Catégorie : Concepts

La catégorie concepts regroupe les généralités utiles en sécurité des SI et parfois d’autres plus globales à l’informatique, mais ayant un sens ou un intérêt particuliers en SSI.

12/02/2019 DICP
  Pour faire simple : La confidentialité (C) est l’assurance qu’une information ne peut être lue que par les entités qui en ont le droit. L’intégrité (I) est la protection de l’information contre des modifications par des entités qui n’en ont pas le droit. La disponibilité (D) est la capacité à mettre l’information à disposition quand les entités en ont besoin. Les contrôles […]
12/02/2019 Facteur d’authentification
  L’authentification dans un système informatique est des opérations les plus essentielles pour la sécurité globale de celui-ci. S’authentifier, c’est prouver qui on est au système. Cela comprend en réalité deux actions, qui ne sont pas que des élucubrations théoriques ni des lubies de chercheurs en sécurité : l’identification et l’authentification. Elles peuvent parfois être réalisées en une seule opération, parfois en […]
18/01/2019 Biométrie
     , , , , , , , ,
  La biométrie n’est pas, selon moi, adaptée aux processus informatiques. Point final. Alors pourquoi ça a le vent en poupe ? Parce qu’il existe désormais des dispositifs grand public, comme sur les smartphones ; Parce que c’est confortable ; Parce que ça donne un faux sentiment de sécurité ; Parce que le marketing crie plus fort que la sécurité. Alors pourquoi on nous en vend autant ? Parce […]
12/12/2018 Principes de base en entreprise
  On ne peut pas gérer la sécurité informatique d’une entreprise de la même façon qu’un particulier, de façon évidente. Difficile également de faire le tour du sujet en une seule rubrique, mais certains grands principes et grandes questions reviendront dans tous les services ayant à traiter de SSI.
12/12/2018 Intelligence artificielle
  L’intelligence artificielle est un concept nouveau depuis 30 50 ans (mince, c’est encore plus vieux que je ne le pense). Quand j’ai commencé l’informatique, on parlait déjà d’intelligence artificielle, et déjà on était déçu des résultats, au point que l’acronyme IA se trouvait souvent remplacé par Informatique Avancée qui correspondait mieux à la nature profonde […]
22/11/2018 RGPD
  Le Règlement Général sur la Protection des Données est un règlement européen sur la protection des données. Amis de La Palice, bonjour. Mais encore ? Je vais faire un résume de la très bonne explication fournie par NextInpact sur le sujet. En quelques mots, c’est quoi ? Ce règlement vise à harmoniser la protection des […]
02/10/2018 FIDO
     , , , ,
  FIDO est une alliance créée (en 2012) à l’origine par PayPal et quelques autres acteurs afin d’essayer d’établir un protocole d’authentification sans mot de passe. Dès 2013, Google, Yubico et NXP s’y joignent pour répondre à une problématique forte chez Google de lutte contre le phishing. Pour cela, l’industrie avait besoin d’un standard pour une […]
19/09/2018 Commandes utiles
     , ,
  openssl Voici quelques commandes utiles. Sauf indication contraire, c’est du Linux 😉 mais ça marche quasiment de la même façon sous Windows. openSSL est un outil open source très répandu qui offre un très grand nombre de fonctions utiles pour la mise en oeuvre de SSL. Voici quelques exemples d’utilisation. Pour récupérer le certificat présenté par un […]
04/09/2018 Serverless functions
  Principe Les principe des serverless functions (fonctions sans serveur) consiste à mettre à disposition, pour un client, un environnement d’exécution géré par l’hébergeur (et non par le client) permettant de faire tourner un script ou programme ayant une durée de vie assez courte, par exemple en réponse à un événement quelconque. Source : https://www.blackhat.com/docs/us-17/wednesday/us-17-Krug-Hacking-Severless-Runtimes.pdf Faille […]
30/08/2018 Mot de passe
  Le mot de passe est un élément extrêmement sensible dans la chaîne de la sécurité. C’est le point faible le plus souvent rencontré et, forcément, le plus souvent utilisé pour les piratages et les actes malveillants. Il ne sert à rien de sécuriser sa connexion SSH si vous laissez un mot de passe faible… On […]
24/08/2018 Linux
  Linux is not Unix. Or Linux tend à se répandre un peu partout alors que, n’en déplaise à son créateur, il n’a pas forcément été conçu sur des bases suffisamment sûres pour les entreprises. Sources Publications http://ts.data61.csiro.au/publications/csiro_full_text/Biggs_LH_18.pdf
21/08/2018 Villes connectées
  Le concept de villes connectées (ou Smart Cities) est un des nébuleux concepts issus de l’imagination débridée de nos têtes plus ou moins pensantes. Elles seront alimentées par nos équipements informatiques et par une foultitude de capteurs qui seront inévitablement disseminés dans notre environnement urbain (mais pourquoi pas aussi dans des zones moins denses) : […]
19/08/2018 SGX
     , , , ,
  SGX est un système d’enclave sécurisé présent au sein de certains processeurs Intel, spécialement conçus pour être plus sécurisés. En gros, le processeur isole des données confidentielles (comme une clé de chiffrement) dans une enclave censée n’être accessible par personne. Plus exactement, l’enclave contiendra du code et des données, qui seront traitées dans cette enclave […]
18/08/2018 Smartphones
  Nos smartphones sont-ils sûrs ? Je suis persuadé que la plupart des utilisateurs pensent que oui, particulièrement les afficionados d’Apple qui ont entendu dire (et donc sont persuadés) qu’iOS et Mac OS sont insensibles voire invulnérables aux virus et autres malwares. Or malheureusement il n’en est rien, je renvoie iOS et Android dos-à-dos, surtout lorsque […]
17/08/2018 Vote électronique
  Comme tout démocrate qui se respecte, je suis contre le vote électronique. Pour plein de raisons que je développerai quand j’en aurai le temps. Même si même le FBI qui n’y connaît rien à l’informatique s’en inquiète, ça veut dire qu’il y a de quoi être inquiet. Symantec a prouvé la faisabilité d’une attaque en […]
16/08/2018 Obligations légales – CNIL
  Sujet intéressant ! Les mentions légales de ce site sont [[MonWiki:%C3%80_propos_de|ici]]. Les mentions légales https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228 Les cookies traceurs Que dit la loi ? https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi Liens utiles https://www.cnil.fr/fr/modeles/courrier
15/08/2018 Cloud Act
  Cloud Act est l’acronyme de Clarifying Lawful Overseas Use of Data Act. Trop forts ces ricains pour les acronymes (presque aussi bien que Patriot Act). A l’instar du Patriot Act, ou dans le même esprit que le RGPD, il devrait permettre une collaboration plus facile dans les requêtes judiciaires. L’objet du délit Si je comprends bien, […]
15/08/2018 Objets connectés
  Le terme objets connectés me semble plus approprié que l‘internet des objets, qui prend les choses dans le mauvais sens en partant d’internet pour arriver aux objets, et qui est également trop limitatif car le vrai enjeu n’est pas tant d’être sur internet que d’être relié à d’autres objets. Les objets connectés existent depuis longtemps, […]
15/08/2018 Attaque et défense
   Concepts, Cyberguerre, Menaces, Réflexions  
  La défense semble une posture normale pour tout entité, vivante ou organisationnelle. Il va de soi qu’un Etat va chercher à se défendre et à défendre ses concitoyens, tout comme n’importe quel individu. L’attaque dépend d’autres facteurs, et cette capacité a longtemps eu une place à part en informatique, car cela a toujours été considéré comme l’apanage […]
15/08/2018 Android
  Application, gestion des fichiers Just like files that you save on the device’s internal storage, Android stores your database in private disk space that’s associated application. Your data is secure, because by default this area is not accessible to other applications. Cependant, si on ne suit pas les bonnes pratiques, notamment lors du stockage de données […]
05/08/2018 Darkweb
  La récente salve de francisation de termes informatiques n’a pas fait que des heureux. Plusieurs voix se sont élevées contre l’institutionnalisation de fait de termes abscons, comme darkweb et deepweb dont l’existence même prête à polémique. Autant un portail de messagerie (« webmail ») est un concept clair pour tous, autant les notions d’internet clandestin (« darkweb ») ou […]
31/07/2018 GnuPG
  GnuPG est un système de chiffrement (ou cryptosystème) indépendant des grands acteurs de la sécurité et de la surveillance (lesquels se confondent parfois). Il se base sur l’utilisation de clés de chiffrement asymétriques, ce qui permet de les échanger plus facilement. Principes A quoi ça sert un crypto-machin ? Ça sert à masquer vos très […]
20/07/2018 Scan SSL
  La confiance n’exclut pas le contrôle, dit-on souvent. Il existe d’excellents outils pour évaluer la sécurité et la robustesse d’un serveur proposant une communication SSL. Pour ma part, je recommande SSLScan, dont il existe plusieurs variantes. En fouillant un peu, celle qui me semble la plus pertinente est celle de rbsec, car elle est à […]
20/07/2018 Kubernetes
  Kubernetes, ou k8s pour les intimes, est un orchestrateur. On pourrait dire parmi tant d’autres, vus qu’ils fleurissent pour nous aider à tout faire, mais pas tant que ça : il tend de facto à devenir un standard, ou tout du moins l’outil le plus utilisé dans son genre. Concepts C’est quoi son genre ? […]
19/07/2018 Cryptologie
  La cryptologie est la science de l’écriture secrète, comprenant la cryptographie (technique de chiffrement de message) et la cryptanalyse (technique de déchiffrement d’un message). Principes Stéganographie La stéganographie est la dissimulation du message sur un support d’apparence anodine (une tablette gravée puis recouverte de cire, le crâne rasé du messager qui laissera ensuite repousser ses cheveux, etc.). […]