cddb.ch/bulletin Cybersécurité et Menaces Internet # février 2012

Dimension: px
Commencer à balayer dès la page:

Download "cddb.ch/bulletin Cybersécurité et Menaces Internet #006 17 février 2012"

Transcription

1 cddb.ch/bulletin Cybersécurité et Menaces Internet # février 2012 Sommaire 1. En bref (et non pas "en vrac!") Twitter, et ces autres applications mobiles qui s'emparent de nos listes de contacts Interception dynamique des flux SSL dans les organisations: le cas Trustwave En bref (et non pas "en vrac!") Iran - On rassure: les systèmes sont protégés contre les attaques informatiques Le responsable de l'unité miliaire en charge de lutter contre le sabotage des infrastructures a rassuré lundi dernier en annonçant que les systèmes d'information des infrastructures sensibles du pays étaient efficacement protégées contre les attaques informatiques qu'elles subissent quotidiennement. L'officier précise également que les attaques observées visent en priorité les centrales nucléaires et les plateformes de commerce en ligne du pays. -- Malaisie - Déni de service sur le site web de la bourse Malaisienne Le site web de la bourse de Malaisie (Bursa Malaysia) a été paralysé mardi dernier suite à une attaque de déni de service distribué. -- [ndlr: L'attaque était dirigée contre la vitrine web de l'institution, totalement différenciée des systèmes destinés au traitement des transactions. L'activité boursière n'a pas été freinée. On repense à l'attaque de déni de service qui avait visé la plateforme en ligne Postfinance en décembre 2010, qui avait empêché tout accès légitime aux utilisateurs de la plateforme. Dès lors, deux réflexions possibles: premièrement, l'attaque sur Bursa Malaysia est-elle une démonstration des moyens pouvant être mis en œuvre contre la plateforme transactionnelle? Deuxièmement, le manque apparent de stratégie dans le choix de la cible pourrait-il laisser supposer que les attaquants ne comprennent pas encore avec précision sur quels objectifs diriger leurs attaques, et par extension, vont-elles évoluer vers des cibles plus exposées?] Genève: vandalisme organisé sur les distributeurs de tickets des transports publics Le cas ne s'apparente pas directement à une attaque informatique et pourtant l'analogie avec le fonctionnement d'une attaque par déni de service et ses conséquences est on ne peut plus appropriée: plus de 20% des automates à tickets des transports publics genevois, majoritairement ceux placés sur les lignes de trams, ont été vandalisés durant la nuit de dimanche à lundi dernier. Le coût de l'opération et sa structure organisationnelle sont encore inconnus (ou pas révélés). Toutefois, l'on sait déjà qu'ils ont déclenché pour 5'000 francs de frais de fournitures, 70 heures d'intervention et que le dommage peut déjà être chiffré à environ 40'000 francs suisses de manque à gagner, par jour, jusqu'au rétablissement des appareils Ce document est diffusé sous licence Creative Commons CC-BY-NC-SA 1 / 12

2 Faillite de Nortel: probablement due à dix années de vols de données Un ancien conseiller à la sécurité pour Nortel Networks, fournisseur de services et produits de télécommunications, a confirmé lors d'un récent entretien sur la chaîne télévisée CBC sa conviction du rôle clé qu'aurait joué le piratage de ses systèmes informatiques dans la faillite de l'entreprise centenaire. L'intrusion est aujourd'hui imputée à des pirates chinois et aurait débuté en l'an Pendant près de dix ans, les pirates auraient eu accès aux éléments confidentiels et stratégiques de l'entreprise grâce à divers comptes de la Direction, maintenus sous contrôle. Les dirigeants auraient été alertés d'un possible piratage des systèmes en 2004, mais n'y auraient pas donné suite. -- Google est désormais le plus important fournisseur de services DNS au monde 70 milliards, c'est le nombre d'interrogations que reçoit chaque jour le service DNS (service responsable de fournir aux machines l'adresse IP correspondant à une URL) que Google a mis à disposition du public en décembre Nombreuses sont ceux qui ont entré la séquence " " dans leurs configurations réseau, ne réalisant pas forcément qu'ils offrent aujourd'hui à la célèbre agence de publicité contextuelle plus de 810'000 intentions de navigation sur Internet, chaque seconde. Lorsque l'on sait que l'adresse IP d'un accès internet domestique ADSL ne change plus qu'à de rares occasions, quelles informations Google peut-il ainsi construire et monétiser sur le long terme? -- Facebook: photos d'adolescentes détournées et publiées sur des sites pour adultes Les photos et données des profils Facebook d'une quinzaine d'adolescentes ont été volées puis publiées dans un site à caractère pornographique. Pendant plus d'un mois, le site a affiché des profils reconstruits des jeunes étudiantes, informations personnelles et photos retouchées à l'appui. La police dénonce des réglages de confidentialité peu robustes dans les profils visés par l'opération. Le rôle des parents n'est pas abordé dans le reportage /2012/02/15/gIQAd8wBGR_video.html La NSA met en œuvre une approche bon marché pour se prémunir contre les malware Les efforts de la National Security Agency pour la mise en place d'un dispositif bon marché lui permettant de se prémunir contre les programmes malveillants ont été relayés par la presse américaine vendredi dernier. Le dispositif repose essentiellement sur l'utilisation des stratégies de restriction logicielle (software restriction policy) et, selon l'agence de sécurité nationale, lui permet de contrer des tentatives d'injection de programmes malveillants dans ses systèmes, alors même que les antivirus ne les reconnaissent pas encore. -- [ndlr: le lecteur attentif notera que cette fonctionnalité, qualifiée par la presse d'évolution majeure (breakthrough), est présente dans tous les systèmes d'exploitation Windows depuis l'édition XP, sortie en août Son efficacité redoutable (restriction d'exécution de tout binaire non approuvé au préalable par la politique de sécurité du domaine), on le devinera aisément, est peut-être la raison pour laquelle de nombreuses sociétés éditrices de logiciels de sécurité n'ont pas forcément envie que leur clients s'y intéressent de près...] - Ce document est diffusé sous licence Creative Commons CC-BY-NC-SA 2 / 12

3 2. Twitter, et ces autres applications mobiles qui s'emparent de nos listes de contacts Lorsque un utilisateur installe l'application Twitter sur son téléphone portable, l'application lui demande s'il désire effectuer une "recherche d'amis". En choisissant cette option, l'utilisateur consent sans s'en rendre compte à ce que l'intégralité des contacts enregistrés dans le téléphone soit déposée sur les serveurs de Twitter, et conservée pour une durée de 18 mois. Un semblant de déjà-vu L'affaire survient en février alors que l'attention se porte sur une autre application mobile tout aussi controversée: Path. La polémique a été déclenchée suite à la publication d'un article de blog[1] le 8 février par un développeur d'applications mobiles basé à Singapour. En explorant les données transmises par l'application, il a constaté que l'intégralité de ses contacts était transmise à l'éditeur de l'application lorsqu'elle lui proposait de "trouver ses amis". Son consentement explicite n'avait pas été fourni au préalable. Les détails transmis à l'éditeur incluent les noms et prénoms, numéros de téléphone et adresses de chaque contact enregistré dans le téléphone de l'utilisateur. Quelques minutes seulement après la publication de l'article, l'information est couverte par les réseaux sociaux et la presse informatique[2], ainsi que par l'éditeur lui-même qui s'empresse de répondre par voie officielle et d'annoncer[3]: - L'admission de la faute: collecte de données peu documentée (finalité) sans consentement explicite de l'utilisateur (licéité) et dans une étendue supérieure aux attentes légitimes (proportionnalité). - Des excuses, précisons-le. - La suppression totale des données de contact enregistrées sur les serveurs de l'éditeur. - Le déploiement immédiat d'une nouvelle version de l'application, demandant explicitement à l'utilisateur d'autoriser l'envoi des données. Twitter? Pas mieux. Constatant la présence d'une option similaire dans Twitter, un journaliste du Los Angeles Times a contacté l'éditeur éponyme afin de savoir comment était conçue la fonctionnalité de recherche d'amis. L'éditeur confirme: la version mobile de Twitter, installée et activement utilisée par plus de 55 millions de personnes[4], récupère elle aussi l'intégralité des contacts de chaque téléphone. Mais attention: les données originales ne sont conservées que pour une durée de 18 mois! L'éditeur confirme qu'il s'agit d'une erreur de formulation dans les conditions générales d'utilisation et dans l'application elle-même, il privilégiera des termes plus explicites dans une future version du produit[5]. En attendant, les utilisateurs mécontents ont l'opportunité de demander un effacement de la base de leurs contacts sur la page dédiée à cet effet[6]. Des utilisateurs pris en otage et des éditeurs se dégageant de toute responsabilité Dans les deux cas mentionnés, les éditeurs ont réagi par un mea culpa sur un blog, suivi de la mise à jour des termes d'utilisation (l'utilisateur accepte ainsi explicitement l'envoi des données de contact) et dans le cas de Twitter, la reformulation du texte des boutons activant la fonctionnalité de recherche. Ce cas de déresponsabilisation est exemplaire d'une vague sur laquelle les éditeurs de logiciels peuvent se permettre de surfer aujourd'hui: des logiciels, souvent utilisés par plusieurs milliers - Ce document est diffusé sous licence Creative Commons CC-BY-NC-SA 3 / 12

