Catégorie : Concepts

La catégorie concepts regroupe les généralités utiles en sécurité des SI et parfois d’autres plus globales à l’informatique, mais ayant un sens ou un intérêt particuliers en SSI.

20/05/2020 DNS et TLS (DoH et DoT)
    Réseaux, Vie privée  
  Derrière ce titre abscons se cache un enjeu important : sécuriser les requêtes DNS, souvent oubliées de toutes les études de sécurité.
18/05/2020 Informatique quantique
    Cryptographie. Chiffrement, Tendances  
  Objet de fantasme et de recherches intensives, il est difficile de savoir (en 2020) sur quoi cela va déboucher, et si l’ordinateur quantique pratique verra le jour dans un avenir proche ou prévisible. Néanmoins, autant savoir de quoi il retourne.
14/05/2020 BGP
    Actualités, Articles courts, Réseaux  
  BGP est un protocole méconnu mais structurant d’internet. « la meilleure définition est que c’est le protocole de routage qui fait fonctionner Internet » selon LeMagIT. Rien de moins. Et pourtant il s’appuie sur des mécanismes anciens qui datent du temps où tout le monde était gentil sur internet… CloudFlare a lancé une initiative pour sécuriser ces […]
01/04/2020 iOS (sécurité)
  Bien que faisant partie du monde Apple, MacOS et iOS ne sont pas équivalents en ce qui concerne leur niveau de sécurité. De la même façon, dans le monde des smartphones, Android diffère également d’iOS du point de vue de la sécurité.
18/03/2020 Logique et mathématique
  Un ordinateur, c’est bien beau, mais c’est rien qu’une machine. Une machine avec des performances extraordinaires, dans son domaine, mais une machine quoi qu’on en dise : une machine répondant aux lois mathématiques (et donc à la logique mathématique).
25/02/2020 C’est sûr, l’open source ?
    Analyses, Principes généraux  
  Puisqu’on vous dit que oui car tout le monde peut regarder dans le code que tout va bien et que de toutes façons y a pas de méchant dans les développeurs qui font de l’open source c’est bien connu.
31/01/2020 Windows vault
    Authentification  
  Ben zut : jusqu’à aujourd’hui, je n’avais pas connaissance de l’existence de ce machin. Bien qu’il soit parfaitement logique que Windows dispose d’un vault, cet outil est très peu mentionné dans la littérature. Qu’est-ce donc ? Comment marché-ce ?
21/01/2020 Zero trust
    Concepts, Principes généraux     , , , ,
  Ne faites confiance à personne ! Je l’ai souvent entendu dans la vie, et c’est la première chose qu’on apprend quand on fait de la sécurité informatique. Le concept (marketing ou pas) de Zero Trust a vite émergé depuis que la SSI est devenue industrielle, mais c’est quoi ?
07/01/2020 Vocabulaire (autre)
  HIPS/HIDS Vault credential stuffing https://auth0.com/blog/what-is-credential-stuffing backdoor Faille de sécurité Vulnérabilité Enregistreur de frappe Attaque par rebond (lien ?) Chevaux de Troie Élévation de privilèges
07/01/2020 Erreurs de configuration
    Concepts     , , , , ,
  Avec la délégation de son SI (communément appelée cloud computing), on délègue aussi son exploitation, mais partiellement ! Une partie de sa gestion relève aussi du client, ce qui donne lieu à la récurrence d’une menace (qui existait déjà) : l’erreur de configuration.
02/01/2020 Le cas du New York Times
    Confidentialité, Vie privée     , ,
  Édifiant article ne faisant que confirmer mes craintes sur l’impossible anonymisation de nos vies privées.
04/12/2019 RCS
    Concepts     , , , , ,
  RCS est l’acronyme pour Rich Communication Services, le remplaçant du SMS. La principale différence est qu’au lieu de passer par le canal « voix » (GSM), il passe par le réseau IP.
