Catégorie : Concepts

La catégorie concepts regroupe les généralités utiles en sécurité des SI et parfois d’autres plus globales à l’informatique, mais ayant un sens ou un intérêt particuliers en SSI.

19/02/2019 Calcul multipartite sécurisé
  Le calcul multipartite sécurisé est un problème où chacune des parties veut effectuer une opération commune sur des données qui doivent rester privées (aucun des participants ne connaît les données de l’autres) et exactes (non compromises). Il faut aussi qu’un tiers extérieur (attaquant) ne puisse pas accéder lui non plus aux données privées, ni les falsifier. Participons […]
19/02/2019 Lean six sigma
  Comme tout bon français qui se respecte, j’adore râler. Mais à l’inverse des complotistes, j’aime me documenter et argumenter mes haines ordinaires. Sources d’information https://www.piloter.org/six-sigma/lean-six-sigma.htm
18/02/2019 Big brother
  Le thème n’est pas nouveau, mais entre les progrès techniques (technologiques), l’avènement du big data et autres joyeusetés, nous ne sommes pas près d’avoir la paix quant aux informations personnelles circulant en dehors de notre contrôle. En outre, les petits ruisseaux font les grandes rivières : avec la prolifération des données que nous produisons, il devient possible par inférence ou corrélation de […]
18/02/2019 Bastion
  Le bastionnage (pas sûr que le terme existe) consiste à créer un bastion pour accéder à vos ressources (informatiques). On les utiliser sur des ressources sensibles par leur positionnement (ex : production), par leur nature (ex : outil de gestion de droits), leur contenu, etc. Ainsi, personne ne peut (en théorie) accéder à vos ressources sans montrer patte blanche et sans […]
18/02/2019 Authentification par assertion
      , ,
  La technique de l’authentification basée sur des assertions (ou « claims-based identity ») est un concept extrêmement intéressant sur lequel est basé SAML. Un des principaux attraits de cette technologie est de permettre la fédération d’identité. Principes Très concrètement, un système de jetons de sécurité (STS an anglais, pour Security Token Service) permet la gestion de l’identité d’un utilisateur (et […]
15/02/2019 Atombombing
  L’atombombing est une technique permettant l’injection de code de façon très furtive. http://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions
15/02/2019 Appareils mobiles
  Que vous soyez geek ou pas, la technologie fait partie de votre quotidien. Avec l’essor des smartphones hier et des tablettes aujourd’hui, les risques liés à la mobilité sont désormais un enjeu majeur de la sécurité des systèmes d’information. Cette tendance est renforcée par l’arrivée en entreprise des terminaux personnels : il est en effet très […]
15/02/2019 Antivirus
  Un logiciel antivirus combat les virus. Après ça on est bien avancé, non ? Le nom antivirus est un nom générique donné aux programmes de sécurité, dont le but est de détecter et supprimer les virus (ce qui est un abus de langage pour désigner les programmes malveillants). La question mérite d’être posée : a-t-on besoin d’un anti-virus ? […]
15/02/2019 Anonymisation
  Les données personnelles sont précieuses, au moins encore quelques temps (je ne sais pas si cela va durer). En tout cas, plusieurs lois et règlements imposent à tous ceux qui en traitent de les protéger. Pour cela, une techniques possible est l’anonymisation des données, qui consiste(rait) à faire en sorte que les données utilisées ne permettent […]
13/02/2019 Big data
      , , , , , , ,
  Les grosses données sont des données nombreuses et volumineuses. Concept fumeux et marketing comme toujours, il n’en est pas moins vrai que l’augmentation des performances de stockage et de calcul posent de nouveaux problèmes de sécurité. Technologie D’où ça vient ? Nous produisons de l’information depuis longtemps, bien avant le temps de l’informatique, mais la mémorisation (stockage) des informations (données) […]
12/02/2019 SAML
  Sources https://duo.com/blog/the-beer-drinkers-guide-to-saml https://aws.amazon.com/fr/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/ Vulnérabilités https://news.sophos.com/fr-fr/2018/03/01/lauthentifaction-sso-bug-au-niveau-saml/ https://duo.com/blog/duo-finds-saml-vulnerabilities-affecting-multiple-implementations Attaque Golden SAML
12/02/2019 DICP
  Pour faire simple : La confidentialité (C) est l’assurance qu’une information ne peut être lue que par les entités qui en ont le droit. L’intégrité (I) est la protection de l’information contre des modifications par des entités qui n’en ont pas le droit. La disponibilité (D) est la capacité à mettre l’information à disposition quand les entités en ont besoin. Les contrôles […]
12/02/2019 Facteur d’authentification
  L’authentification dans un système informatique est des opérations les plus essentielles pour la sécurité globale de celui-ci. S’authentifier, c’est prouver qui on est au système. Cela comprend en réalité deux actions, qui ne sont pas que des élucubrations théoriques ni des lubies de chercheurs en sécurité : l’identification et l’authentification. Elles peuvent parfois être réalisées en une seule opération, parfois en […]
18/01/2019 Biométrie
      , , , , , , , ,
  La biométrie n’est pas, selon moi, adaptée aux processus informatiques. Point final. Alors pourquoi ça a le vent en poupe ? Parce qu’il existe désormais des dispositifs grand public, comme sur les smartphones ; Parce que c’est confortable ; Parce que ça donne un faux sentiment de sécurité ; Parce que le marketing crie plus fort que la sécurité. Alors pourquoi on nous en vend autant ? Parce […]
12/12/2018 Principes de base en entreprise
  On ne peut pas gérer la sécurité informatique d’une entreprise de la même façon qu’un particulier, de façon évidente. Difficile également de faire le tour du sujet en une seule rubrique, mais certains grands principes et grandes questions reviendront dans tous les services ayant à traiter de SSI.
