Retours du Cisco Live de Barcelone

Chaque année Cisco organise, avec de nombreux partenaires (revendeurs essentiellement), quatre évènements Cisco Live !, un aux États-Unis, un en Amérique du Sud, un en Australie et un en Europe. Cette année, c’est Barcelone qui accueillait le salon entre les 27 et 31 janvier. C’était l’occasion pour chacun de se former sur les produits Cisco et de comprendre les différentes tendances de tout l’écosystème « réseau ». Certes le vernis du constructeur était omniprésent mais c’est à nous de décrypter l’ensemble des conférences et d’en ressortir l’information utile.

par Edmond Debar – France Télévisions – innovations&développements

Le premier et le cinquième (et dernier) jours sont consacrés aux sessions d’accueil et de clôture, forcément très marketing, et aux formations, Cisco évidemment. Ce sont des sessions au cours desquelles il est possible de passer des certifications, un point très apprécié par les ingénieurs présents.

Pendant les trois jours centraux, de nombreuses démonstrations et conférences se déroulent en parallèle dans une cinquantaine de salles. Sans aucun doute, cet évènement fait de Barcelone, en janvier, un des endroits les plus adaptés pour parler des architectures et problématiques IT actuelles et à venir.

Les points clés à retenir sont, outre les « best practices » IT, la sécurité, l’IA, la blockchain, et la virtualisation qui ont été au centre de nombreuses conférences.

Virtualisation

Le conteneur, cet outil léger qui apporte une souplesse proche de celle de la virtualisation, fait désormais partie intégrante des architectures DevOps et des déploiements dans le Cloud. Il a beaucoup d’avantages : il démarre vite et il consomme beaucoup moins de mémoire que les machines virtuelles. C’est désormais un standard pour packager des applications.

Le devops est un mouvement en ingénierie informatique et une pratique technique visant à l’unification du développement logiciel (dev) et de l’administration des infrastructures informatiques (ops), notamment l’administration système.

Historiquement hébergés sur des machines serveurs Linux, ils peuvent désormais être directement intégrés aux équipements réseau, routeurs et commutateurs. Cela permet de déployer des micro-services directement au plus proche des besoins.

Cisco revendique héberger des conteneurs « ouverts » directement administrables par le biais de Kubernetes, un système open-source aujourd’hui devenu incontournable, initialement développé par Google.

Le projet open source Contiv, qui a pour objectif de déployer des conteneurs, s’intègre notamment à la plateforme SDN ACI (Software Defined Network – Application Centric Infrastructure) de Cisco.

Contiv s’interface avec VPP (Vector Paket Processing), la version open source de la technologie de traitement de paquets vectoriels de Cisco. L’un des cas d’utilisation de la plateforme VPP consiste à l’implémenter en tant que switch virtuel au sein du switch ou d’un groupe de switches.

C’est, à mon sens, la brique de base de tous les travaux de Cisco qui transforme l’équipement réseau en un élément de traitement. Cela permet de comprendre la suite du rapport.

Je vous invite à consulter l’excellente présentation de Franck Brockners

La cyber-sécurité

Face au trafic réseau mondial dont l’essentiel est crypté, la détection de menace devient un enjeu majeur.

Tous les sites Internet du top 10 génèrent désormais un trafic crypté.

Ce type de trafic est passé, entre 2015 et 2017, de 20% à 60%. Il l’est dorénavant à plus de 80%, et les spécialistes estiment que nous serons au-delà des 90% du trafic encrypté en 2020.

Un message réseau crypté peut être comparé à une lettre. Alors qu’une carte postale transmet un message en clair, une lettre cache son contenu dans une enveloppe. Lorsque l’on transmet cette enveloppe, seules quelques informations sont accessibles : le destinataire, la source de l’enveloppe ou encore le poids et l’apparence de celle-ci.

Les Cyber-terroristes utilisent également l’encryption pour masquer leurs attaques. On estime à plus de 80% la proportion d’entreprises ayant à faire face à des menaces Cyber. Or plus de 60% des entreprises ne sont pas en capacité de détecter du trafic malveillant dans du trafic crypté. Les employés qui naviguent en « https » ou qui se connectent à des serveurs en DMZ sont de très bons vecteurs de propagation de menaces chiffrées. La surface d’attaque de nos entreprises est en constante augmentation : BYOD, Cloud public, IoT. Enfin les attaques sont de plus en plus sophistiquées et intelligentes. Nous faisons face à des adversaires organisés, motivés, parfois soutenus par des états et dont les moyens financiers permettent d’exploiter les failles « zero-day ».

Les chercheurs de Cisco proposent la technologie ETA (Encrypted Traffic Analytics) dont le nom se suffit à lui-même pour en comprendre l’objectif. Il est vrai que comme ça, ça semble un peu magique… Alors… Est-ce un mythe ou une réalité ?

Lorsqu’on est du métier, la première idée qui vient à l’esprit pour l’analyse d’un flux est celle d’installer un équipement intermédiaire qui intercepte le trafic http entre un navigateur et la source (ie. proxy Web). Pour intercepter le trafic HTTPS chiffré par TLS, ça devient très compliqué. Il faut mettre en place une autorité de certification, distribuer le certificat public de l’autorité de certification à chaque périphérique qui se connectera via le proxy, puis configurer les points de terminaison et le réseau afin de transmettre le trafic HTTPS vers le proxy. Ceci est souvent désigné par le terme de « Homme Du Milieu » (HDM ou MiTM en anglais), car le proxy rompt réellement la session chiffrée entre le client et le serveur. En fin de compte, le proxy a accès à la communication en texte clair.

Pour ETA, c’est bien différent. Le principe, en très résumé, est d’extraire les caractéristiques des trafics réseau et d’utiliser des techniques de Machine Learning afin de les qualifier.

Dans le cas de notre fameuse enveloppe, il s’agit justement de vérifier la source, la date, le poids, la fréquence d’envoi, la forme de l’enveloppe, la façon dont le destinataire est écrit et tout un tas d’autres informations. Ces courriers que vous recevez depuis des années vous ont aidé à construire des modèles qui font que vous savez reconnaitre une facture d’un faire-part ou d’une taxe à payer avant d’ouvrir votre courrier…

Pour entrer dans les détails, le fonctionnement repose sur le contrôle des éléments des différents échanges de négociation TLS (SSL handshake). Les champs non chiffrés sont analysés afin d’en tirer le meilleur parti, comme, par exemple la taille des paquets IP, leur synchronisation ou les certificats auto-signés.

Une étude de cas est proposée : la comparaison entre une recherche Google et le comportement du Malware Bestafera (keylog, vol d’informations bancaires, fichier, système, DDOS, … information ici

À gauche, les lignes verticales sous la ligne horizontale symbolisent le trafic de Google vers le client et les lignes verticales au-dessus de l’horizontale représentent le sens inverse.

Vous pouvez voir que, lorsque vous représentez les premiers paquets d’une série chronologique comme celle-ci, il y a un motif perceptible.

À droite, c’est le modèle d’un malware appelé Bestafera. Même en un coup d’œil, il est évident que cette application est très différente de la première. Les intervalles de temps entre les paquets sont très différents et la direction du trafic est opposée : ce logiciel malveillant exfiltre des données vers la destination (le trafic au-dessus de la ligne horizontale) alors que Google envoyait des données vers le client.

Cet exemple est une représentation concrète de l’exploitation des informations qui entourent la négociation TLS. Les données de cette négociation sont utilisées pour détecter un comportement anormal.

Celles-ci sont le reflet des usages correspondants à des activités professionnelles courantes pour lesquelles il serait plutôt suspect de voir un trafic important sortant de l’entreprise.

Mais dans ce cas, est-il encore possible d’envoyer des données vers un partenaire (Cloud, WeTranfer, …) ? La réponse se doit d’être oui.

Cela ne sera oui que si l’on observe plus attentivement les données échangées. Selon les navigateurs, selon les bibliothèques TLS, la manière d’initialiser une session TLS diffère. Certains modèles commencent à émerger et peuvent être utilisés comme signatures pour identifier, par exemple, une certaine bibliothèque de Firefox par rapport à une version spécifique d’OpenSSL.

