Catégorie : Concepts
La catégorie concepts regroupe les généralités utiles en sécurité des SI et parfois d’autres plus globales à l’informatique, mais ayant un sens ou un intérêt particuliers en SSI.
| 05/06/2023 | Modèle d’administration Active Directory |
| Selon l’ANSSI : Le modèle d’administration en niveaux se concentre sur la gestion de l’escalade non autorisée des privilèges dans un environnement Active Directory. Ce modèle, initialement proposé par Microsoft, définit trois niveaux d’administration qui sont les suivants : | |
| 31/05/2023 | Due care, due diligence |
| J’ai toujours eu du mal avec ces deux notions. D’origine juridique, elles s’appliquent également en sécurité informatique. En sécurité informatique, les concepts de « due care » et « due diligence » peuvent être appliqués de la manière suivante : | |
| 25/05/2023 | Datacenter |
| Une donnée informatique, ça brûle. Un Datacenter, ça se répare, ça se protège, ça se bichonne. Le « groupe de réflexion » Uptime Institute a été créé à l’initiative de plusieurs acteurs du secteur des centres de données (gérants, entreprise de conception, de construction de centre de données). Cette organisation est notamment connue pour avoir […] | |
| 20/01/2023 | Chiffrement ubiquitaire |
| Qu’est-ce que c’est encore que cette bestiole ? On n’arrête pas les nouveautés, qu’on souhaite pour le meilleur mais qui aboutissent en sécurité souvent sur le pire, comme SGX. Sans compter les nouveautés qui n’inventent rien, à part l’inculture de leurs promoteurs qui ne savent pas que la solution en question a déjà été inventée. […] | |
| 12/12/2022 | RODC |
| Un RODC est un nouveau type de contrôleur de domaine qui héberge des partitions en lecture seule de la base de données Active Directory. À l’exception des mots de passe de compte, un RODC contient tous les objets et attributs Active Directory qu’un contrôleur de domaine accessible en écriture détient. | |
| 15/02/2022 | Matrice RACI |
| RACI est un l’acronyme en anglais de Responsible, Accountable, Consulted, Informed. Si l’on devait traduire la matrice RACI en français cela donnerait : Source : Matrice RACI : définition et exemples pour définir les rôles et responsabilités – Cadremploi | |
| 19/11/2021 | OpenID/OAuth 2.0 |
| OpenID 1.0, OpenID 2.0, OpenID Connect. | |
| 14/01/2021 | Signal, WhatsApp, Telegram… |
| Ou olvid ? Quelle messagerie instantanée choisir pour espérer garder un semblant de vie privée et de confidentialité, à l’heure où WhatsApp change ses conditions d’utilisation (dans certains pays) pour partager plus de données avec Facebook ? | |
| 23/12/2020 | Ransomware Task Force |
| Ça pète. Avec un nom pareil, les ransomwares n’ont qu’à bien se tenir. Trêve de plaisanterie, cette initiative est louable, et montre bien les préoccupations dans ces années 20 : autrefois on luttait joint contre les botnets, maintenant il faut ajouter une corde à l’arc de la SSI : la lutte contre le ransomware. | |
| 21/12/2020 | Mot de passe Windows |
| Un développeur senior de Microsoft (Steve Syfuhs) tient un blog très intéressant (et forcément pertinent) sur la sécurité de Windows, en décrivant le fonctionnement de plusieurs fonctionnalités de sécurité, dont le mot de passe (sous Windows). Je vais tenter un résumé-traduction. | |
| 01/12/2020 | CI/CD |
| Continuous ceci, continuous cela… A quoi ça rime ? Ou plutôt à quoi ça rythme ? Car l’intégration continue et le déploiement continu sont une question de rythme, oserai-je dire. | |
| 15/11/2020 | Technologie humaine |
