feeds2read
  Home  RSS Directory  F.A.Q  Suggest A Feed  Try Custom Feed  Sonneries Portable  
Latest Flows from this sub-category:
灰熊网

Computer Security

Internet Security and Programming

Blank89 - Technology Exposed

Talk to a Real Geek Podcast

RegCure Blog

Shon Harris' CISSP Blog

Spyware, Adware News

Information internet computer network security

BackTrack Box

random selection from this sub-category:
MISC Magazine - General Infos in English

RegCure Blog

Arovax SmartHide News

SecurityFocus News

Anti Spyware 101

The Register - Security

FrSIRT Security Advisories

BeSuch von nebenan

Packet Storm Security Headlines

MISC Magazin jetzt in deutsch
Rss Directory > Computer > Security > Magazine MISC - Edition française


 
  • (CERTA) Les bons réflexes en cas d'intrusion sur un système d'information

http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html

  • (ANTIROOTKIT) Produits antirootkit

http://www.antirootkit.com/software/index.htm

  • (VT) Virus Total

http://www.virustotal.com

  • (AN) Anubis

http://analysis.seclab.tuwien.ac.at

  • (REVEALER) Rootkit Revealer

http://www.microsoft.com/technet/sysinternals/Utilities/RootkitRevealer.html

  • (RKU) Rootkit UnHooker

http://forum.sysinternals.com/uploads/20071210_182632_rku37300509.rar

  • (PE) Process Explorer

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

  • (AR) Autoruns

http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

  • (UL) Unlocker

http://ccollomb.free.fr/unlocker/

  • (NMF) NotMyFault

http://technet.microsoft.com/en-us/sysinternals/bb963901.aspx

  • (TCPV) TcpView

http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

  • (LDLL) ListDll

http://technet.microsoft.com/en-us/sysinternals/bb896656.aspx

  • (CYG) Outils grep de cygwin

http://www.cygwin.com/

  • (PS) Pstools

http://technet.microsoft.com/en-us/sysinternals/bb896649.aspx

  • |1| FILIOL (E.), « La sécurité des communications vocales (1) : le codage de la voix », MISC 35 – Le journal de la sécurité informatique, janvier 2008.
  • |2| FILIOL (E.), « La sécurité des communications vocales (2) : techniques analogiques », MISC 37 – Le journal de la sécurité informatique, mai 2008.
  • |3| ROSSI (Mario), Audio, Presses Polytechniques et Universitaires Romandes, Lausanne, ISBN 978-2-88074-653-7. Ouvrage nominé pour le Prix international francophone Roberval 2007.
  • |4| POHLMAN (Ken C.), Principles of Digital Audio, 2nde éd. Sams/Prentice Hall Computer Publishing, 1985, ISBN 0-672-22634-0.
  • |5| WAGGENER (William N.), Pulse Code Modulation Systems Design, Artech House, 1999, ISBN 0-89006-776-7.
  • |6| ROSIE (Aeneas M.), Information and Communication Theory, 2nde éd. Van Nostrand Reinhold, Londres,1973, ISBN 0-44-27840-90.
  • |7| FILIOL (E.), « Le chiffrement par flot », MISC 16 – Le journal de la sécurité informatique, novembre 2004.
  • |8| YULIANG (Goa) et CHIRUI (Zhong), « Système pratique de brouillage vocal analogique » (traduit du chinois), Actes de la conférence Chinacrypt’92 (en chinois), pp. 34-39, 1992. Les deux auteurs travaillaient à l’Air Force Radar College à Wuhan, Chine.

Pour feuilleter le magazine dès maintenant, c'est ici.

Où trouver MISC près de chez vous (Entrez un code postal)

Le magazine est disponible chez votre marchand de journaux et sur notre site marchand.

Témoignage

  • Évaluation de l’antivirus Dr Web : l’antivirus qui venait du froid

Vulnérabilité

  • La faille OpenSSL/Debian

Infowar

  • La puissance militaire de la République Populaire de Chine : rapport 2008 du département de la Défense des États-Unis

DOSSIER : Code malicieux : quoi de neuf ?

  • Les changements climatiques et les logiciels malicieux
  • Analyse du phénomène ransomware
  • Les nouveaux malwares de document : analyse de la menace virale dans les documents PDF

Système

  • Détection de malware par analyse système

Science

  • La sécurité des communications vocales (3) : techniques numériques

Mea culpa :

C’est « amusant » de voir la confiance accordée à la cryptographie. Je me souviens encore d’une époque proche de la préhistoire en temps informatique (comprendre l’an 2000) où des responsables de banque criaient sur tous les toits et autres revues spécialisées combien leur site en ligne était sécurisé, puisqu’il utilisait de la cryptographie. Bien sûr, toute personne qui a réalisé ne serait-ce qu’un ersatz de pentest se rend bien compte de l’absurdité, pour ne pas dire de la bêtise, d’une telle assertion : une faille PHP include() ou une injection SQL, ça reste toujours des failles, que le canal soit chiffré et authentifié ou non. Bref, ça n’empêche pas de se faire rooter. À la décharge de ces hauts responsables et autres directeurs, ils ne sont pas les seuls à commettre des erreurs. La faille à la mode est due à la spirale infernale, à savoir Debian. Un article du présent numéro détaille les raisons de ce qui m’apparaît comme une des plus grosses failles jamais publiées. Pourquoi une des plus grosses ? Les conséquences sont simplement énormes. En gros, tout ce qui emploie de la cryptographie construite sur la version Debian d’OpenSSL depuis mi-2006 est à mettre à la poubelle. De manière évidente, ça signifie les clés SSH, les certificats SSL (pour se connecter à sa banque) ou encore certains VPN. S’il n’est pas toujours simple de mettre à jour tout ça, ça reste faisable. Non, le plus gros problème est ailleurs (comme la vérité).

Imaginons, vous comprenez que tout ceci est totalement fictif bien sûr, un endroit regroupant environ 400 personnes, plutôt sensibilisées à la sécurité. Au hasard, ça correspond à un amphi pour une conférence de sécurité (qui a dit SSTIC ? ;-) Imaginons toujours que des personnes aient voulu superviser le trafic, et qu’elles l’aient donc enregistré avec leur sniffer préféré. Eh bien, la bonne nouvelle, c’est qu’aujourd’hui elles pourraient déchiffrer tout ce trafic ! Sessions SSH, IMAPS ou POPS, connexions SSL vers des sites web : tout cela est déchiffrable a posteriori, sans demander une puissance de calcul incroyable (n’importe qui peut le faire chez lui). J’ai bien dit que c’était fictif, hein ? Enfin, j’espère... ;-) Plus drôle (ou pas), on peut se demander qui s’est rendu compte de cette faiblesse pendant ces deux ans, et qui en a donc profité. Au-delà de ça, il n’est pas rare de trouver des affaiblissements dans les fonctions cryptographiques, que ce soit volontaire ou non. En effet, il est techniquement simple d’introduire des limitations (invisibles) dans toutes les protections cryptographiques, et ce, que ce soit au niveau des algorithmes mathématiques (les fameuses trappes) ou au niveau de leur implémentation. Des exemples ? Hans Bühler, employé de la société suisse Crypto-AG, fut retenu en otage en Iran en 1995. Certains hommes politiques avaient parlé dans les médias, révélant des informations qui permirent au gouvernement iranien de comprendre que les matériels de communication (servant pour les militaires, la diplomatie, etc.) achetés à Crytpo-AG étaient piégés. Ou encore Lotus qui affaiblit volontairement – et le reconnaît ensuite publiquement – un générateur aléatoire dans la version de Notes livrée au gouvernement suédois en 1997. Et il en existe de nombreux autres, voire on déterre des vestiges du passé 1, résultats d’une époque où la cryptographie était considérée comme une arme chez nous... De ces quelques exemples, faut-il conclure que cette pratique est systématique ? Et si d’autres le font, qu’en est-il des entreprises françaises ?

J’en profite au passage pour corriger une erreur que j’ai commise dans un article paru par ailleurs sur ce thème. En parlant de Vista, j’attribue à tort une déclaration à B. Ourghanlian (Chief Security Officer de Microsoft France depuis 2001) stipulant que Microsoft aurait installé, à la demande du gouvernement, une clé de recouvrement. Erreur et imprécision de ma part, toutes mes excuses ! Une telle clé générique n’existe a priori pas, mais cette fonctionnalité est présente pour un annuaire Active Directory configuré pour cela : le séquestre des clés utilisateurs permet alors d’accéder à leurs données chiffrées. Plus généralement, comment prouver qu’un algorithme ne possède pas de trappe. C’est hélas impossible. On se retrouve confronté au paradoxe classique de la sécurité. D’un côté, on aimerait prouver tout un tas de choses pour se rassurer. De l’autre, on en est incapable et on en revient toujours à une question de confiance, et à qui/quoi on l’accorde.

Qu’il s’agisse d’erreurs volontaires ou non, de fonctionnalités, on sent bien que les conséquences sont énormes, et pas uniquement sur le plan technique. Les États sont, quant à eux, confrontés à un choix politique complexe entre protection des citoyens et autorisation d’outils susceptibles de nuire à l’intégrité de nos démocraties. Et si ces trappes étaient leur (bonne) réponse ? Du moins tant qu’elles ne sont pas découvertes par ailleurs : et là, c’est le drame... Bonnes vacances, on se retrouve à la rentrée, avec une surprise. Fred Raynal

1 http://expertmiami.blogspot.com/2008/06/francaises-francais-time-to-bend-over.html

Pour feuilleter le magazine dès maintenant, c'est ici.

Où trouver MISC près de chez vous (Entrez un code postal)

Le magazine est disponible chez votre marchand de journaux et sur notre site marchand.

Vulnérabilité

  • Infection sur la toile

Réseau

  • Répartition de charges (load balancing) par la pratique

Cryptographie

  • Cold Attacks

Dossier
(Dénis de service : vos serveurs en ligne de mire)

  • Les DoS, c'est pas que dans la tête
  • DoS, DNS et botnets... un mélange explosif
  • DoS contre une plate-forme de voix sur IP
  • Évaluez sa résistance aux DoS

Système

  • Les technologies par courants porteurs (CPL) sont-elles vraiment sécurisées ?

Fiche technique

  • À la découverte de ModSecurity 2

Science

  • Interceptions des communications vocales : techniques analogiques

Programmation

  • Développement d'une backdoor pour attaque ciblée

Réquisitoire de la haine ordinaire à l’usage des rustres et des malpolis

Français, Françaises ! Belges, Belges ! Mesdames, messieurs les jurés ! Public chéri, mon amour. Bonjour ma colère, salut ma hargne, et mon courroux : coucou !
Récemment, plusieurs personnes m’ont posé la même question : comment on fait MISC ? Et d’abord, d’où ça vient, MISC ? Pour répondre à la seconde, à tout seigneur, tout honneur, ce handicap patronymique a été proposé par le rédacteur en chef de GNU/Linux Magazine, Denis Bodor. Le titre n’est pas évident à porter, mais il ne faut pas se moquer des noms, comme le répète souvent Monsieur Paul, le sympathique proxénète grec. Vous croyez que ça l’amuse qu’on l’appelle le maquereau Paul, à Athènes ?
Pour la première question, que les choses soient dites immédiatement : il s’agit d’un travail d’équipe. D’abord, on élabore le plan du magazine : le thème du dossier, les articles autour, etc. Là, soit une personne me propose une idée, soit ça germe dans mon cerveau. Quoi qu’il en soit, ça tourne régulièrement au flagrant délire, heureusement non passible du tribunal et encore moins de publication.
Je saisis la perche que je m’auto-tends d’ailleurs pour remercier chaleureusement Renaud Bidou pour la réalisation de ce dossier, et tous ses coups de main antérieurs. Croyez-moi, seule la virulence de mon hétérosexualité m’a empêché à ce jour de le demander en mariage. À la place, je l’invite à boire. Le problème, c’est que je lui dois déjà tellement de verres (en fait, ça se compte en fûts), donc, cette fois, il devra se contenter de ma reconnaissance, ce qui ne sera pas plus mal pour sa cirrhose et le trou de la sécu.
La vraie course s’engage alors : tels des chevaux lancés au galop, auteurs et relecteurs échangent des messages pour améliorer les articles autant que possible. Collaboration simple et aisée, pensez-vous ? Nenni, disent les chevaux (car le cheval n’hennit). Ces palabres durent un certain temps. Pour signaler que les articles arrivent à maturation, on utilise un mérou, qui indique que c’est cuit quand ça explose, comme pour le chat Grand-Veneur : quand le chat pète, le mérou bout. Et quand le chat bout, le mérou pète.
Commence alors le travail, que dis-je, le labeur, de la chasse à la faute d’orthographe. Dominique, spécialiste ès lettres, s’arme de patience et d’un dictionnaire à la recherche de la moindre erreur*. Je ne conseille pas plus de compter sur sa clémence que de sauter ma Josiane. Dans un cas comme dans l’autre, vous seriez déçu : sa clémence a ses règles .... et Josiane a des limites.
Tout ceci se passe sous l’œil bienveillant de Véro pour l’organisation, et la main artistique de Kathrin pour la mise en page. La bigamie, c’est quand on a deux femmes, la monotonie, c’est quand on n’en a qu’une, alors autant avouer qu’on ne s’ennuie pas lors de ces derniers réglages avant impression et mise en vente !
Bref, MISC, il y a ceux qui en parlent, et ceux qui le font, à partir de quoi il m’apparaît urgent de me taire.
Vous l’aurez compris, c’est un gros travail d’équipe sur 2-3 mois pour un numéro complet. Et pour réussir en sécurité, le même genre d’association s’avère bien souvent nécessaire. Alors, quand je lis ou j’entends du corporatisme basique, de la ségrégation « universitaires versus industriels » ou du « c’est moi qui l’ai fait en premier », ça m’agace. Oui, l’courroux m’noue, oui, ma voix s’éraille, oui, l’ire m’égare, oui, la colère m’étreint, de 8h47 exactement.
Outre-Atlantique, je vois des recherches académiques sur la rémanence de la mémoire 1. Elles conduisent une entreprise réalisant des tests d’intrusion (Intelguardians) à collaborer ensuite avec l’équipe de Princeton pour une petite étude sur l’impact du boot en mémoire (afin de la détériorer le moins possible), puis à créer une clé USB spécifique réalisant la capture de ladite mémoire... je me dis – sans ironie pour une fois – que c’est encore loin l’Amérique !!!

Bonne lecture,
Fred Raynal

P.S. : Pierre Desproges est mort d’un cancer, il y a 20 ans. Étonnant non ? Merci à lui pour son œuvre et les emprunts réguliers que j’y fais.

  • note du relecteur Et pourtant, pour des impératifs humoristiques, il m’a fallu en laisser passer au moins une, je ne peux l’hennier.

1 Cold boot attacks http://citp.princeton.edu/memory/

Pour feuilleter le magazine dès maintenant, c'est ici.

Où trouver MISC près de chez vous (Entrez un code postal)

Le magazine est disponible chez votre marchand de journaux et sur notre site marchand.

Organisation 04 - 10

  • PCI-DSS : une norme de protection des données de cartes bancaires bientôt obligatoire ?

Cryptographie 12 - 21

  • Les modes de chiffrements par blocs

DOSSIER 22 - 67
(Lutte informatique offensive : les attaques ciblées)

  • Les acteurs de la LIO : les « bons », les « brutes » et les « truands »…/ 22 31
  • Petit mémo d’identification des failles à l’usage du prédateur informationnel… / 32 44
  • Outil spécifique pour attaques ciblées d’entreprises (partie 1) / 47 55
  • * Petit traité d'e-manipulation à l’usage des honnêtes gens (ou pas) / 56 67

Programmation 68 - 73

  • Comment réaliser un fuzzer ?

Réseau 74 - 82

  • Répartition de charges par la pratique (partie 1)

Souvenez-vous... Pagrec, le paladin, amoureux des langues anciennes (et non pas gigolo) ; Derien, le clerc, et son air de ne pas y toucher ; Metha, le voleur, avec sa ponctualité défaillante ; Canonix, le mage, pas encore bon pour la maison de retraite.

L’an passé, nos héros étaient finalement venus à bout du terrible dragon noir et avaient récupéré le joyau impérial 1. Depuis, tout roule ! Plébiscités par le roi, ils se voient remettre le sceptre de la Justice. Plébiscités par le jury populaire, ils sont devenus la crème des stars. La vie suit son cours, de quêtes en sauvetages du monde, la routine quoi (enfin, Pagrec commence à prendre un peu de bide, à bouffer tout le temps des sandwiches).

Pendant ce temps, dans l’ombre, la menace grandit. Cette fois, elle se présente sous la forme d’un petit groupe de super méchants : Dambert, assassin fourbe ; Tyck, nécromant poète ; Niu, Orc guerrier au séant athlétique. Depuis plusieurs semaines, ils préparent leur plan pour se débarrasser de la garde rapprochée, pour subtiliser le sceptre aux tocards. Mais pour l’instant, tintin en attendant la bonne occasion (celle qui fait le larron bien sûr).

Ils commencent à mettre en place des filatures, acheter des indicateurs, fouiller les poubelles de la maison des héros. Les cibles ont d’énormes moyens maintenant. Faut dire, un trésor de dragon avec son épée vorpale +3 à deux mains avec poignée cuir et garde amovible, son armure en cuir +5 contre les coups de soleil et son collant moule-burnes toujours en vogue à la cour et qui ne gratte pas, ça permet de voir venir. Heureusement que nos aventuriers ont à la fois un goût pour l’ancien (mais non, pas le père Fouras) et le sens des affaires. D’ailleurs, en se promenant, Canonix rencontre par hasard au détour d’une chope de bière un jeune homme avec qui il sympathise. Il apprend ainsi que son grand-père Assou-an, antiquaire, va être expulsé de sa boutique. Elle sera vendue aux enchères, avec les vieilleries qu’elle contient, pour rembourser une créance. N’y connaissant rien, le jeune Assou-an demande à son aîné de l’accompagner et de lui prodiguer quelques conseils (oui, oui, c’est un roman, ça n’arrive jamais en vrai ça ;-)

Après quelques minutes de fouilles, Canonix découvre un amas de caisses. Celle du dessus est éventrée : un vieux morceau de tissu tout froissé dépasse. Quand il glisse sa main dessous pour fouiner, elle semble disparaître, mais comme le petit Assou-an arrive juste à ce moment-là, il laisse la fripe sur la caisse. « D’où viennent tous ces lambeaux de tissu ? » Pas un bruit dans la cave, c’est le silence des lambeaux avant la réponse d’Assou-an : « mon grand-père fut aventurier dans sa jeunesse, et lors de l’invasion rafobik, il participa au célèbre barrage qui les empêcha de remonter ». La visite de l’échoppe continue et Assou-an s’aperçoit qu’il joue machinalement avec le bout de tissu. Il le jette par la fenêtre sous les yeux exorbités de Canonix, qui pense tenir là une cape d’invisibilité et l’inestimable trésor rafobik !

Canonix retourne voir ses potes et leur propose de racheter le petit commerce. Sous réserve que la cape soit authentique... ce qui s’avère être le cas. Le lendemain, nos 4 amis participent aux enchères. Manque de bol, un vieux croûton dans un coin se manifeste aussi pour acquérir la maison. Il semble que ce soit un autre antiquaire, Puh-Blik, fameux sur la place. Du coup, les offres s’envolent. Nos aventuriers, plus habitués aux marteaux des nains qu’à ceux des commissaires-priseurs, se consultent. Pour suivre et remporter l’enchère, ils doivent rassembler toutes leurs économies. Banco ! Et dans une association unanime, synonyme de société générale, ils emportent la mise grâce à la dernière surenchère.

Les choses ne sont pas toujours ce qu’elles paraissent. D’un côté, tout le monde clame – à juste titre – que les méchants sont de plus en plus organisés, compétents, imaginatifs. On a ainsi vu l’impact de Storm ou de MPack, kits de malfaiteurs prêts à l’emploi. Côté terroriste, après le magazine (le Technical mujahideen vient l’heure du logiciel de chiffrement (Mujahideen secrets). Sans oublier, au milieu de cette cour maléfique, le pirate qui télécharge de la musique et des films (bouh, honte à lui !).

En face, on a les gentils. Pour lutter, ils mettent en place un site web destiné à sensibiliser le public 2 ou proposent des lois pour pirater (oups, ah non, pardon, ce sera sous le contrôle d’un juge, donc ce sera légal) les ordinateurs des suspects à distance. Ou alors, ils payent (certains journalistes étrangers parlent de corruption, mais ce n’est après tout qu’une compensation pour service rendu) un informateur pour récupérer des listings de comptes (tiens, ça me rappelle une autre histoire ça !). Autre innovation à l’étude, permettre aux représentants des majors de venir se brancher directement sur les équipements des FAI. Remarque, un certain opérateur historique a trouvé la parade en délocalisant en Égypte toute l’administration de son infrastructure (si, si !).

Revenons sur les événements. En réalité, en préparant l’opération, Dambert le fourbe a découvert que nos héros profitaient de leur position de gardiens du sceptre : lors des séances publiques, l’équité était faussée par des « offrandes aux héros » distribuées discrètement juste avant le début de la cérémonie. Du coup, profitant de l’avidité des 4, ils leur font miroiter le magot rafobik par l’unique pièce authentique qu’ils ont acquise par ailleurs. Dambert se grime en Assou-an. Canonix et ses amis, plein d’avides espoirs, sont ruinés aux enchères face à un faux Puh-Blik (Tyck déguisé). Ils quittent la ville qui retrouve ainsi la Justice.

Bref, je ne sais pas si la fin justifie les moyens, mais je me pose quand même des questions sur lesdits « moyens »... En tout cas, les méchants ne se posent pas trop de questions quant aux retours sur investissement, alors que les gentils égorgent toutes les chèvres qu’ils peuvent pour que leur sécurité leur coûte le moins cher possible. D’un côté, il y en a qui se bougent pour arriver à leurs fins, de l’autre, on copie les méchants à retardement. Asymétries problématiques...

Bonne lecture,
Fred Raynal

P.S. : quelques messages plus ou moins personnels pour conclure :

Bon 86ème anniversaire à ma grand-mère :)
Le programme du SSTIC est en ligne 3, les places devraient bientôt suivre (si ce n’est déjà le cas quand vous lirez cet édito).
Bon courage à Cédric 0x90 Bubu et Sophie Python Scapy (pas des prénoms faciles) pour supporter leurs nouveaux parents.

Le dossier de ce numéro est consacré à la récupération d'information : du forensics à l'e-discovery, ausculter un disque dur n'est pas une mince affaire ...

Pour feuilleter le magazine dès maintenant, c'est ici.

Où trouver MISC près de chez vous (Entrez un code postal)
  • Guerre de l'info
    • Guerre, guérillas et terrorismes informatiques : du trafic d’armes numériques à la protection des infrastructures
  • DOSSIER
  • ( Autopsie & Forensic : comment réagir après un incident ? )
    • Autopsie informatique : les 4 approches à connaître
    • Network Forensic : cherchez les traces sur le réseau
    • Reconstruisez l’image d’un disque
    • Analyse post mortem tout en mémoire sous windows
    • Retour d’expériences
  • Système
    • Comprenez les systèmes de sécurité d’OpenSolaris et Solaris
  • Réseau
    • Supervision et sécurité par analyse de flux
  • Fiche Technique
    • Everse proxy Apache 2.2 : le couteau suisse sécurité de vos applications
  • Sciences
    • La sécurité des communications vocales (1) : le codage de la voix

S'occuper d'une revue n'est pas toujours une sinécure, en particulier en période de Noël : on mange trop et on pense au cadeau envoyé par tata Rodriguez directement depuis le Portugal en paquet Fado (Desproges). Avec ça, essayez d'écrire un édito digne de ce nom, et de prendre un peu de recul sur six années d'existence...

En fait, je traîne dans ce milieu depuis une dizaine d'années, ce qui n'est rien comparé à certains respectables dinosaures. Mais, quand je regarde dans le rétroviseur, je me dis que, finalement, ça ne change pas beaucoup. Si j'étais candidate à l'élection de Miss France, je voudrais la paix dans le monde et de quoi boire et manger pour tous les hommes. Comme je suis cynique et que je travaille dans un monde qui ne l'est pas moins, je dis « tant mieux » : si les choses ne changent pas, ça veut dire que je devrais avoir du boulot pour quelques décennies encore (et accessoirement mes padawans aussi, parfait pour mes cotisations retraite).

Mais, je m'égare (et avec mon sens de la poésie, c'est forcément mon parnasse). Je voulais traiter des phénomènes de mode. Pas la techtonik, les Pokémons et Lorie, ceux en sécurité. On a eu les firewalls (avec l'évolution révolutionnaire stateful), puis les IDS (avec l'option révolutionnaire « mode coupure », aussi appelée « IPS »). Tiens, c'est bizarre, à aucun moment on a eu de buzz sur les anti-virus. Comme quoi, ça ne doit fondamentalement pas servir à grand chose ces bêtes-là. Mais, à côté des évolutions technologiques, la manière de faire de la sécurité, d'en parler ou de la vendre a également changé.

Fini le petit artisan qui travaille avec ses outils et ses mains. Plus le temps pour ça, on est entré dans l'ère industrielle. Maintenant, il faut un processus sécurité validé par la qualité : les méthodologies et normes diverses et variées fleurissent partout : ISO17799 devenue ISO27002, COBIT/ITIL ou encore les certifications CISSP, GIAC, CISA, etc. Les cabinets se font certifier (puis deviennent eux-mêmes organismes formateurs). Phénomène amusant, quand l'un est certifié, le voisin se dit qu'il va devoir en faire autant, ce qui engendre une course aux certifications. Concrètement, ça épuise les ressources des concurrents, et place le premier organisme formateur en situation de leader : joli coup.

Quant au discours autour de la sécurité, un mot clé apparaît de plus en plus : intelligence économique (IE). Bien sûr, ce domaine est largement plus vaste que simplement la sécurité informatique. Une amie le définit comme du renseignement légal, j'aime bien, même si ça réduit à la collecte et à l'analyse d'informations. Bref, toujours est-il que de plus en plus de boîtes de sécurité informatique « vendent » de l'IE ou, inversement, des cabinets d'IE vendent de la sécurité informatique. En conséquence, le discours évolue pour faire craindre à tout va la stagiaire chinoise ou le mafieux russe qui s'en prendra à vos biens. On joue beaucoup sur la peur et le fantasme excitant de l'espion, et ça marche.

Ce qui me titille derrière l'oreille avec tout ça, c'est ce que dissimulent ces belles paroles (normes ou IE). D'abord, il est intéressant de constater comme tout cela s'emboîte bien : on distille des craintes, puis on se rassure en appliquant des méthodologies pas à pas. Mais, c'est surtout oublier que les logiciels ont toujours autant de failles, que les firewalls ne servent presque plus à rien, puisque tout passe par les ports 80/443, et que les services sécurité n'ont toujours pas les moyens de remplir leurs missions. C'est très semblable à un politique qui commence par faire peur, puis tient de beaux discours en faisant de belles promesses, mais ensuite, une fois aux affaires, n'a pas les moyens de les mettre en oeuvre.

Ne vous méprenez pas, je ne dis pas que tout cela est inutile, mais il faut arrêter de croire que la Solution est là (oui, oui, celle avec un S majuscule qui va tout régler magiquement). Par exemple, le déroulement d'une méthodologie, c'est aussi du pain béni pour l'attaquant, puisque ça lui balise tout le chemin suivi par le défenseur. J'ai peut-être le tort de croire que la créativité et la rigueur sont des qualités essentielles pour traiter ces problèmes anormaux : halte à l'économie d'intelligence. Il y a quelques années, cela m'aurait énervé. Maintenant... ben, c'est pareil :-)

Mais, avec l'âge (pardon, l'expérience) et le recul (pardon, l'expérience encore), je relativise. Quelque part, savoir que MISC entame encore une nouvelle année me rassure. Cela signifie que des personnes (lecteurs, auteurs, ma grand-mère et mes neveux) sont encore intéressées par mettre les mains dans le cambouis et affronter les difficultés où elles se trouvent. Merci à tous de votre soutien, de votre participation, de vos remarques, et surtout bonne année et bonne lecture !

Fred Raynal


Valid XHTML 1.0! Valid CSS Get Firefox! Open Directory Project at dmoz.orgFree thumbnail preview by Thumbshots.org contact
Disclaimer|Rss Directory|Try a Feed|Suggest a Feed|F-A-Q|Partners
Links: Référencement internet | Annuaire Webmaster  | ubuntu/debian tips
Comparateur de Prix | Logos, Sonneries, Jeux Java | Sonneries pour portables | Ringtones and logos for mobile phone | Accéssoires pour téléphone portable | Sonneries Et Logos
© copyright feeds2read.net 2005-2008