Lors de l’analyse de cette négociation TLS, les métadonnées permettent d’identifier le type d’application ou de bibliothèque ayant lancé la session TLS. Dans cet exemple : une certaine version d’OpenSSL a été identifiée. Désormais il peut être possible de corréler la forme du trafic avec un élément malveillant regroupant cette version spécifique d’OpenSSL. La signature du certificat du serveur sera un indice de plus.

Mais maintenant, la question logique est de savoir comment l’ETA élimine les faux positifs et qui renseigne ETA. C’est ici qu’interviennent « Machine Learning » et « Intelligence Artificielle », de nombreux algorithmes qui s’exécutent dans le Cloud de Cisco grâce à des données collectées par ETA. Ces données sont utilisées pour entraîner les algorithmes à reconnaître ce qui est légitime du malin. La puissance de Cisco réside dans le fait que leurs algorithmes sont davantage renseignés que les autres grâce sa domination du marché des dispositifs réseau. Cisco recueille ainsi une quantité vertigineuse d’échantillons de logiciels malveillants.

Cisco appelle sa plateforme d’apprentissage automatique Cisco Cognitive Analytics (CCA).

Le tableau de bord, CTA (Cisco Threat Analytics) rend explicite les informations du CCA, c’est une application qui classe les flux cryptés en fonction de leur signature.

Les données sont également conservées dans un grand livre Conversational Flow Record (CFR) capable de mémoriser des mois de données collectées ; à la lecture de cela, on se prend un peu à rêver de l’arrivée de la blockchain dans le monde de la cyber-sécurité et de l’IA.

Une démonstration impressionnante a été mise en œuvre pendant les quatre jours du MWC de 2018. Plus de 55 millions de flux furent analysés pour 100.000 participants.

Le blog de Cisco relate que des centaines de menaces ont été identifiées lors de cet évènement.

Même si une entreprise dispose d’une passerelle Web sécurisée, la solution semble pertinente. En effet, n’en a-t-on qu’une seule ? La sécurisation est un modèle d’architecture en couche, avec plusieurs ressources de sécurité complexes à gérer à tous les niveaux. Dans ce cadre, il devient difficile d’appliquer la technologie de passerelle Web sécurisée aux sessions cryptées TLS décrites en préambule. Tout d’abord, il y a les problèmes récurrents liés à l’exécution d’une autorité de certification et au déploiement de son certificat sur tous les périphériques clients de l’environnement, toutes les plateformes, tous les systèmes d’exploitation, avec tous leurs différents outils de gestion. Et puis, il est délicat de rediriger les flux vers cette passerelle… Enfin, même avec une telle infrastructure, il y encore des mécanismes de sécurité qui repèrent une clé publique HTTP (afin de préserver des risques d’usurpation d’identité HPKP) et qui ordonnent à un client Web de se connecter au site uniquement si le certificat présenté par le site est signé par une liste spécifique d’autorités de certification.

Surtout il ne faut pas oublier que l’ETA est intégré au réseau, de sorte qu’il détecte le trafic en provenance et à destination d’Internet, ainsi que celui qui reste entièrement à l’intérieur de votre pare-feu ce qui lui donne une position stratégique.

La suite de la présentation de l’intervenant rentre dans des détails plus marketing avec la liste des différents (nombreux) équipements réseaux supportant cette technologie, les débits acceptés et les licences nécessaires afin d’exploiter les capacités de l’ETA. Vous retrouverez toutes ces informations, certes utiles mais que je ne me vois pas faire figurer ici, dans la présentation dont le lien est accessible un peu plus bas.

Des informations plus complètes avec un livre blanc disponible sur demande ici

Et la présentation du Cisco Live dont sont extraites les images ici

La blockchain

Bien que « bitcoin », cette monnaie d’échange cryptographique, ait été la première utilisation largement connue de cette technologie, elle est aujourd’hui loin d’être la seule.

