Sécurité dans les SGBD

Dimension: px
Commencer à balayer dès la page:

Download "Sécurité dans les SGBD"

Transcription

1 Sécurité dans les SGBD Olivier Perrin IUT Nancy-Charlemagne Département Informatique Université Nancy 2

2 Plan Introduction sur la sécurité Contrôle d accès Bases statistiques Sécurité discrétionnaire Sécurité obligatoire Architectures des bases de données multi-niveaux Contre-mesures 2

3 Introduction Un SGBD organise les données et donne aux utilisateurs des moyens pour extraire de l information Cette information est basée sur des données: fonctions statistiques par exemple Si l accès est incontrôlé, on n y mettrait pas de données sensibles Problème de confidentialité: prévention de la divulgation non autorisée de données/d information Au sens large, la sécurité informatique inclut également les problèmes d intégrité: prévention de modification non autorisée des données disponibilité: prévention de refus d accès autorisé à des données 3

4 Principes fondamentaux de la sécurité Identification/Authentification: qui êtes-vous, pouvez-vous le prouver? Autorisation: pouvez-vous faire cette opération sur cet objet? Intégrité: les données sont protégées contre toute modification accidentelle ou malveillante Confidentialité: les données restent privées et elles ne peuvent pas être vues par des utilisateurs non autorisés Audit: un audit et une journalisation sont essentiels pour résoudre les problèmes de sécurité a posteriori Non-répudiation: le système peut prouver qu un utilisateur a fait une opération Disponibilité: capacité pour des systèmes de rester disponibles pour les utilisateurs légitimes (ex.: pas de refus de service) 4

5 Définitions: menaces, vulnérabilités et attaques Une menace est un événement potentiel, malveillant ou pas, qui pourrait nuire à une ressource toute opération préjudiciable à vos ressources est une menace Une vulnérabilité est une faiblesse qui rend possible une menace peut être due à une mauvaise conception, à des erreurs de configuration ou à des techniques de codage inappropriées et non fiables Une attaque est une action qui exploite une vulnérabilité ou exécute une menace par ex., envoyer des données d'entrée malveillantes à une application ou saturer un réseau en vue d'entraîner un refus de service 5

6 Sécurité et SGBDs Les budgets autour de la sécurité vont d abord à l'achat de système de sécurité (firewalls, systèmes de détection d intrusion, ) à la formation à la sécurisation des applications le SGBD est le parent pauvre de la sécurité Complexité un SGBD est une affaire de spécialistes: au niveau de la gestion (DBA), au niveau de la programmation On ne peut pas sérieusement faire de l'oracle deux fois par an Quand c'est le cas, c est encore pire pour la sécurité! 6

7 Sécurité et SGBDs (2) Rôle du DBA maintenir le SGBD, gérer les comptes, les applications,... pas de formation sécurité : ne peut pas «imaginer» les attaques possibles Mises à jour des systèmes 80% des serveurs de BD meurent avec le système et le SGBD initial «If it works, don't fix it» conséquence: failles système et applicatives qui ne sont JAMAIS corrigées Criticité des applications arrêts impossibles la sécurité passe en dernier 7

8 Les risques Attaques sur le SGBD lui même failles connues classiques (buffer overflows, bugs d'authentification ) failles dans les applications associées: serveurs Web d'administration, démons SNMP (Simple Network Management Protocol), programmes setuid root installés par le SGBD Mauvaises configurations modes d'authentification dégradés (.rhosts ) mots de passe par défaut fichiers de la BD non sécurisés (lecture par tous) Interception de mots de passe par écoute du réseau par lecture de fichiers de configuration sur disque 8

9 Les risques (2) Attaques sur les applicatifs injection SQL sur les applications Web détournement des requêtes effectuées par un ERP autorisations trop larges Attaques sur l'os via le SGBD écriture/lecture de fichiers, exécution de commandes la base de données tourne avec des privilèges différents contournement de la politique de sécurité: 'safe_mode' de PHP par ex. critique chez les hébergeurs Web mutualisés 9

10 Quelques exemples: MS-SQL Server Produit complexe tourne avec les droits LocalSystem Deux modes d authentification NT Only: authentification sur le domaine NT/2000 Mixed-mode: idem + comptes internes (potentiellement, tous les utilisateurs du domaine ont accès au serveur) Jusqu à SQL2000, compte SA sans mot de passe par défaut à la création! Ver SQLSlammer: buffer overflow, déni de service réseau, heap overflow Problème dans l'authentification (août 2002) débordement de buffer: 10