12/12/2018 Intelligence artificielle
  L’intelligence artificielle est un concept nouveau depuis 30 50 ans (mince, c’est encore plus vieux que je ne le pense). Quand j’ai commencé l’informatique, on parlait déjà d’intelligence artificielle, et déjà on était déçu des résultats, au point que l’acronyme IA se trouvait souvent remplacé par Informatique Avancée qui correspondait mieux à la nature profonde […]
22/11/2018 RGPD
  Le Règlement Général sur la Protection des Données est un règlement européen sur la protection des données. Amis de La Palice, bonjour. Mais encore ? Je vais faire un résume de la très bonne explication fournie par NextInpact sur le sujet. En quelques mots, c’est quoi ? Ce règlement vise à harmoniser la protection des […]
02/10/2018 FIDO
      , , , ,
  FIDO est une alliance créée (en 2012) à l’origine par PayPal et quelques autres acteurs afin d’essayer d’établir un protocole d’authentification sans mot de passe. Dès 2013, Google, Yubico et NXP s’y joignent pour répondre à une problématique forte chez Google de lutte contre le phishing. Pour cela, l’industrie avait besoin d’un standard pour une […]
19/09/2018 Commandes utiles
      , ,
  openssl Voici quelques commandes utiles. Sauf indication contraire, c’est du Linux 😉 mais ça marche quasiment de la même façon sous Windows. openSSL est un outil open source très répandu qui offre un très grand nombre de fonctions utiles pour la mise en oeuvre de SSL. Voici quelques exemples d’utilisation. Pour récupérer le certificat présenté par un […]
04/09/2018 Serverless functions
  Principe Les principe des serverless functions (fonctions sans serveur) consiste à mettre à disposition, pour un client, un environnement d’exécution géré par l’hébergeur (et non par le client) permettant de faire tourner un script ou programme ayant une durée de vie assez courte, par exemple en réponse à un événement quelconque. Source : https://www.blackhat.com/docs/us-17/wednesday/us-17-Krug-Hacking-Severless-Runtimes.pdf Faille […]
30/08/2018 Mot de passe
  Le mot de passe est un élément extrêmement sensible dans la chaîne de la sécurité. C’est le point faible le plus souvent rencontré et, forcément, le plus souvent utilisé pour les piratages et les actes malveillants. Il ne sert à rien de sécuriser sa connexion SSH si vous laissez un mot de passe faible… On […]
24/08/2018 Linux
  Linux is not Unix. Or Linux tend à se répandre un peu partout alors que, n’en déplaise à son créateur, il n’a pas forcément été conçu sur des bases suffisamment sûres pour les entreprises. Sources Publications http://ts.data61.csiro.au/publications/csiro_full_text/Biggs_LH_18.pdf https://www.coreinfrastructure.org/wp-content/uploads/sites/6/2020/02/census_ii_vulnerabilities_in_the_core.pdf
21/08/2018 Villes connectées
  Le concept de villes connectées (ou Smart Cities) est un des nébuleux concepts issus de l’imagination débridée de nos têtes plus ou moins pensantes. Elles seront alimentées par nos équipements informatiques et par une foultitude de capteurs qui seront inévitablement disseminés dans notre environnement urbain (mais pourquoi pas aussi dans des zones moins denses) : […]
19/08/2018 SGX
      , , , , , ,
  SGX est un système d’enclave sécurisé présent au sein de certains processeurs Intel, spécialement conçus pour être plus sécurisés.
18/08/2018 Smartphones
  Nos smartphones sont-ils sûrs ? Je suis persuadé que la plupart des utilisateurs pensent que oui, particulièrement les afficionados d’Apple qui ont entendu dire (et donc sont persuadés) qu’iOS et Mac OS sont insensibles voire invulnérables aux virus et autres malwares. Or malheureusement il n’en est rien, je renvoie iOS et Android dos-à-dos, surtout lorsque […]