4 ou millions de personnes, sont ancrés dans des habitudes de consommation dont il est devenu difficile pour certains de se priver, parfois, par crainte de voir un positionnement social s'effriter. L'anonymat de l'utilisateur: envolé, parfois à cause de ses contacts, moins prudents... Autre problématique: l'abandon de toute forme de pseudo-anonymat. De nombreux utilisateurs d'applications mobiles n'ont probablement jamais renseigné des données les identifiant explicitement dans leur compte. En récupérant la liste de leurs contacts et leurs numéros de téléphones, les éditeurs de ces applications mobiles disposent généralement de suffisamment de données pour corréler les différentes bases et ainsi identifier l'identité réelle d'une personne qui aurait souhaité conserver son anonymat. Son réseau de connaissances professionnel et social, ainsi qu'une éventuelle estimation du niveau de relation avec chacun des contacts peut ainsi être extrapolée au moyen de simples inférences sur les données collectées. Méconnaissance des enjeux de tous côtés La vraie question n'est pas posée dans le débat: pourquoi cette fonctionnalité est-elle conçue de cette façon? L'envoi des données des contacts est-il nécessaire pour identifier les "amis"? Ou exprimé dans un autre langage: l'ampleur de la collecte de données est-elle proportionnelle à la finalité recherchée par l'éditeur? La question trouve en tous cas réponse à de maintes reprises dans la cryptographie. En 1992 tout particulièrement, lorsque les premières spécifications de fonctions de hachage à valeur cryptographique ont été rendues publiques[7]. Pour le néophyte, l'analogie des fonctions de hachage dans ce contexte correspondrait à la création d'une base de données d'empreintes digitales de personnes condamnées pour un crime, sans que l'on enregistre pour autant leur nom dans le fichier. Dans le cas où un criminel serait à nouveau interpellé pour un autre crime, la base de données des empreintes digitales serait interrogée et retrouverait la condamnation associée à l'empreinte. Cela, même sans que le nom ou la photo de la personne ne soit enregistrée en clair dans la base[oui, il y a matière à réflexion ici...] Le cas est ainsi révélateur d'une incompréhension des mécanismes techniques et technologiques soulevés dans de telles controverses. Les deux éditeurs, dans l'exemple cité, ont fait part de leur bonne volonté en opérant les changements annoncés. Ces changements ont été accueillis par l'opinion publique, au travers des médias, comme un gage de bonne foi. L'état de la connaissance en matière d'ingénierie logicielle propose pourtant de nombreuses solutions pour que les éditeurs ne collectent pas ces données personnelles et privilégient un procédé permettant à la fois de maintenir la couverture fonctionnelle souhaitée tout en respectant des principes de sécurité et de protection des données historiquement exigés par les lois. Mais encore faut-il que ces principes soient connus, compris et, peut-être, contrôlés... 1: 2: 3: 4: shtml 5: ,0, story 6: https://twitter.com/#!/who_to_follow/import 7: - Ce document est diffusé sous licence Creative Commons CC-BY-NC-SA 4 / 12

5 3. Interception dynamique des flux SSL dans les organisations: le cas Trustwave L entreprise Trustwave spécialisée dans la sécurité de l'information est aussi une autorité de certification pour les organisations souhaitant mettre en œuvre des communications sécurisées via le web. Elle se trouve sous les projecteurs depuis qu elle est accusée d avoir vendu un dispositif d interception transparente des communications via SSL. Suite à cette annonce, la fondation Mozilla (éditeur entre autres du navigateur web Firefox) a considéré une révocation complète de Trustwave en qualité d autorité de certification dans toute sa gamme de produits. Contexte La gamme de services et produits «DLP», pour data-loss prevention, a pour objectif d aider les organisations à se prémunir contre l exfiltration non autorisée de données confidentielles. Trois menaces sont principalement visées par ces produits : l exfiltration opportuniste par des collaborateurs (travail à domicile) ou malveillante (vol ou vente de données), l exfiltration par des programmes malveillants (cas des ordinateurs infectés) et l exfiltration involontaire (erreur de manipulation, distraction, dissémination au sein du réseau). Tout comme les détecteurs d intrusion (IPS/IDS), les dispositifs DLP sont déployés soit sur des hôtes (stations de travail ou serveurs de données), soit sur le réseau en effectuant de l interception de trafic. Le positionnement en réseau est une approche préférable dans un environnement hétérogène, tout comme l'on privilégie l'installation sur hôte pour contrôler l'éventuelle fuite de documents par des clés USB par exemple. La première difficulté à laquelle les solutions DLP sont confrontées est la reconnaissance dudit contenu à caractère confidentiel. Un effort amont doit généralement être consenti afin d'habituer les collaborateurs à caractériser les documents à valeur confidentielle. Des solutions proposent également la reconnaissance systématique basée sur la présence de termes spécifiques dans un document: des extensions type, des codes de projet, des noms d'auteurs, des noms de clients ou partenaires stratégiques, etc. Les différenciateurs principaux d'une solution DLP sont généralement la diversité des scénarios d'infrastructure proposés, le type de flux pouvant être analysé en temps réel ou non, la performance lors d'une montée en charge et la facilité avec laquelle le système peut être administré. La seconde contrainte majeure des solutions DLP repose dans les communications chiffrées. Heureusement (ou malheureusement, dans ce contexte..), de plus en plus de plateformes web permettent l établissement d une communication sécurisée par SSL/TLS à leurs utilisateurs. Lorsque les choses sont bien faites, il devient ainsi impossible pour le dispositif DLP d analyser le contenu des flux sortants dans un délai raisonnable: en d'autres termes, il devient inutile. Les connexions «sécurisées» vers les sites web Pour ne pas contraindre chaque utilisateur à procéder lui-même à la vérification de l'identité d'un serveur web lorsqu'il s'y connecte, l'infrastructure des certificats SSL sur le web repose sur un réseau de tiers de confiance déployé à l échelle mondiale et préinstallé dans la majorité des systèmes d exploitation. Cinq tiers de confiance majeurs (Verisign, Entrust, Comodo, Globalsign, CACert) sous-traitent aujourd'hui la compétence de signataire à un peu plus de 600 entités[1]. Ces tiers de confiance, ou autorités de certification, nourrissent la confiance que chacun peut avoir aujourd'hui lorsqu'il transmet par exemple les données de sa carte de crédit pour effectuer un achat en ligne ou discute tout simplement avec un ami à travers un réseau social. - Ce document est diffusé sous licence Creative Commons CC-BY-NC-SA 5 / 12