11 Quelques exemples: MS-SQL Server (2) Passage du mot de passe en clair pour les logins non NT simple XOR avec 0xA5 Débordement de buffer/tas dans les procédures externes un seul octet à écraser et le système de privilèges est ignoré Procédures dangereuses xp_readerrorlog : lecture de fichiers xp_regread : lecture de la registry SQL Agent Job : submission de jobs, permet de monter les privilèges 11

12 Quelques exemples: MySQL SGBD "Light" et facile à mettre en place très très utilisé dans les «petits» sites système de privilèges mais fonctions manquantes (vues notamment) 2000 : gros problème d'authentification dans la phase d'authentification, le serveur ne vérifie que le nombre de caractères envoyés par le client : avec 32 essais il est possible de compromettre n'importe quel compte resurgit en 2002 dans COM_CHANGE_USER (changement d'identité) 12

13 Quelques exemples: MySQL (2) 2001: Buffer Overflow dans SELECT Plusieurs corruptions de mémoire dans certaines fonctions Lecture du fichier de configuration dans $DATADIR/my.cnf tous les utilisateurs ayant le privilège 'FILE' peuvent écrire dans ce répertoire 13

14 Quelles sont les informations visées? Dans un SGBD, qu est-ce qui intéresse l adversaire? contenu exact: salaire d un employé bornes: salaire > 2000 résultat négatif: nombre d infractions n est pas égal à 0 existence: casier judiciaire valeur probable: inférence en combinant plusieurs attaques On doit appliquer les mesures de sécurité avec précision protéger les informations sensibles laisser libre accès aux informations non sensibles 14

15 Plan Introduction sur la sécurité Contrôle d accès Bases statistiques Sécurité discrétionnaire Sécurité obligatoire Architectures des bases de données multi-niveaux Contre-mesures 15

16 Contrôle d accès et SGBD Deux niveaux d accès à un SGBD manipulation des données sur les relations de la base: protection sur les entrées de la base opérations composées comme des vues: restriction de ce que l utilisateur peut faire sur la base Une politique de sécurité doit viser deux propriétés complétude: tous les attributs sont protégés, même si la protection indique accès libre cohérence: pas de conflit entre les différentes règles de sécurité 16

17 Contrôle d accès et SGBD (2) Modèle de sécurité SQL: utilisateurs, opérations SQL, objets (tables, vues, attributs) À la création d un objet, son propriétaire a tous les droits, y compris celui d accorder ou de révoquer des privilèges à d autres utilisateurs Un privilège est composé des éléments suivants utilisateur qui accorde le privilège utilisateur qui reçoit le privilège objet action permise transmission possible du privilège 17

18 Contrôle d accès et SGBD (3) Exemple si Alice est propriétaire de la relation R, elle peut accorder le privilège de la consulter (SELECT) à Bob si elle indique que ce privilège est transmissible, Bob pourra à son tour accorder ce privilège à un autre utilisateur si Alice révoque le privilège à Bob, alors Bob et tous ceux qui ont reçu ce privilège de Bob perdent l accès à la relation R 18

19 Plan Introduction sur la sécurité Contrôle d accès Bases statistiques Sécurité discrétionnaire Sécurité obligatoire Architectures des bases de données multi-niveaux Contre-mesures 19

20 Les bases statistiques Une BD statistique permet de faire des requêtes statistiques sur des groupes de n-uplets Ces opérations sont: COUNT: nombre de valeurs dans une colonne SUM: somme des valeurs dans une colonne AVG: moyenne des valeurs dans une colonne MAX: maximum des valeurs dans une colonne MIN: minimum des valeurs dans une colonne Dans une requête statistique, il y a un prédicat à satisfaire et l'opération se fait sur les n-uplets qui satisfont ce prédicat 20

21 Les bases statistiques (2) Les BD statistiques posent le problème de sécurité suivant: ces BD contiennent des données qui sont sensibles individuellement l'accès direct à ces données n'est donc pas permis les requêtes statistiques statistiques sont permises mais elles doivent lire chaque donnée individuellement Propriété d'agrégation le niveau de sensibilité d'une opération calculée sur un groupe de valeurs est bien souvent inférieur au niveau de sensibilité des valeurs individuelles Problème d'inférence dans un tel cadre, il devient possible d'inférer de l'information sensible à partir de résultats statistiques moins sensibles 21

22 Les bases statistiques (3) Les attaques sur les BD statistiques sont de plusieurs types: attaque directe: opération sur un très petit échantillon attaque indirecte: combine le résultat de plusieurs opérations attaque par pisteur: une attaque indirecte redoutable attaque par système linéaire d'équations On peut résister aux attaques directes en forçant la taille de l'échantillon à être plus grand qu'un seuil il faut aussi forcer la taille du complément de l'échantillon 22

23 Les bases statistiques (4) Attaque par pisteur on doit d'abord identifier un pisteur général, un critère qui découpe la relation en 2 ensembles qui sont chacun plus grands que le seuil d'attaque directe (ex: 3) ex: dans la relation Étudiants, 'Prog = DESS' est un tel critère Ex: connaître la moyenne de Bob en 3 requêtes Relation Étudiants Nom Sexe Prog Moyenne Alice F DESS 65 Bob M M.Sc. 80 Carole F POLY 70 Diane F DESS 90 Éric M POLY 85 Frank M DESS 70 23

24 Les bases statistiques (5) Comment procéder? R1: Moyenne de ((étudiants de DESS) ou Bob): résultat du calcul de la moyenne d'alice, Bob, Diane et Frank = 76,25 R2: Moyenne de (étudiants pas de DESS) ou Bob): résultat du calcul de la moyenne de Bob, Carole et Éric = 78,33 R3: Moyenne de tous les étudiants = 76,67 On calcule ensuite: 4 x R1 + 3 x R2-6 x R3 = 80, la moyenne de Bob Pourquoi? cela correspond aux sommes de moyenne: (Alice+Bob+Diane+Frank)+(Bob +Carole+Éric)-(Alice+Bob+Carole+Diane+Éric+Frank) = Bob Dans presque toutes les BD statistiques, il existe un pisteur général 24

25 Plan Introduction sur la sécurité Contrôle d accès Bases statistiques Sécurité discrétionnaire Sécurité obligatoire Architectures des bases de données multi-niveaux Contre-mesures 25

26 Sécurité discrétionnaire SQL gère les contrôles d accès discrétionnaires Deux mécanismes les vues: permet de cacher des informations sensibles à des utilisateurs non autorisés sous-système d autorisation: permet aux utilisateurs ayant des privilèges d attribuer sélectivement et dynamiquement ces privilèges à d autres utilisateurs (et de les révoquer) 26

27 Sécurité discrétionnaire (2) Contrôle d'accès discrétionnaire par des vues et le contrôle d'accès sur ces vues l'accès aux données seulement par des vues rappelle le modèle formel de Clark-Wilson comment donner accès à un utilisateur l'accès à une vue sans avoir à lui donner l'accès à toutes les relations sous-jacentes? par l'introduction d'un mode de référence ce mode est protégé par un privilège (comme les requêtes SQL) l utilisateur n'a donc besoin que du privilège de voir la vue et de celui du mode référence sur les relations sous-jacentes à cette vue 27

28 Vues Les vues ont plusieurs avantages elles sont flexibles et permettent de définir des critères qui sont très proches de ce que les applications ont besoin elles permettent de définir des politiques de sécurité qui dépendent des données et des contextes d'opérations elles forment une sorte d'invocation contrôlée une vue sécure peut remplacer une étiquette de sécurité les données peuvent facilement être reclassées 28

29 Vues (2) Supposons une relation Employé qui indique s il s agit d un homme ou d une femme, son âge, son salaire et sa profession On définit la vue suivante 29

30 Vues (3) Permet de diviser conceptuellement la base de données en plusieurs parties Les informations sensibles peuvent être cachées aux utilisateurs non autorisés Ne permet pas de spécifier les opérations que certains utilisateurs sont autorisés à exécuter sur ces parties de la base Cette fonction est réalisée par l'instruction GRANT (cf. Privilèges) 30

31 Vues (4) Si l'application inclut une relation décrivant une table de contrôle d'accès, les vues peuvent y faire référence Pour qu'une vue permette la mise à jour, il faut que tous les attributs formant la clé primaire soient inclus dans la vue: de plus, il se peut que la mise à jour fasse en sorte que le n-uplet modifié ne satisfasse plus aux critères de la vue ex: dans la vue DESS, une requête pour modifier le programme à POLY ferait disparaître l attribut de la vue une option dans la définition de la vue permet de bloquer ces écritures à l'aveugle 31

32 Vues (5) Une vue n'est pas qu'un objet. On peut aussi le considérer comme un sujet qui a ses propres privilèges d'accès: invocation contrôlée Désavantages des vues la vérification des conditions d'accès peut devenir lourde et lente il faut vérifier que l'ensemble des définition de vues capture complètement la politique de sécurité voulue certaines vues peuvent se superposer: incohérences dans les accès la partie sécuritaire du SGBD devient très grosse il faudra peut-être compléter la définition par l'ajout de procédures stockées sur le serveur de BD 32

33 Les privilèges Le créateur d'un objet obtient automatiquement tous les privilèges pour cet objet Par exemple, le créateur d'une relation T obtient automatiquement tous les privilèges sur T En outre, ces privilèges sont obtenus avec l'option «grant authority» (le privilège peut être donné à un autre utilisateur) Voici la syntaxe complète de l'instruction GRANT : 33

34 Les privilèges (2) Si Bob donne un privilège à Alice, Bob peut ensuite révoquer ce privilège accordé à Alice On utilise l'instruction REVOKE dont voici la syntaxe : GRANT OPTION FOR signifie que seul le droit de transfert doit être révoqué <liste privileges>, <objet> et <liste ID utilisateur> sont similaires à l'instruction GRANT <option> est égal à RESTRICT ou bien CASCADE 34

35 Les privilèges (3) RESTRICT vs. CASCADE supposons que p soit un privilège sur un objet et que l'utilisateur Bob accorde p à l'utilisateur Alice, qui à son tour l'accorde à l'utilisateur Charlie que se passe-t-il maintenant si Bob révoque p à Alice? le privilège p détenu par Charlie doit être «abandonné» car il provient de l'utilisateur Alice qui ne le détient plus L'objectif de l'option RESTRICT vs. CASCADE est d'éviter l'abandon de privilèges l'option RESTRICT a pour conséquence que le REVOKE échoue s'il conduit à l'abandon de privilèges CASCADE a pour conséquence que de tels privilèges sont également révoqués 35

36 Plan Introduction sur la sécurité Contrôle d accès Bases statistiques Sécurité discrétionnaire Sécurité obligatoire Architectures des bases de données multi-niveaux Contre-mesures 36

37 Sécurité obligatoire Sécurité multi-niveaux (cas particulier) Dans une politique de sécurité multi-niveaux: les utilisateurs reçoivent un niveau d habilitation les informations reçoivent un niveau de classification Niveaux dans un ensemble partiellement ordonné Très secret > Secret > Confidentiel > Public 37

38 SGBD et sécurité multi-niveaux Comment obtenir un niveau élevé de protection sur les éléments d'un SGBD? contrôle d'accès obligatoire (étiquettes de sécurité) les principaux vendeurs de SGBD (Oracle, Informix, Sybase) ont tous une version MAC de leur système, évaluée au niveau B1 du Livre Orange Modèle simplifié de Bell-La Padula soit S, un ensemble d utilisateurs du système du SGBD soit O, un ensemble d'objets (ex: tables, relations, n-uplets,...) une relation d'ordre partiel sur les étiquettes L, aussi appelées classes d'accès soit fs : S L et fo : O L, assignant respectivement des classes d'accès aux utilisateurs et aux objets 38

39 BD et sécurité multi-niveaux (2) Règle de simple sécurité: un sujet s peut lire un objet o seulement si sa classe d'accès domine celle de l'objet, c'est-à-dire fo(o) fs(s) Règle étoile: un sujet s peut modifier un objet o seulement si sa classe d'accès est dominée par celle de l'objet, c'est-à-dire fs(s) fo(o) Ces politiques s'appliquent aux manipulations sur le SGBD et s'adressent aux flots d'information directs L'information peut aussi s'échapper par des canaux cachés refuser l'accès à une requête donne de l'information à un utilisateur s'il ne savait pas déjà que la requête allait échouer... 39

40 Mise en œuvre d une politique La mise en œuvre d une politique de sécurité multi-niveaux dans un SGBD pose plusieurs problèmes: granularité de classification gestion des leurres inférence d information 40

41 Granularité de la classification Quel est le grain d information qui reçoit la classification? Possibilités: schéma, relation, n-uplet, attribut de n-uplet Interprétation de la granularité n-uplet si on attribue un niveau de classification n à un n-uplet, l information représentée par le n-uplet est de niveau n soit Employe(Dupont, H, 30, , programmeur) un n-uplet avec le niveau de classification Secret l information «Dupont est un employé masculin ayant 30 ans, gagnant euros et travaillant comme programmeur» est classée au niveau Secret pas très fin, pourquoi? 41

