VMWare va-t-il redresser la barre en matière de sécurité ?
VMware a longtemps réagi en forteresse assiégée quand il s'agit de sécurité. L'éditeur a finalement investi dans ce domaine, notamment par le rachat de Determina. Pour autant, on ne voit rien venir alors que VMware est en position idéale pour s'emparer du marché de la sécurisation de Windows.
Les ennuis de VMware avec la sécurité ne datent pas d'hier. La firme entretient des relations difficiles avec les chercheurs indépendants en sécurité. Cette attitude lui a valu, début 2007, d'être qualifiée de « forteresse assiégée », comme l'admet Nand Mulchandani, directeur senior des produits de sécurité chez VMware. Former ses équipes « La raison est que l'entreprise n'avait pas assez de spécialistes sécurité, reconnaît-il. Mais les choses changent avec l'acquisition, en 2007, de Determina, un éditeur d'un logiciel de prévention d'intrusion, dont il était le PDG. « Le but de cet achat était de recruter des équipes provenant de l'industrie de la sécurité. Nous nous ouvrons au monde de la sécurité comme jamais auparavant. , explique Nand Mulchandani. Depuis cette acquisition, VMware a restructuré ses équipes sécurité et rajeuni son portail de sécurité. La société a demandé à des consultants indépendants de chez I/O Active et Metasploit d'essayer de pirater ses produits et de former ses équipes d'ingénierie. Des fonctions expérimentales Cependant, il y a toujours de gros bogues dans le logiciel. En avril 2007, Tom Liston, consultant sécurité chez Intelguardians Networks Intelligence, a fait tourner un logiciel non autorisé sur un système VMware pour station de travail. En février 2008, Core Security a mis en évidence un défaut similaire, sur un logiciel VMware pour PC. Selon Nand Mulchandani, ces annonces jettent le trouble chez ... Photo : Nand Mulchandani, directeur senior des produits de sécurité chez VMware. ... les utilisateurs qui pensent que ces bogues affectent également ESX, le produit phare de la firme pour les centres informatiques. « L'architecture d'ESX, est totalement différente de celle de VMware Player, Workstation ou Server, piratés par des chercheurs en sécurité. Ces produits ont des fonctions expérimentales qui ne seront peut-être jamais incluses dans ESX, prétend-il. Prêt à parier son salaire Pas convaincu, Tom Linston affirme que si aucun défaut n'a été trouvé dans ESX, cela ne prouve pas son immunité aux bogues. « Je suis prêt à parier mon salaire que, tôt ou tard, quelqu'un en découvrira un». Cependant l'aspect le plus curieux dans cette question de sécurité chez VMware n'est pas lié aux bogues. Près d'un an après l'acquisition de Determina, les clients attendent toujours que l'entreprise annonce des évolutions de son logiciel. VMware pour sécuriser Windows ? Nand Mulchandani a refusé de dévoiler les projets de sa société concernant ses produits, se contentant de dire que son équipe intègre le logiciel de Determina dans la plate-forme VMware. Tom Liston admet que Determina donnera à VMware une longueur d'avance sur Microsoft qui est en train de virtualiser son logiciel. Mais certains affirment qu'il existe une autre étape évidente. Selon Thomas Ptacek, chez Matasano Security, du fait que VMware ESX soit largement utilisé dans les centres informatiques pour fonctionner avec Windows, il serait naturel que la société vende une version de VMware qui sécurise Windows. « La priorité de VMware est de renforcer son infrastructure virtuelle et de fournir des fonctions qu'elle ne pouvait pas offrir avant. Elle est dans la situation idéale pour exécuter cette forme de supervision globale de la machine, conclut Tom Liston.
Des ennuis avec la sécurité dès 2006
En 2006, à l'occasion d'une conférence sur la sécurité, Joanna Rutkowska, P-DG d'Invisible Thing Labs, parle de Blue Pill, un logiciel malveillant qui profite de la technologie de virtualisation utilisée dans les processeurs pour s'y glisser. Cela n'avait rien à voir avec VMware, mais comme l'entreprise est devenue la référence en la matière, tout problème lié à la virtualisation et à la sécurité « devient un problème pour VMware », déclare Nand Mulchandani, senior director des produits de sécurité chez VMware. Aussitôt, des clients inquiets ont assailli VMware. « On va être attaqués par Blue Pill. Que faisons-nous ? » Depuis, Joanna Rutkowska a essayé de corriger le tir en expliquant que Blue Pill ne concerne pas VMware. C'est l'un des messages que relaie Nand Mulchandani afin de restaurer la réputation de VMware. En même temps, la société développe de nouveaux produits pour garder son avance sur ses rivaux. Reste que les critiques déplorent la manière dont VMware a traité le problème Blue Pill. « Ils ont choisi la facilité en attaquant les travaux de Joanna, estime Tom Liston, un consultant sécurité chez Intelguardians Networks Intelligence.