6 Grâce à cette architecture en délégation, les navigateurs peuvent par exemple vérifier que le certificat présenté pour le serveur web a été approuvé par un tiers de confiance, et cela, de manière totalement transparente pour l'utilisateur. L internaute et l entreprise sont assurés que le certificat opérant une connexion réputée "sécurisée" et "valide" selon un navigateur web a été préalablement vérifiée par un tiers de confiance. En d'autres termes: "je ne te connais pas, mais si mes amis te font confiance alors je peux moi aussi te faire confiance!" Les télécommunications privées Le modèle de sécurité des tiers de confiance répond également à un autre besoin, en pleine croissance lui aussi, de l individu: celui de pouvoir interagir avec d'autres individus en toute confidentialité, au moyen de services proposés sur le web. Messagerie instantanée, webmail, réseaux sociaux et professionnels, coffres-forts numériques et recherches sur Internet: tous ces services tendent aujourd hui à identifier formellement un individu dans chacune des requêtes qui leur sont adressées. La confidentialité des échanges est primordiale, tout comme la nonrépudiation d'un contenu s'il se retrouve cité devant un tribunal: l interception du contenu de ne serait-ce que une seule requête par un tiers malveillant peut généralement lui permettre d usurper l identité d un individu par la suite. Quels sont les engagements d'un tiers de confiance? En choisissant de certifier les communications électroniques sur Internet, un tiers de confiance s engage nécessairement à atteindre trois objectifs en tout temps: 1) L'organisation protège son dispositif de certification contre tout accès non autorisé 2) L'organisation vérifie l identité de tout acteur demandant la signature d'un certificat (et s'assure qu'un seul certificat lui est délivré pour une utilisation donnée en un temps donné) 3) L'organisation ne transfère pas son pouvoir de certification à un tiers. Comme nous le verrons ci-après, ces trois objectifs ne sont pas atteints dans tous les cas. La protection du dispositif de certification Les internautes et les entreprises oublient parfois que les tiers de confiance mentionnés plus haut sont contrôlés pour la bonne tenue de leur comptabilité mais pas nécessairement pour la sécurité de leur réseau informatique. Ainsi a-t-on pu par exemple apprendre que les autorités de certification Comodo, Diginotar, et tout récemment Verisign, avaient été compromises en 2010 et Les attaques n'ont malheureusement pas encore pu être imputées au spectre ultrasophistiqué de la «menace APT», certaines sont revendiquées par un pirate isolé[2]. Dans d'autres cas, les systèmes présentaient des défaillances majeures en matière de sécurisation[3]. Obtenir la signature d'un certificat SSL suite à un contrôle d'identité Les autorités de certification proposent divers niveau de reconnaissance d un certificat, allant du simple formulaire envoyé par à la vérification de pièces d identité notariées combinée à l examen des registres de commerce de l entité concernée. Ainsi, une communication «sécurisée SSL» sous-entend déjà aujourd hui différents niveaux de contrôle allant du simple certificat de service signé sans vérification approfondie à la vérification étendue (EV SSL certificate), en passant par les certificats multiservices. - Ce document est diffusé sous licence Creative Commons CC-BY-NC-SA 6 / 12

7 Le transfert du pouvoir de certification Les protocoles SSL/TLS, combinés au modèle des tiers de confiance ont pour but historique de rendre difficile une interception de données en circulation grâce à la combinaison de trois mesures: les données circulent de façon chiffrée (confidentialité), les données atteignent leur destination dans le même état qu à leur envoi (intégrité) et l'identité d'au moins l une des deux parties est vérifiée par un tiers de confiance (authentification). Considérant cela, le tiers de confiance doit ainsi s assurer qu aucun acteur n aura la possibilité de générer des certificats électroniques en son nom. En d'autres termes: il doit s assurer que sa PKI (infrastructure de clés publiques) ne puisse ni être imitée ni volée. Finalement, il ne doit tout simplement pas la mettre à disposition d'un tiers qui lui-même ne se sera pas engagé à atteindre les trois objectifs mentionnés précédemment. Le cas Trustwave et son outil DLP En plus de fournir des prestations de service et des produits de sécurité informatique, Trustwave fait également office d'autorité de certification (les certificat racines sont visibles dans nos systèmes sous le nom "SecureTrust"). Il a été reproché à Trustwave d avoir vendu un dispositif d interception dynamique des télécommunications chiffrées via SSL. Traduction: ce dispositif peut générer des certificats signés par un tiers de confiance (donc, réputés valables aux yeux d'un navigateur web) à la volée, au fil des échanges initiés par les utilisateurs. Sous une telle configuration, un utilisateur accédant par exemple au site via un lien "https" croira, à tort, qu'un échange confidentiel est en cours, alors que toute la transaction est observée en clair par le dispositif. On le devine: l'outil est présenté commercialement pour la vocation louable d'accompagner les organisations à se prémunir contre les tentatives de vol et les fuites accidentelles de documents. Accessoirement, l'outil offre surtout la possibilité d'ausculter le contenu de toute communication établie entre deux parties quelconques au moyen du protocole SSL, y compris les échanges privés. En plaçant un tel produit sur le marché, l'entreprise Trustwave aurait ainsi contrevenu à son obligation de ne pas transférer le pouvoir de signature à un tiers (dont l'identité n'a d'ailleurs pas été révélée au public au moment de la rédaction). Mesures envisagées Constatant la croissance du nombre de mentions du cas sur Twitter, Trustwave a rapidement pris position le 4 février dernier. L'entreprise précise dans son communiqué qu'en raison des griefs qui lui sont reprochés, elle ne produira plus de dispositifs de ce type à l'avenir[4]. Trois jours plus tard (7 février), l'information est relayée dans le système de gestion des changements de la fondation Mozilla, éditeur entre autres du navigateur web Firefox. La demande de correction préconise le retrait immédiat du certificat racine de Trustwave de tous les produits de la fondation[5]. Le changement ne sera finalement pas effectué, non pas sans débats... Une telle action aurait eu pour effet de déclencher l'affichage d'un écran d'avertissement aux utilisateurs d'un navigateur Firefox à jour lorsqu'ils tentent d'interagir avec un serveur web dont le certificat est signé par Trustwave. La proposition a un but clairement disciplinaire: faire du cas Trustwave un exemple pour les autres autorités de certification qui songeraient à mettre en vente des produits similaires. A défaut d'être appliquée, elle s'est muée en un avertissement particulièrement clair[6] à l'attention des autorités de certification qui auraient dans l'idée éventuelle de se lancer dans ce type d'activité. - Ce document est diffusé sous licence Creative Commons CC-BY-NC-SA 7 / 12