42 Granularité de la classification (2) Dupont est un employé Dupont est un homme Dupont a 30 ans Dupont gagne euros Dupont est programmeur Toutes ces informations sont au même niveau Gestion par le SGBD: ajout d un attribut TC (Tuple-Class) qui décrit le niveau Employé(Nom, H/F, Age, Salaire, Profession, TC) 42

43 Granularité de la classification (3) Interprétation de la granularité attribut de n-uplet Employé(Nom, P, H, P, Age, C, Salaire, S, Profession, C) Interprétation si on affecte un niveau de classification ni à l attribut Ai d un n-uplet t, alors ni représente la classification de l information correspondant à l association entre les attributs Ak et Ai où Ak est la clé de la relation exemple: Employé(Dupont, P, H, P, Age, C, Salaire, S, Profession, C) l information «Dupont est un employé» est classée au niveau P l information «Dupont gagne euros» est classée au niveau S 43

44 Étiquetage des objets Chaque élément de la BD reçoit une étiquette: attribut, n-uplet, relation ou BD un n-uplet pourrait contenir des attributs ayant des étiquettes différentes ces étiquettes ne sont pas visibles aux utilisateurs L'étiquette a un rôle différent à chaque niveau: BD: l'utilisateur peut-il accéder aux relations de la BD? relation: l'utilisateur peut-il accéder aux n-uplets de la relation? n-uplet: l'utilisateur peut-il accéder aux attributs du n-uplet? attribut: l'utilisateur peut-il accéder à cet attribut en particulier? Le schéma d'étiquetage devra être complet et cohérent complet signifie que chaque élément a son étiquette cohérent signifie que les étiquettes n'entrent pas en conflit 44

45 Étiquetage des objets (2) Exemple la relation Réservations [P] les lettres entre crochets indique la classe d'accès C = Confidentiel, P = Public pour chaque attribut, la classe d'accès suit la valeur de l attribut pour chaque n-uplet, la classe d'accès est à droite du n-uplet Vols Dest Sièges AC909 [C] Montréal [C] 4 [C] [C] AA334 [P] Chicago [P] 10 [P] [P] AF211 [P] Paris [C] 7 [C] [C] 45

46 Étiquetage des objets (3) Pour qu'un utilisateur puisse observer les attributs d'un n-uplet, il faudra que: la classe d'accès de chaque attribut domine celle du n-uplet, la classe d'accès du n-uplet domine celle de sa relation, la classe d'accès de la relation domine celle de la BD Règle d'intégrité des entités (multi-niveaux) aucune composante de la clé primaire d'une relation de base ne peut être nulle toutes les composantes de la clé primaire d'une relation de base ont la même classe d'accès les classes d'accès de tous les autres attributs du n-uplet dominent la classe d'accès de la clé primaire 46

47 Étiquetage des objets (4) Règle d'intégrité référentielle (multi-niveaux) le n-uplet référencé par une clé étrangère doit exister la classe d'accès de la clé étrangère domine celle de la clé primaire correspondante Données visibles une relation R est visible à un utilisateur s si la classe d'accès de l utilisateur domine celle de la relation (fo(r) fs(s)) un attribut ri est visible à un utilisateur s si la classe d'accès de l utilisateur domine celle de l attribut (fo(ri) fs(s)). Dans le cas contraire, si l attribut ri fait partie de la clé primaire, tout le n-uplet est invisible sinon, seul l attribut est invisible à l utilisateur 47

48 Étiquetage des objets (5) Relations dérivées la classe d'accès d'une vue domine celles de toutes les relations utilisées dans la définition de la vue l'instance d'une vue à une classe d'accès donnée correspond au résultat de l'évaluation de la définition de la vue à cette classe. Vue (c) Observer (*) Usager Évaluer (c) Observer (c) Relations de base Évaluer (*) Vue (*) 48

49 Polyinstanciation Dans un SGBD multi-niveaux, un utilisateur 'bas' ne peut connaître l'existence de données 'hautes'. il pourrait être tenter de mettre à jour un attribut contenant une donnée 'haute' ex: pour le 'Vol = AF211', il veut changer 'Dest = Nice' et 'Sièges = 0' Vols Dest Sièges AC909 [C] Montréal [C] 4 [C] [C] AA334 [P] Chicago [P] 10 [P] [P] AF211 [P] Paris [C] 7 [C] [C] AF211 [P] Paris [C] 0 [P] [C] AF211 [P] Nice [P] 7 [C] [C] 49

50 Polyinstanciation (2) Comment la BD doit-elle réagir? interdire la mise à jour canal caché! remplacer les anciennes valeurs par les nouvelles perte de l'information qui était mise en place par un utilisateur 'haut' effectuer la mise à jour tout en conservant l'ancienne valeur! polyinstantiation 50

51 Polyinstanciation (3) On insère le n-uplet Ceci donne plusieurs n-uplets avec la même clé primaire! pour résoudre cette situation, on étend la notion de clé primaire, en y incorporant les classes d'accès de chaque attribut du n-uplet cette définition nous donne de nouveau une clé primaire unique Règle d'intégrité de la polyinstantiation si 2 n-uplets d'une relation de base ont la même clé primaire et qu'un des attributs a la même classe d'accès dans les 2 n-uplets, alors la valeur de l attribut sera la même dans les 2 n-uplets si 2 n-uplets d'une relation de base ont la même clé primaire et que, pour un des attributs, les classes d'accès diffèrent, alors la valeur de l attribut pourra être différente entre les 2 n-uplets 51

52 Polyinstanciation (4) Exemple de polyinstantiation sur le n-uplet 'Vol = AF211' après mise à jour 'Dest = Nice' [P] et 'Sièges = 0' [P] Vols Dest Sièges AC909 [C] Montréal [C] 4 [C] [C] AA334 [P] Chicago [P] 10 [P] [P] AF211 [P] Paris [C] 7 [C] [C] AF211 [P] Paris [C] 0 [P] [C] AF211 [P] Nice [P] 7 [C] [C] AF211 [P] Nice [P] 0 [P] [P] 52

53 Polyinstanciation: discussion Une BD représente normalement des faits réels la polyinstantiation introduit une ambiguïté autour de ces faits, puisqu'il existe plusieurs entrées pour la même entité externe à quel point est-il nécessaire de protéger un objet de haut niveau par un objet de plus bas niveau et une fausse histoire? Ces problèmes découlent d'une décision de camoufler l'existence d'objets confidentiels on peut concevoir un SGBD multi-niveaux où tous les objets sont visibles, mais dont le contenu est protégé par les classes d'accès même les étiquettes de sécurité sur les objets sont visibles dans ce cas, la révélation de l'existence d'un objet ne constitue pas un flot d'information illégal (canal caché) 53

54 Polyinstanciation: discussion (2) Reprenons l'exemple qui nous a amené à parler de polyinstantiation pour 'Vol = AF211', il pourrait vouloir changer 'Dest = Nice' et 'Sièges = 0' dans ce cas, on peut maintenant indiquer sans danger à l utilisateur que la requête est refusée Il reste un problème: comment ajouter des données à une relation sans violer la règle étoile? en déléguant la création d'objet à un utilisateur spécial CRÉATEUR, dont la classe d'accès correspond au bas du système des données bidon sont écrites dans l'objet la classe d'objet est ensuite montée à celle désirée par l utilisateur original 54

55 Insertion et contraintes d intégrité Comment intégrer au SGDB multi-niveaux les contraintes d'intégrité (CI)? ex: validation des attributs, des domaines et de la cohérence chaque CI est aussi un objet du SGBD, avec sa classe d'accès Règle sur les CI la classe d'accès d'une CI doit dominer la classe d'accès de toutes les relations sur lesquelles elle s'applique Problème: un utilisateur 'bas' essaie de mettre à jour un attribut 'bas', contrôlé par une CI 'haute' (donc invisible à l utilisateur) si on refuse l'accès, on indique à l utilisateur qu'il existe une CI qu'il ne voit pas (canal caché) si on accorde l'accès, on pourrait violer la contrainte d'intégrité 55

56 Insertion et contraintes d intégrité (2) Les contraintes d'intégrité peuvent elles aussi être créées à bas niveau et montées au niveau désiré les utilisateurs 'bas' connaissent l'existence de la contrainte, mais pas son contenu un utilisateur qui tente de mettre à jour un attribut 'bas' contrôlé par une contrainte 'haute' pourra sans problèmes se faire dire que la mise à jour lui sera refusée Si une relation contient des n-uplets dont la clé primaire est confidentielle, on pourra séparer la relation en 2 sous-relations: une relation où toutes les clés primaires sont publiques une relation où toutes les clés primaires sont confidentielles 56

57 Insertion et contraintes d intégrité (3) Exemple de séparation de relation Réservations publiques Vols Dest Sièges AA334 [P] Chicago [P] 10 [P] [P] AF211 [P] Paris [C] 7 [C] [C] Réservations confidentielles Vols Dest Sièges AC909 [C] Montréal [C] 4 [C] [C] Désavantages de l'insertion à bas niveau la création d'objets et l'assignation de la classe d'accès finale est sous le contrôle d'utilisateurs de bas niveau ceci peut entrer en conflit avec la politique de sécurité déjà établie une étape supplémentaire est requise, donc délai d'opération 57

58 Gestion des leurres Un leurre est une information fausse introduite dans une base de données multi-niveaux pour protéger l existence d une information sensible Supposons que l information «Dupont gagne euros» est classée au niveau Secret on note cette information [Secret]Salaire(Dupont, 30000) où [Secret]p signifie que l information représenté par p est classée au niveau Secret Supposons que la base contient également [Public]Salaire(Dupont, 22000) c est un leurre Pourquoi? 58

59 Gestion des leurres (2) Supposons qu un utilisateur U de niveau Public pose la question: quel est le salaire de Dupont? La base ne peut pas répondre puisque l information est secrète si la base répond: vous n avez pas le droit de connaître cette information U peut déduire que le niveau de l information n est pas public, c est déjà une information! cela est représenté par x, [Secret]Salaire(Dupont, x) mais on peut considérer que cette information doit être secrète [Secret]( x, [Secret]Salaire(Dupont, x)) Dans ce cas, la base ne peut rien répondre, et utilise le leurre! 59

60 Inférence non autorisée d informations Pour simplifier le discours, on ne considère que deux niveaux de classification: Secret et Public Le problème: est-il possible de déduire des informations de niveau Secret en utilisant des informations de niveau Public? Premier exemple on suppose la relation suivante: IDVol Avion Marchandise Classification 1254 A Bottes Public 1254 B Yahourts Public 1254 C Bombe atomique Secret 1254 D Beurre Public 60

61 Inférence non autorisée d informations (2) Un utilisateur sans le niveau Secret verra: IDVol Avion Marchandise Classification 1254 A Bottes Public 1254 B Yahourts Public 1254 D Beurre Public S il essaie d insérer le n-uplet(1254,c,toto,public), il y aura un message d erreur, et donc il pourra déduire qu il y a une marchandise secrète dans (1254,C)! 61

62 Inférence non autorisée d informations (3) On considère la base suivante: Nom Emploi Âge Salaire Département Bureau Alice Manager Marketing 2ème Bob Secrétaire Marketing 2ème Charles Secrétaire Production 1er Denise Manager Ventes 2ème On suppose que l on n a pas le droit de demander dans quel département travaille un employé Exemples d inférence Q1 = (Âge; Nom = Alice ) Q2 = (Département; Âge < 40) 62

63 Inférence non autorisée d informations (3) On considère la base suivante: Nom Emploi Âge Salaire Département Bureau Alice Manager Marketing 2ème Bob Secrétaire Marketing 2ème Charles Secrétaire Production 1er Denise Manager Ventes 2ème On suppose que l on n a pas le droit de demander dans quel département travaille un employé Exemples d inférence Q1 = (Âge; Nom = Alice ) Q2 = (Département; Âge < 40) Alice travaille dans le département Marketing 62

64 Inférence non autorisée d informations (4) On considère la base suivante: Nom Emploi Âge Salaire Département Bureau Alice Manager Marketing 2ème Bob Secrétaire Marketing 2ème Charles Secrétaire Production 1er Denise Manager Ventes 2ème On suppose que l on ne peut pas demander quel est le salaire d un employé Exemples d inférence Q1 = (Âge; Nom = Charles ) Q2 = (Âge, Salaire; Âge 40) 63

65 Inférence non autorisée d informations (4) On considère la base suivante: Nom Emploi Âge Salaire Département Bureau Alice Manager Marketing 2ème Bob Secrétaire Marketing 2ème Charles Secrétaire Production 1er Denise Manager Ventes 2ème On suppose que l on ne peut pas demander quel est le salaire d un employé Exemples d inférence Q1 = (Âge; Nom = Charles ) Q2 = (Âge, Salaire; Âge 40) Charles gagne

66 Inférence non autorisée d informations (5) On considère la base suivante: Nom Emploi Âge Salaire Département Bureau Alice Manager Marketing 2ème Bob Secrétaire Marketing 2ème Charles Secrétaire Production 1er Denise Manager Ventes 2ème Exemples d inférence Q1 = (Nom; Emploi = Manager ^ Âge = 35) Q2 = (Salaire; Emploi = Manager ) Q3 = (Salaire; Âge = 35) 64

