Catégorie : Articles courts
Articles d’actualités, faits marquants, ou documents utiles sur lesquels il n’est pas indispensable de s’appesantir.
| 31/05/2023 | Due care, due diligence |
| J’ai toujours eu du mal avec ces deux notions. D’origine juridique, elles s’appliquent également en sécurité informatique. En sécurité informatique, les concepts de « due care » et « due diligence » peuvent être appliqués de la manière suivante : | |
| 03/03/2023 | DORA |
| Explorons un peu DORA (facile). Ce règlement européen (DORA pour Digital Operational Resilience Act) vient d’être voté dans sa version définitive fin 2022, et il porte plus sur des sujets de sûreté que de sécurité, mais en informatique ces notions sont fortement liées. | |
| 30/01/2023 | KeePass : word ou oire ? |
| Mauvaise période pour les outils de sécurité : KeePass est à son tour sujet à un problème de sécurité (une vulnérabilité, dirons certains). On peut discuter longuement de la responsabilité du problème, mais il n’en reste pas moins qu’il est nécessaire de se sentir en confiance quand on utilise un gestionnaire de mots de passe, […] | |
| 15/02/2022 | Matrice RACI |
| RACI est un l’acronyme en anglais de Responsible, Accountable, Consulted, Informed. Si l’on devait traduire la matrice RACI en français cela donnerait : Source : Matrice RACI : définition et exemples pour définir les rôles et responsabilités – Cadremploi | |
| 23/12/2020 | Ransomware Task Force |
| Ça pète. Avec un nom pareil, les ransomwares n’ont qu’à bien se tenir. Trêve de plaisanterie, cette initiative est louable, et montre bien les préoccupations dans ces années 20 : autrefois on luttait joint contre les botnets, maintenant il faut ajouter une corde à l’arc de la SSI : la lutte contre le ransomware. | |
| 14/05/2020 | BGP |
| BGP est un protocole méconnu mais structurant d’internet, Facebook ne dira pas le contraire (même si le DNS a aussi son rôle à jouer). « La meilleure définition est que c’est le protocole de routage qui fait fonctionner Internet » selon LeMagIT. Rien de moins. Et pourtant il s’appuie sur des mécanismes anciens qui datent du temps […] | |
| 10/02/2020 | Prix de l’innovation |
| Une idée géniale : si ton système n’a pas de faille de sécurité, alors introduis-en une ! Des attaquants ont profité d’un driver de Gigabyte, signé et légitime mais qui présentait une vulnérabilité non corrigée, pour lancer des attaques. | |
| 10/09/2019 | Human error |
| « I’m afraid I can’t do that. » On peut trouver ça inquiétant, mais en y regardant de plus près, peut-être pas : 99% des attaques ont besoin d’une action d’un utilisateur pour aboutir. | |
| 15/05/2019 | ZombieLoad, MDS, etc. |
| Quelques semaines après SPOILER, une nouvelle attaque dans la famille des Spectre & Meltdown, avec son site dédié comme de bien entendu. | |
| 14/05/2019 | Trop triste réalité |
| J’en voulais aux Shadow Brokers d’avoir publié certains outils de la NSA, rendant ainsi facile l’attaque par des personnes ignares et non qualifiées, telles que les Anonymous. Trop triste : dans la série « les espions espionnent », il s’avère que des pirates chinois ont utilisé ces outils… un an plus tôt ! | |
| 14/05/2019 | Développement |
| Plutôt que de réinventer la roue (et mal), voici le guide de la CNIL à destination des développeurs. https://www.cnil.fr/fr/kit-developpeur | |
| 03/05/2019 | Attaques sur la mémoire RAM |
| Rien ne va plus dans le monde de l’informatique : on s’attaque à la mémoire sans vergogne. Exemples : Martèlement mémoire (cf Wikipédia en français mais surtout en anglais), où on arrive physiquement à modifier de façon déterministe (= voulue et contrôlée) les bits voisins en RAM. Flip Feng Shui (cf silicon.fr), qui est un […] | |
| 07/03/2019 | Spoiler |
| SPOILER est une nouvelle variante de Spectre et Meltdown, touchant donc le matériel. Ce genre de variante est attendue, depuis la publication des failles Spectre et Meltdown. Source https://www.nextinpact.com/brief/spoiler—une-nouvelle-faille-sur-les-processeurs-intel–depuis-l-architecture-core-7991.htm | |
| 26/06/2018 | Biométrie et GDPR |
| Un mois à peine après l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD en français, GDPR en anglais), voilà qu’arrive une première action concernant la collecte de données biométriques, en l’occurrence vocales. Cela me réjouit vu ma position sur la biométrie, bien que je pense que cela n’aboutira à pas grand-chose. Le contexte Le […] |