8 Cela n'aurait pas été la première fois qu'un éditeur majeur profite de sa position centrale pour effectuer une révocation autrement que par le procédé initialement prévu par l'infrastructure (contrôle OCSP). En août dernier, les éditeurs Mozilla, Apple, Microsoft et Google avaient tous les quatre révoqué les certificats de l'autorité de certification Diginotar suite à l'annonce de la compromission de ses systèmes et de sa PKI[7]. Un mois plus tard, Diginotar déposait son bilan et annonçait sa faillite[8] au registre de commerce... Quels enjeux? L'exploitation commerciale des technologies d'analyse dynamique de flux SSL met en exergue de multiples problématiques, tant pour les organisations que les individus et la sécurité sur le web en général: - Que deviennent les certificats générés par ces dispositifs? Qui y a accès? Qui conserve une trace des connexions dont les entités ont été usurpés? - Les contenus analysés ont-ils été enregistrés? Si oui, à quelles contraintes d'accès sont-il soumis? Sont-ils corrélés avec d'autres bases de données? - Quelles sont les implications lorsqu'une organisation soumise à de fortes contraintes réglementaires imposées par la branche sait désormais que les flux établis avec ses clients ou partenaires ne sont plus confidentiels? - Idem pour les contraintes imposées par les lois sur la protection des données personnelles? - L'organisation acquérant un tel dispositif est-elle prête à gérer le dommage collatéral éventuel sur sa réputation ou sa relation avec les autorités? [cas actuel: l'éditeur Apple doit actuellement justifier devant le Sénat américain pourquoi les développeurs d'applications mobiles n'ont pas été contraints d'annoncer aux utilisateurs que leurs listes de contacts étaient transmises à l'éditeur.] - Quelle gouvernance est-elle proposée par les Etats pour éviter des dérives? - etc. L'enjeu majeur: économique, politique et civique La présence de technologies d'analyse dynamique de flux SSL sur le marché créé des tensions entre quatre acteurs mués par des intérêts parfois divergents. En premier lieu, les organisations, gouvernementales ou privées, petites ou grandes, qui souhaitent pouvoir s'offrir le luxe de briser la confidentialité des communications de leurs citoyens, ou collaborateurs, sans qu'ils ne s'en aperçoivent. Ces outils sont une aubaine: ils permettent ainsi aux entreprises d'analyser toute forme de communication établie par leurs collaborateurs, même privée, et de détecter la présence éventuelle de contenus perçus comme des menaces pour l'avenir de l'activité. Les gouvernements sont eux aussi particulièrement demandeurs de cette technologie, en particulier les Etats dans lesquels les libertés d'expression, d'opinion, d'accès à l'information et de la presse sont perçues comme des composantes hostiles à la bonne continuité du gouvernement au pouvoir... N'oublions pas toutefois que l'utilisation de ces technologies reste légitimement envisageable dans d'autres contextes: rechercher des criminels, lutter contre les vols de données d'entreprises, se prémunir des actes de vengeance et des erreurs ou distractions humaines, détecter des complots contre des personnalités, la préparation d'actes terroristes, lutter contre le trafic d'informations stratégiques, démanteler les réseaux d'échange de documents illégaux et - Ce document est diffusé sous licence Creative Commons CC-BY-NC-SA 8 / 12

9 lutter contre la criminalité organisée sont toutes des activités bénéficiant aujourd'hui de la démocratisation des outils proposant des télécommunications chiffrées. En second lieu, les éditeurs de solutions de sécurité, attirés par des perspectives financières évidentes. La technologie d'interception dynamique de flux SSL est d'une haute simplicité et ne requiert aucune innovation particulière: la simplicité était l'un des objectifs attendus du modèle de chiffrement à clés publiques et les tiers de confiance. La barrière à l'entrée est très contraignante pour tout autre acteur que les tiers de confiance: ces derniers sont reconnus par tous les systèmes informatiques et peuvent ainsi pénétrer ce marché en position avantagée. Finalement, les perspectives financières sont motivantes: les organisations intéressées par ces technologies sont en général prêtes à débourser plusieurs centaines de milliers, voire millions, de francs pour y accéder [voir le bulletin #002 abordant les salons d'exposition où ces solutions d'interception sont présentées à des gouvernements et des grandes organisations]. Deux autres acteurs font pression eux aussi, dans l'autre direction cette fois. Tout d'abord, les éditeurs Microsoft, Google, Mozilla et Apple, dont les produits dominent largement l'accès à des contenus sur Internet. Ces éditeurs sont en position de force sur le poste de travail tant professionnel que personnel, fixe ou mobile, car leurs outils contrôlent la liste exacte des autorités de certification que les navigateurs considèrent comme fiables. Cette configuration leur donne le pouvoir de révoquer à tout moment, à l'échelle mondiale, un certificat signataire qui aurait été déployé dans l'un des boîtiers mentionnés plus haut. [C'est ce que l'on appelle plus communément un kill-switch, et le sujet sera prochainement abordé en détail.] Finalement, nous avons les utilisateurs, qui ont tendance à porter la double casquette de citoyen et de collaborateur. Si la grande majorité des utilisateurs de terminaux informatiques ne s'inquiète aucunement de savoir si ses libertés sont bafouées par leur employeur ou leur pays, une minorité de personnes voit tout cela d'un autre œil. Le contexte menaçant a été accentué par la démocratisation du cyberactivisme et des réseaux sociaux: cette minorité de personnes peut aujourd'hui accéder à des informations confidentielles et aussitôt activer des outils à effet de levier permettant d'alerter l'opinion publique très rapidement et à l'échelle mondiale. Tout cela en étant bien entendu appuyés par des réglementations et lois sur la protection des données personnelles de plus en plus contraignantes pour les organisations. Le cas Trustwave est ainsi exemplaire: l'organisation aurait pu il y a encore peu d'années déployer sa solution dans des organisations sans que quiconque ne réagisse ou ne soit entendu. Aujourd'hui, c'est plutôt la vitesse à laquelle Trustwave a réagi pour confronter les internautes (et ses investisseurs) qui lui a probablement permis d'éviter le bannissement des autorités de certification admises. La configuration actuelle de ces quatre acteurs offre un certain répit aux individus souhaitant conserver un minimum de confidentialité dans leurs communications. Il est évident que les éditeurs des navigateurs web jouent aujourd'hui un rôle central dans la protection des échanges entre fournisseurs, consommateurs, collaborateurs, personnes ou citoyens. Cette dynamique pourrait toutefois vaciller si l'un de ces éditeurs était amené à changer sa position, en réponse à des perspectives financières motivantes ou, plus probablement, sous la contrainte de lois plusieurs sénats et parlements tentent aujourd'hui de ratifier... Faut-il vraiment acquérir ce dispositif pour intercepter les flux SSL? - Ce document est diffusé sous licence Creative Commons CC-BY-NC-SA 9 / 12

10 Contrairement à ce que l'on pourrait penser: l'interception dynamique de flux SSL ne nécessite pas l'acquisition d'un tel outil[9]. Le cas Trustwave n'a fait que révéler une dérive vers laquelle un tiers de confiance peut être amené à se diriger à des fins commerciales. Il a accessoirement permis de porter l'attention sur un problème identifié depuis longtemps: personne ne les surveille vraiment. Un cas d'école est le dispositif Active Directory que l'on voit déployé dans la majorité des organisations exploitant des postes de travail sur le système Windows. L'adhésion d'un poste de travail à un réseau Active Directory déclenche l'installation du certificat de l'entreprise au sein de la liste des tiers de confiance du poste de travail. Cette démarche préalable est une composante essentielle de la sécurité des réseaux Active Directory pour l'obtention de flux confidentiels et l'authentification des tickets d'accès à des ressources protégées dans une organisation. Par extension, cette machinerie permet à l'entreprise d'intercepter n'importe quel flux web sécurisé grâce à la génération et la signature dynamiques d'un certificat qui ne fera pas apparaître une alerte à l'écran de l'utilisateur. L'incompréhension générale des fondamentaux techniques et technologiques autour des communications chiffrées est probablement la seule raison pour laquelle ce mécanisme n'est encore que très rarement utilisé par les organisations... Une approche bien plus compliquée si l'on ne dispose d'aucun contrôle du poste de travail de l'utilisateur est de forger le certificat présenté à l'utilisateur. Heureusement, c'est réputé impossible dans un délai acceptable, pour autant que l'interlocuteur a correctement configuré SSL sur ses serveurs[10]. L'on pourrait être amené à penser le contraire lorsque des chercheurs du laboratoire de cryptologie algorithmique de l'epfl nous annoncent que quatre certificats SSL sur dix mille n'offrent quasiment aucune sécurité[11] et que la presse appuie droit derrière en affirmant haut et fort que le protocole SSL a été cassé[12][13]. Il reste finalement, et bien entendu, la technique "iranienne", qui consiste tout simplement à empêcher l'établissement de flux SSL à l'échelle nationale. Les utilisateurs se retrouvent dès lors contraints d'utiliser des canaux de communication en clair, remettant ainsi leur panoplie de mots de passes ultra complexes à leur gouvernement...[14] Quelles mesures pour empêcher l'interception? La défense est essentiellement motivée à deux niveaux: l'individu, en premier lieu, qui cherchera à protéger ses communications contre des abus de surveillance par leur employeur ou leur gouvernement. En second lieu, les entreprises, qui chercheront à se prémunir contre des interceptions par des acteurs disposant de moyens bien plus importants, tels que les gouvernements soutenant l'activité économique interne par des actions assimilables à de la guerre d'information ou économique. Du côté de l'individu, le seul moyen potentiellement fiable à ce jour pour se prémunir contre cette catégorie de menaces est de procéder lui-même à la validation des certificats SSL. L'approche quelque peu extrême est de retirer tous les certificats des tiers de confiance et ne conserver que ceux spécifiques aux éditeurs du système et des logiciels de sécurité (pour l'installation de binaires et les mises à jours), ainsi que les certificats de chaque serveur web avec lequel il souhaite interagir confidentiellement. Il est ainsi préférable de récupérer les certificats présentés par les services régulièrement consultés: banque, réseau social, messagerie en ligne, etc. et de les installer manuellement dans le poste de travail. En cas d'un attaque man- - Ce document est diffusé sous licence Creative Commons CC-BY-NC-SA 10 / 12

11 in-the-middle soutenue par un certificat apparemment valide, le client sera toujours en mesure de déceler une tentative d'usurpation. Du point de vue des entreprises, la contremesure repose essentiellement sur des réseaux de confiance (des entreprises signent mutuellement les certificats des services utilisés en commun), une tendance nouvelle, mais porteuse. Le protocole DNS renforcé, DNSSEC, offre lui la possibilité pour l'organisation d'inscrire les empreintes numériques des certificats de ses serveurs au sein de ses enregistrements DNS[15]. Une option intéressante, mais qui ne déploie ses bénéfices que si les organisations l'adoptent collectivement. Pour conclure Aussi inquiétante que puisse sembler l'affaire Trustwave, le cas traité dans un contexte plus global est plutôt rassurant. En particulier car il révèle la présence de garde-fous à plusieurs échelons du système de confiance dans les télécommunications. En premier lieu, les auditeurs, qui ont alerté la Direction de l'organisation après avoir constaté le problème dans ses systèmes et les enjeux qu'il comportait. Des collaborateurs impliqués, qui ont fini par relayer l'information au public, tout en protégeant, à ce jour, l'identité de leur employeur. La fondation Mozilla, dont l'avertissement aux autorités de certification joue actuellement le rôle de garant de confidentialité pour les individus (plus de 360 millions d'utilisateurs actifs). Finalement, l'entreprise Trustwave qui, si l'on peut en croire la bonne foi dans son communiqué officiel, s'est engagée à invalider le certificat signataire placé dans le dispositif et à se retirer de ce marché. 1: 2: 3: 4: 5: https://bugzilla.mozilla.org/show_bug.cgi?id= : Issuing-MITM-SSL-Certs / 7: 8: 9: 10: 11: 12: 13: tem?taxonomyid=85 14: 15: FIN/# Ce document est diffusé sous licence Creative Commons CC-BY-NC-SA 11 / 12

12 Conditions et tarifs: - Inscription : envoyer un avec sujet "inscription texte" ou "inscription PDF" à - Désinscription: envoyer un avec sujet "désinscription" à - Le bulletin est publié sur deux semaines après sa diffusion par - Tarif: gratuit Données sur les abonnements et abonnés: - Mesures de confidentialité: best effort, liste d'abonnés stockée sur conteneur chiffré, envois en copie carbone - Eléments conservés: uniquement adresse et date d'inscription/désinscription - Diffusion: aucune (sauf cas de force majeure ou distraction exceptionnelle) - Suppression: sur demande, par à - Tiers identifiés: fournisseurs d'accès (envoi des bulletins en clair, par courrier électronique) - Ce document est diffusé sous licence Creative Commons CC-BY-NC-SA 12 / 12

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart

Plus en détail

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE Définitions : Dernière version en date du 21 Avril 2011 Activation du Service : L activation du Service intervient à compter de la

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Sommaire F-Secure Anti-Virus for Mac 2015 Sommaire Chapitre 1: Prise en main...3 1.1 Gestion des abonnements...4 1.2 Comment m'assurer que mon ordinateur est protégé...4

Plus en détail

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL Cette page doit fournir aux clients toutes les informations concernant la sécurité du site d internet banking transactionnel, en particulier les

Plus en détail

Informations Sécurité

Informations Sécurité Bonnes pratiques Informations Sécurité La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger vos ordinateurs et vos intérêts dans l usage des moyens informatiques,

Plus en détail

Solutions Bureau de Bell Aliant Accès à distance

Solutions Bureau de Bell Aliant Accès à distance Services de gestion de sécurité de Bell Aliant Solutions Bureau de Bell Aliant Accès à distance Accès au RPV SSL avec SecurID Guide de l'utilisateur Version 1.3 Septembre 2009 1 Toute reproduction, publication

Plus en détail

Comment utiliser mon compte alumni?

Comment utiliser mon compte alumni? Ce document dispose d une version PDF sur le site public du CI Comment utiliser mon compte alumni? Elena Fascilla, le 23/06/2010 Sommaire 1. Introduction... 2 2. Avant de commencer... 2 2.1 Connexion...

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

Service de certificat

Service de certificat Service de certificat Table des matières 1 Introduction...2 2 Mise en place d une autorité de certification...3 2.1 Introduction...3 2.2 Installer le service de certificat...4 3 Sécuriser un site web avec

Plus en détail

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.fr KASPERSKY FRAUD PREVENTION 1. Techniques d attaque du système bancaire en ligne L'appât du gain constitue la principale motivation de la cyber-criminalité.

Plus en détail

«Obad.a» : le malware Android le plus perfectionné à ce jour

«Obad.a» : le malware Android le plus perfectionné à ce jour «Obad.a» : le malware Android le plus perfectionné à ce jour Table des matières I. Le sujet de l article... 2 II. Réflexion sur les nouvelles menaces technologiques d aujourd hui... 2 A. Android, victime

Plus en détail

Code Signing THAWTE EST UN FOURNISSEUR MONDIAL MAJEUR DE CERTIFICATS DE CODE SIGNING

Code Signing THAWTE EST UN FOURNISSEUR MONDIAL MAJEUR DE CERTIFICATS DE CODE SIGNING Code Signing THAWTE EST UN FOURNISSEUR MONDIAL MAJEUR DE CERTIFICATS DE CODE SIGNING code signing...1 Qu est-ce que le Code Signing?...1 À quoi sert le Code Signing?...1 Ce que le Code Signing ne fait

Plus en détail

Ces pré-requis techniques sont valables au jour de la souscription et sont susceptibles d évolution.

Ces pré-requis techniques sont valables au jour de la souscription et sont susceptibles d évolution. Fiches version 3.2 au 1 er mars 05 GUIDE DE SOUSCRIPTION Pour souscrire le service, le Client doit disposer des logiciels pré-requis indiqués ci-dessous (I) et remplir les Fiches Clients détaillées ci-après

Plus en détail

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE Définitions : Dernière version en date du 13 Juin 2011 Activation du Service : L activation du Service intervient à compter de la

Plus en détail

[ Sécurisation des canaux de communication

[ Sécurisation des canaux de communication 2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies

Plus en détail

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet -

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Marc Tremsal Alexandre Languillat Table des matières INTRODUCTION... 3 DEFI-REPONSE... 4 CRYPTOGRAPHIE SYMETRIQUE...

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Données sur l'entreprise

Données sur l'entreprise Données sur l'entreprise VDl & Interass, est une société anonyme, entreprise d assurance de droit belge ayant son siège social, Brusselsesteenweg 346 C, 9090 Melle, RPR Gand 0431.686.127 et le numéro CBFA

Plus en détail

Free online MSDS management tool

Free online MSDS management tool Free online MSDS management tool http://www.msds-europe.com/kateg-70-1-telechargement_des_fds.html Le projet est financé par l'union européenne et cofinancé par le Fonds européen de développement régional.

Plus en détail

SSI Sensibilisation à la sécurité de l'information**

SSI Sensibilisation à la sécurité de l'information** SSI Sensibilisation à la sécurité de l'information** Prérequis Compétence opérationnelle Objectifs d apprentissage Durée d apprentissage Connaissances de base en informatique Etre capable de comprendre

Plus en détail

Verschlüsselte E-Mail-Kommunikation Version 1.1 Seite 1 von 7

Verschlüsselte E-Mail-Kommunikation Version 1.1 Seite 1 von 7 Préambule La messagerie électronique est aujourd'hui un moyen de communication fréquemment utilisé par les entreprises pour échanger des informations. Le groupe ALDI NORD demeure, lui aussi, en contact

Plus en détail

Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada

Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada ITSB-96 Dernière mise à jour : mars 2015 1 Introduction La correction des

Plus en détail

Secure Socket Layer (SSL) Appareils concernés : Sommaire 1: Généralités

Secure Socket Layer (SSL) Appareils concernés : Sommaire 1: Généralités Secure Socket Layer (SSL) Appareils concernés : HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Sommaire 1) Généralités 2) Bref historique 3) Avantage de l utilisation de

Plus en détail

La sécurité des accès grand public

La sécurité des accès grand public La sécurité des accès grand public Cédric Blancher blancher@cartel-securite.fr Cartel Sécurité Salon Vitré On Line 25-27 octobre 2002 Plan 1. Introduction 2. Les risques spécifiques 3. Les bonnes habitudes

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

ANNEXE 4 CONDITIONS GENERALES D UTILISATION

ANNEXE 4 CONDITIONS GENERALES D UTILISATION ANNEXE 4 CONDITIONS GENERALES D UTILISATION L accès et l utilisation du site de CDGP accessible à l adresse http://www.cdgp.fr (ci-après «le Site») et des services qui y sont proposés (ci-après «les Services»)

Plus en détail

Faille dans Internet Explorer 7

Faille dans Internet Explorer 7 Janvier Faille dans Internet Explorer 7 Une faille a été découverte dans le nouveau navigateur, celle-ci permettrait à un pirate d'insérer du code malicieux. Lorsque le navigateur est lancé, des DLL sont

Plus en détail

CONDITIONS D'UTILISATION et VENTE

CONDITIONS D'UTILISATION et VENTE CONDITIONS D'UTILISATION et VENTE Ces Conditions d'utilisation (ci-après «Conditions») régissent la relation entre GENEDYS SAS («Genedys» ou «nous») et vous, ou, si vous représentez un employeur ou un

Plus en détail

Serveur Web - IIS 7. IIS 7 sous Windows 2008

Serveur Web - IIS 7. IIS 7 sous Windows 2008 Serveur Web - IIS 7 Le livre de référence de ce chapitre est «Windows Server 2008 - Installation, configuration, gestion et dépannage» des éditions ENI, disponible sur egreta. Le site de référence pour

Plus en détail

Notre offre Système. systemes@arrabal-is.com

Notre offre Système. systemes@arrabal-is.com systemes@arrabal-is.com Généralités Généralités des systèmes Windows Les systèmes Microsoft sont au cœur du système d information de la majorité des entreprises, si bien qu environ 90% des postes utilisateurs

Plus en détail

Fiche de l'awt Plate-formes d'intermédiation

Fiche de l'awt Plate-formes d'intermédiation Fiche de l'awt Plate-formes d'intermédiation Présentation de solutions techniques mises en oeuvre dans le cadre des plate-formes d'intermédiation, notamment sur base du standard XML Créée le 14/05/01 Modifiée

Plus en détail

FileMaker Pro 14. Utilisation d'une Connexion Bureau à distance avec FileMaker Pro 14

FileMaker Pro 14. Utilisation d'une Connexion Bureau à distance avec FileMaker Pro 14 FileMaker Pro 14 Utilisation d'une Connexion Bureau à distance avec FileMaker Pro 14 2007-2015 FileMaker, Inc. Tous droits réservés. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, Californie 95054

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN ClearBUS Application cliente pour la communication sécurisée Version 1.12 Le 25/11/2011 Identifiant : CBUS-CS-1.12-20111125 contact@clearbus.fr tel : +33(0)485.029.634 Version 1.12

Plus en détail

Conditions générales d affaires (CGA) Portail clients SanitasNet

Conditions générales d affaires (CGA) Portail clients SanitasNet Conditions générales d affaires (CGA) Portail clients SanitasNet 1 Table des matières Contenu 1. Préambule 3 2. Autorisation d accès 3 3. Accès technique à SanitasNet et identification 3 4. Coûts 4 5.

Plus en détail

ICP/PKI: Infrastructures à Clés Publiques

ICP/PKI: Infrastructures à Clés Publiques ICP/PKI: Infrastructures à Clés Publiques Aspects Techniques et organisationnels Dr. Y. Challal Maître de conférences Université de Technologie de Compiègne Heudiasyc UMR CNRS 6599 France Plan Rappels

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

Active Directory Sommaire :

Active Directory Sommaire : Active Directory Sommaire : Définition Ce qu'il permet A quoi sert-il? Principe de fonctionnement Structure Hiérarchie Schéma Qu'est ce qu'un service d'annuaire? Qu'elle est son intérêt? L'installation

Plus en détail

Conditions Générales d'utilisation - YOUSIGN SAS - SIGN2 CA

Conditions Générales d'utilisation - YOUSIGN SAS - SIGN2 CA Conditions Générales d'utilisation - YOUSIGN SAS - SIGN2 CA 1- Introduction 1.1 Présentation générale Ce document définit les Conditions Générales d Utilisation (CGU) des certificats délivrés dans le cadre

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD3 Exercices Exercice 1 Enumérez les sept étapes du processus consistant à convertir les communications de l utilisateur en données. 1. L utilisateur entre les données via une interface matérielle.

Plus en détail

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Découvrez Kaspersky Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Sommaire Pourquoi est-il important pour une TPE/PME d acquérir une protection efficace? Pages 04-05 10 idées reçues à

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (90) 19 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (90) 19 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (90) 19 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES SUR LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL UTILISÉES À DES FINS DE PAIEMENT ET AUTRES

Plus en détail

Internet et Big Brother : Réalité ou Fantasme? Dr. Pascal Francq

Internet et Big Brother : Réalité ou Fantasme? Dr. Pascal Francq Internet et Big Brother : Réalité ou Fantasme? Dr. Pascal Francq Contenu Introduction Traces Google Applications Enjeux Conclusions 2 Contenu Introduction Traces Google Applications Enjeux Conclusions

Plus en détail

Symantec Protection Suite Enterprise Edition for Servers

Symantec Protection Suite Enterprise Edition for Servers Une protection complète et de haute performance là où vous en avez besoin Présentation permet d'éviter les arrêts des serveurs physiques et virtuels grâce à une politique de prévention basée sur différentes

Plus en détail

CONDITIONS GÉNÉRALES D UTILISATION

CONDITIONS GÉNÉRALES D UTILISATION CONDITIONS GÉNÉRALES D UTILISATION Bienvenue sur www.lembarque.com Merci d avoir choisi nos produits et services! Les présentes conditions générales d utilisation s appliquent à notre site web : www.lembarque.com

Plus en détail

Suivi des modifications

Suivi des modifications Suivi des modifications Edition Date Modifications Phase expérimentale 25 avril 2008 1.0 30 mai 2011 1.1 7 avril 2014 Première rédaction pour la phase expérimentale, diffusée sous le n 915 SGDN/DCSSI/SDR

Plus en détail

COMMUNIQUER EN CONFIANCE

COMMUNIQUER EN CONFIANCE COMMUNIQUER EN CONFIANCE TheGreenBow est un éditeur français de logiciels spécialisés dans la sécurité des communications. Basé au cœur de Paris depuis 1998, TheGreenBow a développé un savoir-faire unique

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD1 Exercices Exercice 1 : Décrivez les facteurs internes qui ont un impact sur les communications réseau. Les facteurs internes ayant un impact sur les communications sont liés à la nature

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Être responsable à l'ère du numérique

Être responsable à l'ère du numérique Être responsable à l'ère du numérique Table des matières Les ressources numériques...2 La ressource...2 La licence...2 Les licences de logiciels...3 Le logiciel...3 La description...3 La licence...3 Les

Plus en détail

La réponse globale aux risques numériques liés au facteur humain. Améliorez la sécurité et les performances de votre entreprise

La réponse globale aux risques numériques liés au facteur humain. Améliorez la sécurité et les performances de votre entreprise PROFIL NETW RK FILTER La réponse globale aux risques numériques liés au facteur humain Améliorez la sécurité et les performances de votre entreprise VOS PRIORITÉS Vous êtes chef d entreprise, quelle sera

Plus en détail

ESET NOD32 Antivirus 4 pour Linux Desktop. Guide de démarrage rapide

ESET NOD32 Antivirus 4 pour Linux Desktop. Guide de démarrage rapide ESET NOD32 Antivirus 4 pour Linux Desktop Guide de démarrage rapide ESET NOD32 Antivirus 4 assure une protection de pointe de votre ordinateur contre les codes malveillants. Basé sur le moteur d'analyse

Plus en détail

TP RPV de niveau application EXTRANET

TP RPV de niveau application EXTRANET TP RPV de niveau application EXTRANET L entreprise MAROQ a décidé d ouvrir une partie de son SI (Système d information) à ses partenaires. Cette ouverture s effectue par la création d un site web privé

Plus en détail

ESET SMART SECURITY 9

ESET SMART SECURITY 9 ESET SMART SECURITY 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guide de démarrage rapide Cliquez ici pour télécharger la dernière version de ce document. ESET Smart Security est un logiciel de sécurité

Plus en détail

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Fiche technique: Sécurité de la messagerie Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Présentation protège les données confidentielles et garantit la productivité

Plus en détail

LCL LE CREDIT LYONNAIS

LCL LE CREDIT LYONNAIS LCL LE CREDIT LYONNAIS Guide utilisateur pour l installation et l utilisation du Certificat LCL Bienvenue dans le guide Utilisateur du Certificat LCL. Nous vous invitons à imprimer ce guide utilisateur

Plus en détail

Conditions générales.

Conditions générales. Conditions générales. Les services présentés sur le site www.net-style.fr sont fournis par NetStyle, propose à une clientèle de professionnels et de particuliers des services dédiés à la création de sites

Plus en détail

Sécurité informatique : sensibiliser votre personnel

Sécurité informatique : sensibiliser votre personnel En bref : Les politiques strictes de sécurité informatique et les avancées techniques ne suffisent pas à elles seules à assurer la protection des entreprises. Les mécanismes de protection sont souvent

Plus en détail

Fiche FOCUS. Les téléprocédures. Opter pour l'accès sans certificat hors espace professionnel

Fiche FOCUS. Les téléprocédures. Opter pour l'accès sans certificat hors espace professionnel Fiche FOCUS Les téléprocédures Opter pour l'accès sans certificat hors espace professionnel Dernière mise à jour : avril 2015 Table des matières 1. Présentation...3 1.1 Objet de la fiche...3 1.2 A qui

Plus en détail

Malware Logiciels malveillants Retour sur les premiers cours

Malware Logiciels malveillants Retour sur les premiers cours Malware Logiciels malveillants Retour sur les premiers cours Jean-Marc Robert Génie logiciel et des TI Plan du cours Logiciels malveillants Analyse de risque Politique de sécurité Moyens de protection

Plus en détail

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Notes de mise à jour Endpoint Security for Mac by Bitdefender Notes de mise à jour Date de publication 2015.03.13 Copyright 2015 Bitdefender Mentions Légales Tous

Plus en détail

La sécurité informatique

La sécurité informatique La sécurité informatique c'est quoi au juste? CAID's Delémont - 2 mars 2009 Par Bruno Kerouanton http://bruno.kerouanton.net/blog Les pirates... au début Qui : adolescents isolés Moyens : légers. Motivation

Plus en détail

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP

Microsoft Dynamics. Installation de Management Reporter for Microsoft Dynamics ERP Microsoft Dynamics Installation de Management Reporter for Microsoft Dynamics ERP Date : mai 2010 Table des matières Introduction... 3 Présentation... 3 Configuration requise... 3 Installation de Management

Plus en détail

Relais IP. Guide de l'utilisateur

Relais IP. Guide de l'utilisateur Relais IP Guide de l'utilisateur 1 Table des matières Relais IP Limites du service...3 Limites de la disponibilité...3 Importantes limites du service 9 1 1...3 Démarrage...4 Première ouverture de session...4

Plus en détail

Dispositif assurant le filtrage des accès aux ressources électroniques via un annuaire LDAP

Dispositif assurant le filtrage des accès aux ressources électroniques via un annuaire LDAP Dispositif assurant le filtrage des accès aux ressources électroniques via un annuaire LDAP Document révisé en Mars 2006 Introduction, historique et rappels Le filtrage des accès aux ressources électroniques

Plus en détail

Septembre 2015. sans le consentement de l'utilisateur dont l'ordinateur est infecté.

Septembre 2015. sans le consentement de l'utilisateur dont l'ordinateur est infecté. Septembre 2015 Depuis quelques mois, les entreprises françaises sont la cible d attaques informatiques utilisant des logiciels malveillants 1 (ou malwares), dont le but est de réaliser des opérations bancaires

Plus en détail

La protection des données par affilinet

La protection des données par affilinet La protection des données par affilinet Rev. 04/03/2014 La protection des données par affilinet Contenu La protection des données par affilineta 1 1. Collecte et traitement des données personnelles et

Plus en détail

Les nouveautés de Windows Seven : Partie 2 - le système

Les nouveautés de Windows Seven : Partie 2 - le système Les nouveautés de Windows Seven : Partie 2 - le système par Date de publication : 8/11/2008 Dernière mise à jour : Seconde partie de présentation du nouveau système d'exploitation : Windows Seven 0 - Introduction...

Plus en détail

Pour révoquer un Gestionnaire des Certificats : le Représentant Légal utilise la fiche n 2A en cochant la case appropriée.

Pour révoquer un Gestionnaire des Certificats : le Représentant Légal utilise la fiche n 2A en cochant la case appropriée. Fiches version 3.2 au 1 er mars 05 FICHES CLIENT CA CERTIFICAT GUIDE D UTILISATION Les fiches opérationnelles : Les fiches opérationnelles CA Certificat ci-après sont au nombre de 6 : 1. fiche d identification

Plus en détail

Communiquer à distance

Communiquer à distance Communiquer à distance www.fac-ainsebaa.com Logiciel de messagerie ou webmail Un courrier électronique (courriel, E-mail) est un petit paquet de données qui circule sur Internet, d'un ordinateur à un autre.

Plus en détail

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible USERGATE PROXY & FIREWALL Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires

Plus en détail

CERTIFICATS NUMERIQUES LUXTRUST

CERTIFICATS NUMERIQUES LUXTRUST CERTIFICATS NUMERIQUES LUXTRUST Le Partenariat Chambre de Commerce-LuxTrust S.A. Le 27 mars 2007, l autorité de certification électronique LuxTrust S.A. a lancé la commercialisation de ses «certificats

Plus en détail

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre HTTPS Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre Définition HTTPS (HyperText Transfer Protocol Secure) C'est

Plus en détail

SGDN/DCSSI AFNOR Téléprocédures du MINEFI Aspects sécurité

SGDN/DCSSI AFNOR Téléprocédures du MINEFI Aspects sécurité SGDN/DCSSI AFNOR Téléprocédures du MINEFI Aspects sécurité 27 mars 2003 Sommaire Téléprocédures du M.E.F.I Contexte/Objectifs Problématique Solutions envisageables Les grands choix techniques Mise en œuvre

Plus en détail

L identité numérique. Risques, protection

L identité numérique. Risques, protection L identité numérique Risques, protection Plan Communication sur l Internet Identités Traces Protection des informations Communication numérique Messages Chaque caractère d un message «texte» est codé sur

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013 CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI ARTICLE 1 : OBJET Dernière version en date du 07/11/2013 Les présentes conditions particulières, complétant les conditions générales de services

Plus en détail

POLITIQUE DE RESPECT DE LA VIE PRIVÉE

POLITIQUE DE RESPECT DE LA VIE PRIVÉE POLITIQUE DE RESPECT DE LA VIE PRIVÉE En tant qu'utilisateur de www.candycrushperfumes.com, veuillez lire attentivement cette politique de respect de la vie privée. Vous pourrez accéder ici à toutes les

Plus en détail

La signature électronique et les réseaux de confiance

La signature électronique et les réseaux de confiance La signature électronique et les réseaux de confiance Marc.Schaefer@he-arc.ch HE-Arc Ingénierie Institut des systèmes d'information et de communication (ISIC) Laboratoire de téléinformatique (TINF) Plan

Plus en détail

Stoppez les menaces avancées et sécurisez les données sensibles pour les utilisateurs itinérants

Stoppez les menaces avancées et sécurisez les données sensibles pour les utilisateurs itinérants TRITON AP-ENDPOINT Stoppez les menaces avancées et sécurisez les données sensibles pour les utilisateurs itinérants Entre une réputation ternie et des amendes et sanctions réglementaires, une violation

Plus en détail

Phishing La fraude sur Internet Introduction, exemples et approches d'enquête

Phishing La fraude sur Internet Introduction, exemples et approches d'enquête 9 e réunion de l'association suisse des experts «Lutte contre la criminalité économique» Phishing La fraude sur Internet Introduction, exemples et approches d'enquête IWI Institut d'informatique de gestion

Plus en détail

Evaluer les risques liés aux défauts de sécurité

Evaluer les risques liés aux défauts de sécurité C2I Métiers de la Santé SECURITE INFORMATIQUE Evaluer les risques liés aux défauts de sécurité Eric Boissinot Université François Rabelais Tours 13/02/2007 Pourquoi la sécurité? Le bon fonctionnement d

Plus en détail

BITDEFENDER GRAVITYZONE

BITDEFENDER GRAVITYZONE BITDEFENDER GRAVITYZONE Notes de publication de la version 5.0.4 Bitdefender GravityZone Notes de publication de la version 5.0.4 Date de publication 2013.06.14 Copyright 2013 Bitdefender Notice Légale

Plus en détail

Charte d'utilisation des systèmes informatiques

Charte d'utilisation des systèmes informatiques Charte d'utilisation des systèmes informatiques I. Préambule Les outils informatiques mis à la disposition des agents de la commune de Neufchâteau se sont multipliés et diversifiés au cours de ces dernières

Plus en détail

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CSG-16\S Novembre Page intentionnellement laissée en blanc. Avant-propos Le document est non classifié et il

Plus en détail

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires aujourd'hui. L'utilisation

Plus en détail

TRITON AP-ENDPOINT STOPPEZ LES MENACES AVANCÉES ET SÉCURISEZ LES DONNÉES SENSIBLES POUR LES UTILISATEURS ITINÉRANTS

TRITON AP-ENDPOINT STOPPEZ LES MENACES AVANCÉES ET SÉCURISEZ LES DONNÉES SENSIBLES POUR LES UTILISATEURS ITINÉRANTS TRITON AP-ENDPOINT STOPPEZ LES MENACES AVANCÉES ET SÉCURISEZ LES DONNÉES SENSIBLES POUR LES UTILISATEURS ITINÉRANTS TRITON AP-ENDPOINT STOPPEZ LES MENACES AVANCÉES ET SÉCURISEZ LES DONNÉES SENSIBLES POUR

Plus en détail

CONDITIONS GENERALES DE VENTE ET D'UTILISATION

CONDITIONS GENERALES DE VENTE ET D'UTILISATION CONDITIONS GENERALES DE VENTE ET D'UTILISATION 1- Objet : Le présent document a pour objet de définir les modalités et conditions dans lesquelles d une part, Ozz-Event, ci-après dénommé l éditeur, met

Plus en détail

Conditions Générales d Utilisation. Service «Je déménage» de GDF SUEZ DolceVita

Conditions Générales d Utilisation. Service «Je déménage» de GDF SUEZ DolceVita Conditions Générales d Utilisation Service «Je déménage» de GDF SUEZ DolceVita Article 1. Informations légales Le service «Je déménage» de GDF SUEZ DolceVita (ci-après «le Service») est édité par GDF SUEZ,

Plus en détail

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES LOT 2 Fourniture et installation d un système de GED pour la Mairie de La Wantzenau. Fiche technique Cahier des Charges

Plus en détail

quelles conséquences pour la documentation en ligne?

quelles conséquences pour la documentation en ligne? Structure et évolutions de l Internet p.1/23 Structure et évolutions de l Internet quelles conséquences pour la documentation en ligne? JOËL MARCHAND jma@math.jussieu.fr GDS 2754 Mathrice Où en est l Internet?

Plus en détail

CERTIFICATS ÉLECTRONIQUES CERTIGREFFE. Manuel d installation SUR CLÉ USB IKEY

CERTIFICATS ÉLECTRONIQUES CERTIGREFFE. Manuel d installation SUR CLÉ USB IKEY CERTIFICATS ÉLECTRONIQUES SUR CLÉ USB IKEY CERTIGREFFE Introduction Notions sur le certificat électronique Problème : il est facile, aujourd hui, de s octroyer une adresse e-mail sous une fausse identité

Plus en détail

Chat chat vidéo : conditions d utilisation et déclaration sur le respect de la vie privée

Chat chat vidéo : conditions d utilisation et déclaration sur le respect de la vie privée Chat chat vidéo : conditions d utilisation et déclaration sur le respect de la vie privée Lorsque vous naviguez sur le site de CBC ou lorsque vous utilisez ses applications (CBC-Touch ou CBC-Invest, par

Plus en détail

Vtiger CRM - Prestashop Connector

Vtiger CRM - Prestashop Connector Vtiger CRM - Prestashop Connector Pour PRESTASHOP version 1.4.x Pour vtiger CRM version 5.1, 5.2.0 et 5.2.1 Introduction En tant que gestionnaire d'une boutique en ligne, vous cherchez constamment de meilleurs

Plus en détail

Identification sur le site de la Chambre de Métiers et de l'artisanat de l'ain

Identification sur le site de la Chambre de Métiers et de l'artisanat de l'ain Identification sur le site de la Chambre de Métiers et de l'artisanat de l'ain La Chambre de métiers et de l'artisanat de l'ain met à votre disposition plusieurs services sur son espace Internet. Certains

Plus en détail

Sécurisation des accès au CRM avec un certificat client générique

Sécurisation des accès au CRM avec un certificat client générique NOTE TECHNIQUE Sécurisation des accès au CRM avec un certificat client générique OBJETIF DE SECURITE Réduire les risques d usurpation d identité et de vols de données (exemple : keylogger, cheval de Troie

Plus en détail