On peut voir la blockchain comme un grand livre de compte libre, gratuit, crypté et infalsifiable qui contient tous les échanges effectués par les utilisateurs depuis sa création. Comme l’écrit le mathématicien Jean-Paul Delahaye, il faut s’imaginer un « cahier informatique, partagé infalsifiable et indestructible du fait même de sa conception. » La puissance de la blockchain

Lorsqu’une transaction est faite, elle s’inscrit dans un bloc qui est validé par d’autres utilisateurs, les « mineurs ». Chaque transaction est émise avec deux clés. L’une est privée et permet à l’utilisateur de signer et recevoir une transaction, tandis que l’autre est publique et permet aux mineurs de valider la transaction et de l’inscrire dans un bloc. Un bloc est le regroupement d’un certain nombre de transactions (data records). Une fois le bloc validé, il est horodaté et ajouté à la chaîne de blocs (la blockchain). La transaction est alors visible pour le récepteur ainsi que l’ensemble du réseau.

L’astuce réside dans le fait que ce bloc est complété par un en-tête qui, en plus de sa somme de contrôle, contient la somme de contrôle du bloc précédent. À partir d’un bloc quelconque, on peut ainsi remonter jusqu’au bloc initial de la chaîne en vérifiant à chaque pas sa validité.

Une somme de contrôle (ou « hash ») est un nombre, calculé à partir du contenu du bloc, tel qu’il est impossible de reconstituer le bloc à partir de sa somme de contrôle (fonction « à sens unique ») et que la moindre modification du bloc modifie la somme de contrôle de façon totalement imprévisible.

En fait, la blockchain révolutionne la plupart des industries. Comme l’IA et le Cloud, il faut compter sur elle pour l’entreprise de demain, Cisco l’a bien compris.

L’histoire est allée très vite en ce qui concerne la blockchain depuis les principes du bitcoin de Nakamoto en 2008. Dès 2017, des méthodes de levée de fonds (ICO – Initial Coin Offering) pour permettre le démarrage de projet de blockchain voient le jour. L’existence des ICO et des méthodologies associées permettent la création de multiples blockchains.

La blockchain élimine les erreurs, la fraude, le besoin d’intermédiaires et permet des transactions sans tiers de confiance.

Les domaines d’utilisation de la blockchain sont divers :

Dans les chaines d’approvisionnement et de logistique, elle permet de connaître l’état de chaque produit de votre chaîne d’approvisionnement, des matières premières à la distribution. La Blockchain permet la transparence avec un enregistrement partagé de la propriété et de l’emplacement des pièces et des produits en temps réel.

L’exemple donné est celui de De Beers, qui exploite et commercialise plus de 30% des réserves mondiales de diamant. La société envisage d’utiliser un registre à chaînes de blocs pour tracer les diamants de la mine à l’achat par le client. Cette transparence permettra à l’industrie et tous ceux qui souhaitent de vérifier de manière certaine, que chaque étape de la production de diamants se passe correctement.

Dans le commerce, Warranteer est une application blockchain qui permet aux consommateurs d’avoir facilement accès aux informations concernant les produits qu’ils ont achetés et d’avoir un service après-vente en cas de dysfonctionnement.

Les applications sont extrêmement nombreuses et restent encore à inventer, cependant pour que cette technologie soit viable, elle doit être un standard interopérable.

Au sein de la Trusted IoT Alliance, Cisco a aidé à développer un protocole IoT qui enregistre les terminaux utilisant une API compatible avec la blockchain.

Nos métiers du Broadcast pourraient s’emparer de cette technologie et des nombreuses API existantes pour s’attaquer, par exemple, aux problèmes de droits de diffusion.

La blockchain offre de nombreuses possibilités pour résoudre les problèmes habituels des chaines de fabrication. Cette technologie permettra un business plus fiable, sécurisé, transparent, et profitable, autant pour les fournisseurs, que les consommateurs.

L’élément important est le fait que Cisco imagine déjà intégrer ces technologies dans ses switches, nous rendant ainsi captifs de tels produits dont l’objectif n’est désormais plus simplement de transporter des paquets réseau.

Comme dans le cas de l’ETA, les équipements réseau vont intégrer des capacités de traitement par le biais de container.

Comme l’explique Jean-Paul Delahaye : « De même qu’Internet a été la base de bien d’autres applications que le courrier électronique, la blockchain sera la base de bien d’autres applications qu’un réseau de paiement. Nous en sommes aux premiers instants d’un nouvel âge pour tout ce qui est possible au travers d’un réseau décentralisé de communications et de calculs.». La blockchain est véritablement un sujet à travailler dans le cadre de la transformation numérique de toute entreprise.

La présentation sur la blockchain est accessible ici

D’autres sources en français ici

L’Intelligence Artificielle

Gartner prévoit qu’au cours des prochaines années, l’Intelligence Artificielle (IA) sera omniprésente, dans chaque application à un certain niveau. C’est donc pourquoi l’IA a eu cette année la part belle au Cisco Live : elle a fait l’objet de nombreuses présentations.

Il convient de faire la différence entre l’IA et le Machine Learning (ML). L’IA est un système qui résout rationnellement des problèmes complexes et prend des mesures en temps réel tandis que le Machine Learning est la capacité à « apprendre statistiquement » à partir de données, sans être explicitement programmé.

Aujourd’hui, ces deux notions sont clairement au centre des préoccupations des entreprises. Les dirigeants d’entreprises comprennent que ces outils vont leur permettre d’attaquer de nouveaux marchés et de résoudre des problèmes inhérents à notre monde de plus en plus complexe. Les comprendre est donc un enjeu majeur pour survivre, les maitriser pourrait permettre d’obtenir un avantage compétitif.

Le fait est que Cisco estime qu’en 2020 les entreprises qui auront choisi d’axer leur développement sur les données collectées prendront des parts de marché à leurs concurrents. En parallèle, huit entreprises sur dix ont déjà fait le choix d’utiliser de l’IA pour leur service clientèle en 2020.

Avec le rachat de MindMeld en 2017, Cisco s’est renforcé dans le domaine de l’IA.

MindMeld a développé une plateforme de reconnaissance vocale qui peut être intégrée dans n’importe quel site Web, application ou appareil. Sa technologie, basée entre autres sur le traitement de langage naturel, est utilisée pour créer des assistants virtuels capables de converser avec ses interlocuteurs, à l’image de Siri, Cortana et Google Home. Elle peut être déployée dans toutes sortes d’environnements : distribution, automobile… Ce rachat, avec celui de Saggezza, une société spécialisée dans l’analyse et la visualisation des données, montre que le constructeur a de grandes prétentions dans ce domaine.

Cisco défini 5 étapes critiques pour construire une infrastructure efficace :

  • La collecte des données en temps réel.
  • Le nettoyage et l’organisation des données.
  • L’intégration et le stockage des données.
  • L’entrainement des algorithmes et l’analyse des modèles.
  • Tirer des enseignements, prédire des tendances et prendre des décisions.

Des difficultés existent à chacune de ces étapes. La quantité de données, la quantité de sondes pour les collecter, la sécurisation de ces sondes, le choix des bons algorithmes, le choix des standards sont autant de défis à surmonter pour construire une infrastructure performante.

Une infrastructure robuste est requise pour mettre en œuvre ces solutions, évidemment Cisco a la solution pour nous… Mais la concurrence sur tous ces segments est féroce, c’est l’ensemble de la chaine qui a à y gagner : industriels, constructeurs, éditeurs et clients.

La présentation s’achève sur une proposition : « Associons-nous pour exploiter la puissance de l’Intelligence Artificielle et du Machine Learning afin de transformer numériquement votre entreprise. ».

Présentation Le rôle de l’Intelligence Artificielle dans la transformation numérique

Conclusion 

Le « Cisco Live ! » est l’occasion d’avoir accès aux spécialistes des solutions IT. Je suis à peu près certain de n’avoir pas vu l’ensemble des sujets intéressants, j’espère néanmoins en avoir identifié l’essentiel. Cisco entend bien intégrer des applications au sein de ses équipements, au plus proche des utilisateurs et pousse ainsi son SDN (Software Defined Network) ainsi que le concept d’ACI (Application Centric Infrastructure) afin de se distinguer de ses concurrents. Les nouveaux points de préoccupation actuels : micro-service, sécurité, AI, blockchain sont autant d’atouts pour l’équipementier. Les bénéfices d’ACI vont nous rendre plus efficaces, mais certainement aussi plus dépendants.

Ce contenu a été publié dans blockchain, IA, informatique, IoT, Non classé, Technologies. Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *