des clients et détenu sur un équipement privé de surcroît. Ces derniers ont bien acheté le Kindle, qui est donc devenu leur propriété privée, tout comme le serait un lecteur MP3, par exemple. Mais il est important de savoir que ce Kindle contient aussi un logiciel propriétaire qui renseigne Amazon sur le contenu de l’équipement et sur leurs actions.

Les clients pensent également avoir acheté un livre “électronique”, en tous points similaire à un livre “papier”. En réalité, ils n’ont acquis qu’un droit de lecture sur ce contenu ; le contrat Amazon sur l’utilisation des contenus numériques précise bien en effet que la licence confère “un droit non-exclusif de conservation [sur ce type d'appareil] d’une copie pour usage individuel [lecture, affichage, visualisation] à but non commercial”.

Cette intrusion dans le système privé d’une tierce personne s’apparente donc à un viol du droit, en application de l’article 323-3 du Code Pénal relatif à l’introduction, la suppression ou la modification frauduleuse de données dans un système de traitement automatisé. Des actions sont d’ailleurs en cours aux Etats-Unis.

La suppression des livres, au nom du respect des droits d’auteur, est assez paradoxale puisqu’elle entraîne de facto la destruction des notes et commentaires écrits par les clients, qui deviennent par conséquent auteurs eux aussi ! Finalement, il est légitime de se poser la question : qu’est-ce qu’un livre électronique ? Il est en fait ce que nous voulons en faire, en fonction du contenu, du support et de ce que l’on possède !

Le contenu est le texte, qui est produit (écrit) par un auteur et consommé (lu) par un lecteur. Le support est ce qui permet de lire ce texte. L’objet possédé résulte ainsi de l’addition “texte plus support”, jusqu’à maintenant sous une forme papier, et plus récemment audio. Ce livre peut être acheté – neuf (dans une librairie) ou d’occasion -, il peut être prêté ou donné (par un ami), ou bien encore attribué de façon temporaire (gratuitement ou via un abonnement en bibliothèque).
Un point crucial réside dans le fait que le livre papier que vous achetez est à vous : vous pouvez ensuite le prêter, le donner, le vendre, ou le conserver dans votre bibliothèque. C’est le vôtre, il est unique (différent de celui de votre voisin) avec sa forme, sa présentation caractéristiques, son histoire, et il n’est plus lié à la manière dont vous l’avez acheté.

Aujourd’hui, les acteurs comme Amazon nous proposent une nouvelle possibilité de lire ce texte, sur un support électronique unique et avec une offre qui n’est pas la vente d’un texte, mais la mise à disposition d’un contenu numérique, qui constitue la copie d’un contenu original. La force du numérique est de réaliser une reproduction parfaite, sans défaut donc sans passé, sans unicité et sans originalité. C’est ce que nous avons déjà avec la musique et les mp3. Cette disparition de l’objet unique perturbe certaines personnes d’autant plus qu’on leur explique que cette copie ne leur appartient pas !

Alors, l’objet unique électronique n’existerait donc pas ? Non, ou du moins pas encore. Il pourrait être, pour le grand public, la combinaison d’un texte (original) et de ses propres notes, par exemple. En effet, il est aujourd’hui possible de rendre unique un contenu numérique en lui adjoignant un “tatouage” par la technique du watermarking. Ainsi, le livre numérique contenant le texte de “1984″ avec les notes de Joël de Rosnay ou de Bill Clinton, n’aura pas la même valeur qu’une copie parfaite standard. Et on pourra envisager de le donner ou de le vendre. Rappelons que cet objet unique n’est qu’une possibilité parmi d’autres.
Quelles sont donc les perspectives que l’on peut déjà identifier dans un avenir proche ? L’union d’Internet, des hyperliens et d’un livre mobile offre à notre imaginaire créatif un champ de possibilités infinies. Prenons trois cas d’applications limités à un texte donné :

- Lié à internet, le texte devient ouvert ; vous pouvez en temps réel commenter et annoter le texte de manière communautaire, le partager avec le public à l’instar de ce qui se pratique actuellement sur des blogs, voire échanger avec l’auteur et participer ainsi à la création

- Libéré du papier, le texte devient vivant ; l’histoire peut évoluer en fonction de vos choix. Le livre s’adaptera à votre niveau afin de vous former, en vous posant des questions. Il s’adaptera en fonction du lieu où vous vous situez, ou de vos caractéristiques et comportements personnels.

- Le texte devient libre de son support ; vous pouvez acheter un texte et le lire de façon différente : sur papier, via Kindle, sur votre SmartPhone… Vous devez pouvoir aussi le stocker en ligne pour le retrouver partout, quel que soit son format d’acquisition. La séparation des droits de lecture, de copie et de support vous permettra alors de pouvoir acheter le livre papier, ou bien de ne payer que le support pour l’avoir en version numérique complète, ou encore de payer un droit de lecture audio en partie pour un temps défini, louer un chapitre, etc…

L’analogie du secteur de l’édition ou de la presse avec les autres filières média (musique, vidéo…) montre que la lecture en ligne (ou “streaming”) doit être possible. Ainsi, à l’image des DVDs, on pourra disposer de plusieurs variantes du texte (version courte, director’s cut…), des commentaires de l’auteur ou de l’éditeur, de son père, de l’acteur qui joue le rôle dans l’adaptation au cinéma du film tiré du livre, etc. Une fois cette révolution des techniques et des usages accomplie, alors le livre constituera un véritable contenu numérique…

Frédéric Abella
consultant “média & telecoms” chez Devoteam Consulting