Edition du 24/08/2005 - par Marc Olanié

Cela faisait longtemps que l'on n'avait pas eu l'occasion d'un véritable débat de fond. Un truc fondamental, qui soit capable de nous remuer les tripes et le neurone sur un véritable cas de conscience sociétal. Une interrogation du genre Microsoft contre Apple, Linux contre Closed Source, Full Disclosure contre Communication Elitiste, Visual Basic contre Pascal, NAP contre NAC...

Cette fois, c'est la Dépérimétrisation contre le périmétrique. Une forme plus évoluée du thème « la fin des IDS », un discours que nous rabâchent des spécialistes de l'extranet comme Novell, probablement l'un des premiers à avoir lancé le slogan « bring the firewall down ». Mais cette fois-ci, l'affaire est sérieuse ! Car un forum s'est constitué, un SIG à la mode américaine, un « club des tueurs de périmètres » qui se fait appeler Jericho. Lequel club spécialiste de l'abattage des murs d'enceintes publie un mémorandum expliquant pourquoi le périmétrique a vécu. Les temps sont à la sécurité centralisée et aux mécanismes de protection capables de s'adapter aux fluctuations de frontières définissant le réseau local. Kerberos au coeur, du SSL là où on doit tout protéger y compris depuis des sites très distants, du cryptage à toutes les sauces, de l'accès fortement soumis à des « politiques » précises... un rapide tour d'horizon nous est offert par notre grand frère Network World (nota bene : l'article en question est un résumé du mémorandum Jericho rédigé par un partisan de cette association, et non un papier de journaliste).

Ce à quoi, les tenants du périmétrique classique rétorquent vertement : tout çà n'est que du vent, c'est prendre les RSSI pour des simples d'esprit... et leur refourguer, pour des raisons « philosophiques » diverses, encore plus d'équipements de filtrage, de certification, de tunnelling, d'administration de « security policies ». On en passe et des plus coûteuses. Sécuriser les accès distants avec des « serveurs spécialisés dans la sécurisation des données sur liens non fiables » ? C'est un problème vieux comme le modem, que l'on peut résoudre avec des règles architecturales, sans trop de dépenses supplémentaires, et surtout sans remettre en question l'existant... tout périmétrique et has been qu'il soit.

Est-ce une impression ? Mais ces propos sensés ont comme un air de déjà lu. Tiens, par exemple, il n'y a pas si longtemps, sous la plume de Martin Roesch et de Markus Ranum, à un niveau certes un peu plus « cambouis », mais la question de fond reste la même. Le blindage périmétrique intelligent résiste à tout, même à la chose la plus corrosive que l'on puisse connaître : les discours marketing.