17/11/2019 L’avenir du mot de passe
    A retravailler, Authentification, Réflexions  
  Le mot de passe est mort. Vive le mot de passe. On nous vend la mort du mot de passe un peu partout. Il faut dire qu’on ne peut plus rien vendre concernant le mot de passe, vu que tout a été dit ou fait sur le sujet. Donc il faut trouver un autre os […]
29/10/2019 Biométrie : les attaques
    Biométrie  
  Attaques sur l’enclave Les données biométriques sont moins exposées lorsqu’elles restent sous le contrôle de utilisateurs, comme c’est normalement le cas dans l’utilisation des smartphones. Hélas, même le passage par le TEE (Trusted Execution Environment) réserve parfois de surprise, comme sur le OnePlus 7 Pro. Source : https://www.securityweek.com/fingerprint-exposing-flaw-oneplus-7-phone-highlights-tee-issues
26/07/2019 Cybersecurity Act
    Analyses, Organisations     , ,
  Halte au sketch ! L’Union Européenne s’organise pour lutter contre les cyberattaques extérieures (ce qui sous-entend au passage que nous sommes tous amis au sein de l’UE et que personne n’attaquera son voisin).
17/05/2019 Biométrie inviolable
    Biométrie, Blog  
  Une startup (et Dieu sait que j’aime les startup) a proposé récemment, via Kickstarter, une clé USB de stockage sécurisée inviolable ! Suite à quoi les experts en sécurité exhortent le marketing à ne plus jamais utiliser le terme inviolable.
17/05/2019 Interdiction de la reconnaissance faciale
    Biométrie  
  Il ne s’agit pas d’une interdiction généralisée, mais d’une première interdiction locale, aux Etats-Unis : la ville de San Francisco vient d’interdire (en mai 2019) l’utilisation de reconnaissance faciale, en raison de son manque de fiabilité.
06/05/2019 Cryptographie en Python
    Cryptographie. Chiffrement, Outils     ,
  Python est un langage pratique pour différents usages, y compris la cryptographie. Voici mon aide-mémoire sur le sujet. Installation Il faut jouer du pip. Le module le plus important est cryptography ! Voir aussi Mon repository GitHub
15/04/2019 TOTP
      , ,
  TOTP signifie Time-Based One-Time Password Algorithm. Bien. Les choses sont posées.
22/03/2019 Fake News
      , , ,
  Moi qui suit un ardent défenseur de la langue française, je cède ici car l’expression est trop répandue pour ne pas la reprendre. Et surtout le terme fausses informations n’a pas exactement la même signification ni la même connotation complotiste. Comment ça se passe Définition Commençons par tenter de définir ce que c’est. A mon […]
07/03/2019 Formations
  Voici une page spéciale avec différentes sources de sensibilisation et d’information : https://secnumacademie.gouv.fr/ https://www.skillset.com/ pour évaluer ses connaissances, en vue d’une certification par exemple. https://www.skillset.com/ https://www.information-security.fr/ https://www.root-me.org/ https://podcloud.fr/podcast/comptoir-secu (podcasts) https://www.reddit.com/r/netsec https://www.zenk-security.com/ Outils http://bugtraq-team.com/ https://www.kali.org/ Sites, podcasts, etc. https://www.techrepublic.com/article/kaspersky-offers-free-cybersecurity-training-to-assist-teams-working-remotely/ Sensibilisation pour les enfants https://www.securitytuesday.com/wp-content/uploads/2018/10/ISSA.Cahier.SecNum777.pdf https://github.com/wavestone-cdt/1-2-3-Cyber RGPD https://atelier-rgpd.cnil.fr/ (MOOC de la CNIL)
07/03/2019 Datalake
  On peut traduire par tas de données, même s’il n’y a pas l’analogie aquatique. Quoi que tas de données serait mieux approprié pour big data. Parce que lac de données c’est bôf. Bref. Si j’ai bien compris dans ce monde merveilleux de la grosse donnée, un datalake est un entrepôt de données, mais dont la grande force est de […]
22/02/2019 Fonctions de hachage
  Les fonctions de hachage sont des fonctions particulières très utilisées dans le cadre de la sécurité informatique, notamment dans le domaine de la cryptographie et des certificats numériques. Elles permettent d’obtenir une empreinte, également appelée condensat (« hash »), à partir d’un message ou de tout document numérique. Il existe un nombre assez restreint de fonctions de […]
19/02/2019 Cloud (pannes)
  Facile mais instructif : quelques pannes notables sur les grands fournisseurs de Cloud (hors failles de sécurité) Amazon Web Services mars 2017 : une panne sur S3 (Virginie) avec plusieurs services affectés . La cause est officiellement… une erreur de frappe ! mars 2018 : problèmes réseau (Virgine) , ayant pour origine une panne électrique, avec […]
19/02/2019 Chiffrement (outils)
  Encrypto GPG BitLocker TrueCrypt LUKS