Catégorie : Concepts
La catégorie concepts regroupe les généralités utiles en sécurité des SI et parfois d’autres plus globales à l’informatique, mais ayant un sens ou un intérêt particuliers en SSI.
21/01/2020 | Zero trust |
Ne faites confiance à personne ! Je l’ai souvent entendu dans la vie, et c’est la première chose qu’on apprend quand on fait de la sécurité informatique. Le concept (marketing ou pas) de Zero Trust a vite émergé depuis que la SSI est devenue industrielle, mais c’est quoi ? | |
07/01/2020 | Vocabulaire (autre) |
HIPS/HIDS Vault credential stuffing https://auth0.com/blog/what-is-credential-stuffing backdoor Faille de sécurité Vulnérabilité Enregistreur de frappe Attaque par rebond (lien ?) Chevaux de Troie Élévation de privilèges | |
07/01/2020 | Erreurs de configuration |
Avec la délégation de son SI (communément appelée cloud computing), on délègue aussi son exploitation, mais partiellement ! Une partie de sa gestion relève aussi du client, ce qui donne lieu à la récurrence d’une menace (qui existait déjà) : l’erreur de configuration. | |
02/01/2020 | Le cas du New York Times |
Édifiant article ne faisant que confirmer mes craintes sur l’impossible anonymisation de nos vies privées. | |
04/12/2019 | RCS |
RCS est l’acronyme pour Rich Communication Services, le remplaçant du SMS. La principale différence est qu’au lieu de passer par le canal « voix » (GSM), il passe par le réseau IP. | |
17/11/2019 | L’avenir du mot de passe |
Le mot de passe est mort. Vive le mot de passe. On nous vend la mort du mot de passe un peu partout. Il faut dire qu’on ne peut plus rien vendre concernant le mot de passe, vu que tout a été dit ou fait sur le sujet. Donc il faut trouver un autre os […] | |
29/10/2019 | Biométrie : les attaques |
https://www.engadget.com/gedmatch-cyber-attack-exposed-dna-police-190130728.html Attaques sur l’enclave Les données biométriques sont moins exposées lorsqu’elles restent sous le contrôle de utilisateurs, comme c’est normalement le cas dans l’utilisation des smartphones. Hélas, même le passage par le TEE (Trusted Execution Environment) réserve parfois de surprise, comme sur le OnePlus 7 Pro. Source : https://www.securityweek.com/fingerprint-exposing-flaw-oneplus-7-phone-highlights-tee-issues | |
26/07/2019 | Cybersecurity Act |
Halte au sketch ! L’Union Européenne s’organise pour lutter contre les cyberattaques extérieures (ce qui sous-entend au passage que nous sommes tous amis au sein de l’UE et que personne n’attaquera son voisin). | |
17/05/2019 | Biométrie inviolable |
Une startup (et Dieu sait que j’aime les startup) a proposé récemment, via Kickstarter, une clé USB de stockage sécurisée inviolable ! Suite à quoi les experts en sécurité exhortent le marketing à ne plus jamais utiliser le terme inviolable. | |
17/05/2019 | Reconnaissance faciale |
Dans la biométrie, la reconnaissance faciale a une place à part car elle est la plus facilement disponible pour tout acteur (étatique ou privé), sans aucune action préalable de l’utilisateur. | |
06/05/2019 | Cryptographie en Python |
Python est un langage pratique pour différents usages, y compris la cryptographie. Voici mon aide-mémoire sur le sujet. Installation Il faut jouer du pip. Le module le plus important est cryptography ! Voir aussi Mon repository GitHub | |
15/04/2019 | TOTP |
TOTP signifie Time-Based One-Time Password Algorithm. Bien. Les choses sont posées. | |
22/03/2019 | Fake News |
Moi qui suit un ardent défenseur de la langue française, je cède ici car l’expression est trop répandue pour ne pas la reprendre. Et surtout le terme fausses informations n’a pas exactement la même signification ni la même connotation complotiste. Comment ça se passe Définition Commençons par tenter de définir ce que c’est. A mon […] | |
07/03/2019 | Formations |
Voici une page spéciale avec différentes sources de sensibilisation et d’information : https://secnumacademie.gouv.fr/ https://www.skillset.com/ pour évaluer ses connaissances, en vue d’une certification par exemple. https://www.skillset.com/ https://www.information-security.fr/ https://www.root-me.org/ https://podcloud.fr/podcast/comptoir-secu (podcasts) https://www.reddit.com/r/netsec https://www.zenk-security.com/ Outils http://bugtraq-team.com/ https://www.kali.org/ Sites, podcasts, etc. https://www.techrepublic.com/article/kaspersky-offers-free-cybersecurity-training-to-assist-teams-working-remotely/ Sensibilisation pour les enfants https://www.securitytuesday.com/wp-content/uploads/2018/10/ISSA.Cahier.SecNum777.pdf https://github.com/wavestone-cdt/1-2-3-Cyber RGPD https://atelier-rgpd.cnil.fr/ (MOOC de la CNIL) | |
07/03/2019 | Datalake |
On peut traduire par tas de données, même s’il n’y a pas l’analogie aquatique. Quoi que tas de données serait mieux approprié pour big data. Parce que lac de données c’est bôf. Bref. Si j’ai bien compris dans ce monde merveilleux de la grosse donnée, un datalake est un entrepôt de données, mais dont la grande force est de […] | |
22/02/2019 | Fonctions de hachage |
Les fonctions de hachage sont des fonctions particulières très utilisées dans le cadre de la sécurité informatique, notamment dans le domaine de la cryptographie et des certificats numériques. Elles permettent d’obtenir une empreinte, également appelée condensat (« hash »), à partir d’un message ou de tout document numérique. Il existe un nombre assez restreint de fonctions de […] | |
19/02/2019 | Cloud (pannes) |
Facile mais instructif : quelques pannes notables sur les grands fournisseurs de Cloud (hors failles de sécurité) Amazon Web Services mars 2017 : une panne sur S3 (Virginie) avec plusieurs services affectés . La cause est officiellement… une erreur de frappe ! mars 2018 : problèmes réseau (Virgine) , ayant pour origine une panne électrique, avec […] | |
19/02/2019 | Chiffrement (outils) |
Encrypto GPG BitLocker TrueCrypt LUKS Les meilleures solutions de chiffrement, pour protéger les données en entreprise (ZDNet) | |
19/02/2019 | Calcul multipartite sécurisé |
Le calcul multipartite sécurisé est un problème où chacune des parties veut effectuer une opération commune sur des données qui doivent rester privées (aucun des participants ne connaît les données de l’autres) et exactes (non compromises). Il faut aussi qu’un tiers extérieur (attaquant) ne puisse pas accéder lui non plus aux données privées, ni les falsifier. Participons […] | |
19/02/2019 | Lean six sigma |
Comme tout bon français qui se respecte, j’adore râler. Mais à l’inverse des complotistes, j’aime me documenter et argumenter mes haines ordinaires. Sources d’information https://www.piloter.org/six-sigma/lean-six-sigma.htm | |
18/02/2019 | Big brother |
Le thème n’est pas nouveau, mais entre les progrès techniques (technologiques), l’avènement du big data et autres joyeusetés, nous ne sommes pas près d’avoir la paix quant aux informations personnelles circulant en dehors de notre contrôle. En outre, les petits ruisseaux font les grandes rivières : avec la prolifération des données que nous produisons, il devient possible par inférence ou corrélation de […] | |
18/02/2019 | Bastion |
Le bastionnage (pas sûr que le terme existe) consiste à créer un bastion pour accéder à vos ressources (informatiques). On les utiliser sur des ressources sensibles par leur positionnement (ex : production), par leur nature (ex : outil de gestion de droits), leur contenu, etc. Ainsi, personne ne peut (en théorie) accéder à vos ressources sans montrer patte blanche et sans […] | |
18/02/2019 | Authentification par assertion |
La technique de l’authentification basée sur des assertions (ou « claims-based identity ») est un concept extrêmement intéressant sur lequel est basé SAML. Un des principaux attraits de cette technologie est de permettre la fédération d’identité. Principes Très concrètement, un système de jetons de sécurité (STS an anglais, pour Security Token Service) permet la gestion de l’identité d’un utilisateur (et […] | |
18/02/2019 | Auth0 |
Auth0 https://thehackernews.com/2018/04/auth0-authentication-bypass.html https://auth0.com/blog/managing-and-mitigating-security-vulnerabilities-at-auth0/ | |
15/02/2019 | Atombombing |
L’atombombing est une technique permettant l’injection de code de façon très furtive. http://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions |