Catégorie : Concepts

La catégorie concepts regroupe les généralités utiles en sécurité des SI et parfois d’autres plus globales à l’informatique, mais ayant un sens ou un intérêt particuliers en SSI.

17/11/2019 L’avenir du mot de passe
   A retravailler, Authentification, Réflexions  
  Le mot de passe est mort. Vive le mot de passe. On nous vend la mort du mot de passe un peu partout. Il faut dire qu’on ne peut plus rien vendre concernant le mot de passe, vu que tout a été dit ou fait sur le sujet. Donc il faut trouver un autre os […]
29/10/2019 Biométrie : les attaques
   Biométrie  
 
26/07/2019 Cybersecurity Act
   Analyses, Organisations    , ,
  Halte au sketch ! L’Union Européenne s’organise pour lutter contre les cyberattaques extérieures (ce qui sous-entend au passage que nous sommes tous amis au sein de l’UE et que personne n’attaquera son voisin).
17/05/2019 Biométrie inviolable
   Biométrie, Blog  
  Une startup (et Dieu sait que j’aime les startup) a proposé récemment, via Kickstarter, une clé USB de stockage sécurisée inviolable ! Suite à quoi les experts en sécurité exhortent le marketing à ne plus jamais utiliser le terme inviolable.
17/05/2019 Interdiction de la reconnaissance faciale
   Biométrie  
  Il ne s’agit pas d’une interdiction généralisée, mais d’une première interdiction locale, aux Etats-Unis : la ville de San Francisco vient d’interdire (en mai 2019) l’utilisation de reconnaissance faciale, en raison de son manque de fiabilité.
06/05/2019 Cryptographie en Python
   Cryptographie et chiffrement, Outils    ,
  Python est un langage pratique pour différents usages, y compris la cryptographie. Voici mon aide-mémoire sur le sujet. Installation Il faut jouer du pip. Le module le plus important est cryptography ! Voir aussi Mon repository GitHub
15/04/2019 TOTP
     , ,
  TOTP signifie Time-Based One-Time Password Algorithm. Bien. Les choses sont posées.
22/03/2019 Fake News
     , , ,
  Moi qui suit un ardent défenseur de la langue française, je cède ici car l’expression est trop répandue pour ne pas la reprendre. Et surtout le terme fausses informations n’a pas exactement la même signification ni la même connotation complotiste. Comment ça se passe Définition Commençons par tenter de définir ce que c’est. A mon […]
07/03/2019 Formations
  Voici une page spéciale avec différentes sources de sensibilisation et d’information : https://secnumacademie.gouv.fr/ https://www.skillset.com/ pour évaluer ses connaissances, en vue d’une certification par exemple. https://www.skillset.com/ https://www.information-security.fr/ https://www.root-me.org/ https://podcloud.fr/podcast/comptoir-secu (podcasts) https://www.reddit.com/r/netsec https://www.zenk-security.com/ Outils http://bugtraq-team.com/ https://www.kali.org/ RGPD https://atelier-rgpd.cnil.fr/ (MOOC de la CNIL)
07/03/2019 Datalake
  On peut traduire par tas de données, même s’il n’y a pas l’analogie aquatique. Quoi que tas de données serait mieux approprié pour big data. Parce que lac de données c’est bôf. Bref. Si j’ai bien compris dans ce monde merveilleux de la grosse donnée, un datalake est un entrepôt de données, mais dont la grande force est de […]
22/02/2019 Fonctions de hachage
  Les fonctions de hachage sont des fonctions particulières très utilisées dans le cadre de la sécurité informatique, notamment dans le domaine de la cryptographie et des certificats numériques. Elles permettent d’obtenir une empreinte, également appelée condensat (« hash »), à partir d’un message ou de tout document numérique. Il existe un nombre assez restreint de fonctions de […]
19/02/2019 Cloud (pannes)
  Facile mais instructif : quelques pannes notables sur les grands fournisseurs de Cloud (hors failles de sécurité) Amazon Web Services mars 2017 : une panne sur S3 (Virginie) avec plusieurs services affectés[1]. La cause est officiellement[2]… une erreur de frappe ! mars 2018 : problèmes réseau (Virgine)[3], ayant pour origine une panne électrique, avec de forts impacts[4]. Microsoft Azure […]
19/02/2019 Chiffrement (outils)
  Encrypto GPG BitLocker TrueCrypt LUKS
19/02/2019 Calcul multipartite sécurisé
