Catégorie : Concepts
La catégorie concepts regroupe les généralités utiles en sécurité des SI et parfois d’autres plus globales à l’informatique, mais ayant un sens ou un intérêt particuliers en SSI.
| 05/08/2018 | Darkweb |
| La récente salve de francisation de termes informatiques n’a pas fait que des heureux. Plusieurs voix se sont élevées contre l’institutionnalisation de fait de termes abscons, comme darkweb et deepweb dont l’existence même prête à polémique. Autant un portail de messagerie (« webmail ») est un concept clair pour tous, autant les notions d’internet clandestin (« darkweb ») ou […] | |
| 31/07/2018 | GnuPG |
| GnuPG est un système de chiffrement (ou cryptosystème) indépendant des grands acteurs de la sécurité et de la surveillance (lesquels se confondent parfois). Il se base sur l’utilisation de clés de chiffrement asymétriques, ce qui permet de les échanger plus facilement. Principes A quoi ça sert un crypto-machin ? Ça sert à masquer vos très […] | |
| 20/07/2018 | Scan SSL |
| La confiance n’exclut pas le contrôle, dit-on souvent. Il existe d’excellents outils pour évaluer la sécurité et la robustesse d’un serveur proposant une communication SSL. Pour ma part, je recommande SSLScan, dont il existe plusieurs variantes. En fouillant un peu, celle qui me semble la plus pertinente est celle de rbsec, car elle est à […] | |
| 20/07/2018 | Kubernetes |
| Kubernetes, ou k8s pour les intimes, est un orchestrateur. On pourrait dire parmi tant d’autres, vus qu’ils fleurissent pour nous aider à tout faire, mais pas tant que ça : il tend de facto à devenir un standard, ou tout du moins l’outil le plus utilisé dans son genre. Concepts C’est quoi son genre ? […] | |
| 19/07/2018 | Cryptologie |
| La cryptologie est la science de l’écriture secrète, comprenant la cryptographie (technique de chiffrement de message) et la cryptanalyse (technique de déchiffrement d’un message). Principes Stéganographie La stéganographie est la dissimulation du message sur un support d’apparence anodine (une tablette gravée puis recouverte de cire, le crâne rasé du messager qui laissera ensuite repousser ses cheveux, etc.). […] | |
| 02/07/2018 | Heartbleed |
| Heartbleed est le nom donné à une faille dans une implémentation d’openSSL. OpenSSL : c’est quoi ? Avant toute chose, il faut savoir que SSL (dont les versions récentes s’appellent TLS) est un protocole qui permet de chiffrer des communications sur internet et d’authentifier une machine (un serveur web par exemple). Chiffrer, c’est rendre illisible un message […] | |
| 26/06/2018 | Biométrie et GDPR |
| Un mois à peine après l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD en français, GDPR en anglais), voilà qu’arrive une première action concernant la collecte de données biométriques, en l’occurrence vocales. Cela me réjouit vu ma position sur la biométrie, bien que je pense que cela n’aboutira à pas grand-chose. Le contexte Le […] | |
| 21/06/2018 | Les 10 lois immuables de la sécurité |
| En sécurité informatique, il y a des vérités qu’on retrouve régulièrement et qu’on peut généraliser facilement. Microsoft en a énoncé une dizaine, très intéressantes, et sans être totalement absolues, indiscutables, ou complètes, elles contiennent de très nombreux points de repères et principes valables indépendamment de toute technologie. Si un méchant peut vous convaincre de faire […] | |
| 21/06/2018 | Filoutage |
| Une page spéciale est consacrée au phishing (ou en français « hameçonnage », mais c’est pas très joli). Il s’agit d’une menace classique mais très répandue. Il s’agit d’un procédé dont le but est de vous faire avouer vos codes secrets (mot de passe) ou vos coordonnées bancaires en se faisant passer pour un mail officiel. Principe […] | |
| 20/06/2018 | Rootkit |
| Un rootkit (en français : « outil de dissimulation d’activité ») est un type de programme (ou d’ensemble de programmes ou d’objets exécutables) dont le but est d’obtenir et de maintenir un accès frauduleux (ou non autorisé) aux ressources d’une machine, de la manière la plus furtive et indétectable possible. Le terme peut désigner à […] | |
| 19/06/2018 | A qui la faute ? |
| Bonne question ! L‘attribution d’une attaque est un des problèmes récurrent et quasi-insoluble auquel est confronté la communauté de la sécurité informatique. Il va de soi qu’on souhaite toujours savoir qui nous attaque, mais à l’inverse des attaques militaires (quoique…), il est en pratique très difficile de savoir d’où vient la menace. | |
| 19/05/2018 | Conteneur |
| Il n’y a pas que Docker, dans la vie. Il y a aussi CoreOS rkt, et gVisor de Google. | |
| 19/05/2018 | ITIL |
| ITIL fait partie de ces bonnes pratiques qui donnent bonne conscience mais également beaucoup d’activité (et donc de revenus) à beaucoup de sociétés de conseil et de formation. ITIL signifie Information Technology Infrastructure Library et est une marque déposée (par Axelos). Pourquoi je n’aime pas ITIL Sur le principe, ITIL est une bonne chose : il doit permettre de gérer convenablement […] | |
