Edition du 20/10/2005 - par Marc Olanié

Si cette amélioration infrastructurelle ne fait aucun doute -on se demande même pourquoi de telles idées n'ont pas vu le jour avant-, tout ceci peut tout de même poser quelques problèmes de sécurité notoires. Car relier ainsi des réseaux ad hoc et des infrastructures, cela revient à accepter le pontage d'un segment « inconnu » de l'administrateur par le seul fait d'un usager ou d'un poste client compromis. Si, en outre, le lien reliant ce poste-passerelle est protégé par un VPN, la stations tierce extérieure qui transitera par la machine passerelle verra ses échanges protégés également par ledit VPN, à l'abri de tous les regards ... y compris ceux des administrateurs et des principaux outils de contrôle de flux. Même les vérifications de provenance seront ainsi « spoofées » puisque semblant émaner de la machine passerelle. C'est un problème que l'on rencontre parfois lorsqu'un plaisantin ajoute deux cartes réseau dans une machine appartenant à un réseau d'entreprise, et relie ces deux cartes à deux segments Vlan. On a vu ainsi des réseaux « protégés » accessibles depuis le réseau public.

Espérons que les prochains développements de Microsoft prévoieront d'intégrer des modes de blocage et de signalisation n'exigeant pas l'installation de policies complexes pour l'Admin. Espérons surtout que ce projet puisse un jour connaître une forme plus achevée et, puisque l'on en est au chapitre des voeux pieux, si possible sous licence Open Source. Après tout, la présence d'universitaires dans ce projet, le caractère scientifique de l'approche, les probables implications au niveau d'un éventuel « Working Group » IEEE pourraient laisser espérer un tel revirement de situation. On imagine difficilement Microsoft développer une interface réseau qui lui interdise d'aller « semer la parole MS » au sein d'autres maillages Ethernet.