  Le calcul multipartite sécurisé est un problème où chacune des parties veut effectuer une opération commune sur des données qui doivent rester privées (aucun des participants ne connaît les données de l’autres) et exactes (non compromises). Il faut aussi qu’un tiers extérieur (attaquant) ne puisse pas accéder lui non plus aux données privées, ni les falsifier. Participons […]
19/02/2019 Lean six sigma
  Comme tout bon français qui se respecte, j’adore râler. Mais à l’inverse des complotistes, j’aime me documenter et argumenter mes haines ordinaires. Sources d’information https://www.piloter.org/six-sigma/lean-six-sigma.htm
18/02/2019 Big brother
  Le thème n’est pas nouveau, mais entre les progrès techniques (technologiques), l’avènement du big data et autres joyeusetés, nous ne sommes pas près d’avoir la paix quant aux informations personnelles circulant en dehors de notre contrôle. En outre, les petits ruisseaux font les grandes rivières : avec la prolifération des données que nous produisons, il devient possible par inférence ou corrélation de […]
18/02/2019 Bastion
  Le bastionnage (pas sûr que le terme existe) consiste à créer un bastion pour accéder à vos ressources (informatiques). On les utiliser sur des ressources sensibles par leur positionnement (ex : production), par leur nature (ex : outil de gestion de droits), leur contenu, etc. Ainsi, personne ne peut (en théorie) accéder à vos ressources sans montrer patte blanche et sans […]
18/02/2019 Authentification par assertion
     , ,
  La technique de l’authentification basée sur des assertions (ou « claims-based identity ») est un concept extrêmement intéressant sur lequel est basé SAML. Un des principaux attraits de cette technologie est de permettre la fédération d’identité. Principes Très concrètement, un système de jetons de sécurité (STS an anglais, pour Security Token Service) permet la gestion de l’identité d’un utilisateur (et […]
15/02/2019 Atombombing
  L’atombombing est une technique permettant l’injection de code de façon très furtive. http://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions
15/02/2019 Appareils mobiles
  Que vous soyez geek ou pas, la technologie fait partie de votre quotidien. Avec l’essor des smartphones hier et des tablettes aujourd’hui, les risques liés à la mobilité sont désormais un enjeu majeur de la sécurité des systèmes d’information. Cette tendance est renforcée par l’arrivée en entreprise des terminaux personnels : il est en effet très […]
15/02/2019 Antivirus
  Un antivirus est un nom générique donné aux programmes de sécurité, dont le but est de détecter et supprimer les virus (ce qui est un abus de langage pour désigner les programmes malveillants). La question mérite d’être posée : a-t-on besoin d’un anti-virus ? Sur un serveur web ? Sur un poste client ? Sur un smartphone ? Sur […]
15/02/2019 Anonymisation
  Les données personnelles sont précieuses, au moins encore quelques temps (je ne sais pas si cela va durer). En tout cas, plusieurs lois et règlements imposent à tous ceux qui en traitent de les protéger. Pour cela, une techniques possible est l’anonymisation des données, qui consiste(rait) à faire en sorte que les données utilisées ne permettent […]
13/02/2019 Big data
     , , , , , , ,
  Les grosses données sont des données nombreuses et volumineuses. Concept fumeux et marketing comme toujours, il n’en est pas moins vrai que l’augmentation des performances de stockage et de calcul posent de nouveaux problèmes de sécurité. Technologie D’où ça vient ? Nous produisons de l’information depuis longtemps, bien avant le temps de l’informatique, mais la mémorisation (stockage) des informations (données) […]
12/02/2019 SAML
  Sources https://duo.com/blog/the-beer-drinkers-guide-to-saml https://aws.amazon.com/fr/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/ Vulnérabilités https://news.sophos.com/fr-fr/2018/03/01/lauthentifaction-sso-bug-au-niveau-saml/ https://duo.com/blog/duo-finds-saml-vulnerabilities-affecting-multiple-implementations Attaque Golden SAML
12/02/2019 DICP
  Pour faire simple : La confidentialité (C) est l’assurance qu’une information ne peut être lue que par les entités qui en ont le droit. L’intégrité (I) est la protection de l’information contre des modifications par des entités qui n’en ont pas le droit. La disponibilité (D) est la capacité à mettre l’information à disposition quand les entités en ont besoin. Les contrôles […]