| 28/04/2018 | Piratage matériel |
| L’informatique, c’est aussi physique, comme je le dis quelque part sur ce site. On pense souvent que pirater un système informatique revient à trouver le mot de passe ou la formule magique qui vous permet de rentrer dans le système ou d’en prendre le contrôle. Et qu’il s’agit donc d’une action logique et immatérielle. Or […] | |
| 28/04/2018 | Cryptomonnaie |
| Les cryptomonnaies ne sont pas des monnaies, en tout cas pas au sens légal du terme. Il s’agit de systèmes d’échange, basé sur des blockchains, On parle aussi de monnaies virtuelles. Fonctionnement Le fonctionnement est assez simple : un utilisateur détient un ou plusieurs portefeuilles, pour une cryptomonnaie donnée, et chaque portefeuille détient un certain nombre […] | |
| 19/04/2018 | Cloud |
| Le cloud computing est avant tout un terme marketing qui, comme souvent en informatique, ne fait que remettre en avant des notions existantes (mais qui évoluent au cours du temps, les rendant tantôt plus accessibles, tantôt plus pratiques que d’autres). Brut de fonderie, je dirais que ce qu’on appelle couramment cloud consiste principalement à faire tourner son […] | |
| 11/04/2018 | IAM |
| Quelques définitions Afin d’avoir les idées claires, voici quelques définitions aidant à appréhender la structuration d’une gestion de droits informatiques. Il est également utile d’être à l’aise avec la notion de DICP. Un rôle est un ensemble d’habilitations nécessaires à un type d’utilisation d’une ressource. Un rôle applicatif est un rôle propre à une (et une seule) application. Un profil est un ensemble […] | |
| 06/04/2018 | Hacker |
| Un hacker n’est pas un pirate. D’ailleurs la grande mode des hackathons ne cherche pas à faire la promotion des pirates mais de la programmation (collaborative généralement) ou de la bidouille dans n’importe quel domaine. La bonne traduction de hack devrait être bidouille : un hacker n’est rien d’autre qu’un bidouilleur. Le bon et le […] | |
| 05/04/2018 | Serveur FTP |
| Pour mettre en œuvre un serveur FTP, il faut penser à quelques éléments de sécurité. Par exemple : Cloisonner les utilisateurs Interdire les shells Contrôler la provenance des requêtes Pure-FTPd Il existe plusieurs serveurs FTP possibles. J’ai choisi pure-ftpd qui m’a l’air léger (~800 ko) et robuste. Pour créer un utilisateur sous Linux : Créer […] | |
| 04/04/2018 | DNS |
| Le protocole DNS permet de connaître l’adresse réelle d’un serveur web. Plus précisément cela transforme le nom de domaine inclus dans une URL (adresse symbolique du genre https://secu.si) en adresse technique (adresse IP). Pour cela, de très nombreux serveurs se répartissent la tâche sur toute la planète web. Pour des raisons d’efficacité, nous nous retrouvons […] | |
| 27/03/2018 | Tor Onion Routing |
| Tor est l’implémentation d’un réseau en oignon. Une des caractéristiques principales de ce réseau est d’avoir une typologie de réseau maillée (chaque hôte est connecté pair à pair, sans hiérarchie), dont l’objet principal est de préserver au maximum l’anonymat des utilisateurs. Génèse Étonnamment, le projet a été initié par… l’armée américaine (l’US Naval Research Laboratory, […] | |
| 25/03/2018 | Poodle |
| Poodle est le nom donné à une faille inhérente au protocole SSL v3. Désactivation de SSLv2 et SSLv3 sur Plesk Sur Plesk, il est possible de désactiver SSL v2 et v3 de façon définitive, grâce à un paramètre disablesslv3 qu’il faut positionner à true. J’avoue avoir eu un peu de mal à trouver comment faire, […] | |
| 25/03/2018 | SHA-1 |
| SHA-1 est le nom d’un algorithme de hachage très utilisé en cryptographie. Qu’est-ce qui se passe avec SHA-1 Beaucoup de bruits courent en 2014-2015 au sujet de la vulnérabilité potentielle de cet algorithme de hachage. Il est très fortement utilisé dans toute l’industrie informatique, notamment dans les certificats numériques (mais pas uniquement). Or des travaux […] | |
| 25/03/2018 | Freak |
| Une de plus ! Freak est une faille quasiment de conception de SSL. Une fonctionnalité, diront certains. Dans les années 1990, l’administration américaine s’inquiétait de la prolifération des systèmes de chiffrement, et craignait de ne plus en avoir le contrôle (comprendre : ne plus pouvoir déchiffrer les messages codés, en cas de besoin). Elle a […] | |
| 25/03/2018 | Logjam |
| Logjam est une nouvelle faille dans le désormais périlleux chemin de la cryptographie, touchant une étape de négociation lors d’une connexion [[TLS|SSL/TLS]]. Même si, comme Freak, son exploitation n’est pas forcément facile, cela va imposer à moyen terme l’augmentation de la longueur de certaines clés, ou l’utilisation de certains algorithmes à la place de certains […] |