| Facebook n’a pas aimé le documentaire de Netflix sur son réseau social (the Social Network), et le fait savoir. Les réseaux sociaux sont une plaie. Certes ils ont des vertus mais conduisent aussi à de trop nombreux vices, en particulier lorsqu’on les associe au politiquement correct, une plaie venue des universités américaines. Et pour mieux […] | |
| 04/11/2020 | Bonnes pratiques : les bases |
| Un article fourni (pour une fois) de ZDNet reprend un ensemble de bonnes pratiques, pour un usage personnel. Les outils proposés vont évoluer dans le temps (de nouveaux non cités vont apparaître, d’autres vont disparaître), mais les bases devraient rester stables, et cet article est donc instructif à ce titre. | |
| 04/11/2020 | Zerologon |
| Plutôt que de dire des bêtises… https://www.secura.com/pathtoimg.php?id=2055 https://medium.com/@TalBeerySec/zeroing-in-on-zerologon-crypto-more-than-zeros-5d90fe5e4fd3 | |
| 03/08/2020 | Cookie |
| Qui aurait imaginé l’importance de ce petit fichier informatique, inventé quasiment en mode bidouille, et sur lequel repose aujourd’hui tant de fonctions y compris de sécurité ? | |
| 21/07/2020 | 5G |
| La 5G est-elle vraiment un progrès ? Ne confond-on pas progrès technique et progrès humain ou social ? | |
| 20/05/2020 | DNS et TLS (DoH et DoT) |
| Derrière ce titre abscons se cache un enjeu important : sécuriser les requêtes DNS, souvent oubliées de toutes les études de sécurité. | |
| 18/05/2020 | Informatique quantique |
| Objet de fantasme et de recherches intensives, il est difficile de savoir (en 2020) sur quoi cela va déboucher, et si l’ordinateur quantique pratique verra le jour dans un avenir proche ou prévisible. Néanmoins, autant savoir de quoi il retourne. | |
| 14/05/2020 | BGP |
| BGP est un protocole méconnu mais structurant d’internet, Facebook ne dira pas le contraire (même si le DNS a aussi son rôle à jouer). « La meilleure définition est que c’est le protocole de routage qui fait fonctionner Internet » selon LeMagIT. Rien de moins. Et pourtant il s’appuie sur des mécanismes anciens qui datent du temps […] | |
| 01/04/2020 | iOS (sécurité) |
| Bien que faisant partie du monde Apple, MacOS et iOS ne sont pas équivalents en ce qui concerne leur niveau de sécurité. De la même façon, dans le monde des smartphones, Android diffère également d’iOS du point de vue de la sécurité. | |
| 18/03/2020 | Logique et mathématique |
| Un ordinateur, c’est bien beau, mais c’est rien qu’une machine. Une machine avec des performances extraordinaires, dans son domaine, mais une machine quoi qu’on en dise : une machine répondant aux lois mathématiques (et donc à la logique mathématique). | |
| 25/02/2020 | C’est sûr, l’open source ? |
| Puisqu’on vous dit que oui car tout le monde peut regarder dans le code que tout va bien et que de toutes façons y a pas de méchant dans les développeurs qui font de l’open source c’est bien connu. | |
| 31/01/2020 | Windows vault |
| Ben zut : jusqu’à aujourd’hui, je n’avais pas connaissance de l’existence de ce machin. Bien qu’il soit parfaitement logique que Windows dispose d’un vault, cet outil est très peu mentionné dans la littérature. Qu’est-ce donc ? Comment marché-ce ? | |
| 21/01/2020 | Zero trust |
| Ne faites confiance à personne ! Je l’ai souvent entendu dans la vie, et c’est la première chose qu’on apprend quand on fait de la sécurité informatique. Le concept (marketing ou pas) de Zero Trust a vite émergé depuis que la SSI est devenue industrielle, mais c’est quoi ? | |
| 07/01/2020 | Vocabulaire (autre) |
| HIPS/HIDS Vault credential stuffing https://auth0.com/blog/what-is-credential-stuffing backdoor Faille de sécurité Vulnérabilité Enregistreur de frappe Attaque par rebond (lien ?) Chevaux de Troie Élévation de privilèges |