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet. HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Journées CFSSI Sécurité et SGBD Nicolas Jombart

Plus en détail

Sécurité des bases de données Nicolas Jombart Alain Thivillon

Sécurité des bases de données Nicolas Jombart Alain Thivillon HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des bases de données Nicolas Jombart Alain Thivillon Place

Plus en détail

Partie II Cours 3 (suite) : Sécurité de bases de données

Partie II Cours 3 (suite) : Sécurité de bases de données Partie II Cours 3 (suite) : Sécurité de bases de données ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours 1 Introduction

Plus en détail

Chapitre 1 : Introduction aux bases de données

Chapitre 1 : Introduction aux bases de données Chapitre 1 : Introduction aux bases de données Les Bases de Données occupent aujourd'hui une place de plus en plus importante dans les systèmes informatiques. Les Systèmes de Gestion de Bases de Données

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web Rencontres SPIRAL 25/02/03 Vulnérabilités et sécurisation des applications Web Pourquoi les firewalls sont impuissants face à certaines attaques patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com

Plus en détail

INF4420/ 6420 Sécurité informatique

INF4420/ 6420 Sécurité informatique Directives : INF4420/ 6420 Sécurité informatique Examen final - SOLUTIONS 8 décembre 2004 Profs. : François-R Boyer & José M. Fernandez - La durée de l examen est deux heures et demi L examen est long.

Plus en détail

Cours Base de données relationnelles. M. Boughanem, IUP STRI

Cours Base de données relationnelles. M. Boughanem, IUP STRI Cours Base de données relationnelles 1 Plan 1. Notions de base 2. Modèle relationnel 3. SQL 2 Notions de base (1) Définition intuitive : une base de données est un ensemble d informations, (fichiers),

Plus en détail

1. LA GESTION DES BASES DE DONNEES RELATIONNELLES

1. LA GESTION DES BASES DE DONNEES RELATIONNELLES Dossier G11 - Interroger une base de données La base de données Facturation contient tout un ensemble d'informations concernant la facturation de la SAFPB (société anonyme de fabrication de produits de

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail

Généralités sur les bases de données

Généralités sur les bases de données Généralités sur les bases de données Qu est-ce donc qu une base de données? Que peut-on attendre d un système de gestion de bases de données? Que peut-on faire avec une base de données? 1 Des données?

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

Présentation du module Base de données spatio-temporelles

Présentation du module Base de données spatio-temporelles Présentation du module Base de données spatio-temporelles S. Lèbre slebre@unistra.fr Université de Strasbourg, département d informatique. Partie 1 : Notion de bases de données (12,5h ) Enjeux et principes

Plus en détail

SÉCURITÉ DES BASES DE DONNÉES SOUS ORACLE

SÉCURITÉ DES BASES DE DONNÉES SOUS ORACLE SÉCURITÉ DES BASES DE DONNÉES SOUS ORACLE SÉCURITÉ DES DONNÉES La sécurité de l information est vitale. Elle conditionne l activité économique des entreprises et la confiance dans les organismes publics

Plus en détail

6 Conception de la gestion des correctifs

6 Conception de la gestion des correctifs Conception de la gestion des correctifs Par définition, la gestion des correctifs et mises à our est le processus qui permet de contrôler le déploiement et la maintenance des versions intermédiaires de

Plus en détail

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès 259 Chapitre 6 La sécurité 1. Introduction La sécurité La sécurité des données est un enjeu capital. Une base de données peut être amenée à stocker des données très sensibles, confidentielles. L'implémentation

Plus en détail

Introduction à la sécurité des systèmes embarqués

Introduction à la sécurité des systèmes embarqués RMLL 2007 Introduction à la sécurité des systèmes embarqués email web : kadionik@enseirb.fr : http://www.enseirb.fr/~kadionik http://www.enseirb.fr/cosynux/ Patrice KADIONIK ENSEIRB - IMS pk/enseirb/2007-1-

Plus en détail

Stratégie de sécurité grâce au logiciel libre. Frédéric Raynal Cédric Blancher

Stratégie de sécurité grâce au logiciel libre. Frédéric Raynal <pappy@miscmag.com> Cédric Blancher <blancher@cartel-securite.fr> Stratégie de sécurité grâce au logiciel libre Frédéric Raynal Cédric Blancher 1 Agenda du workshop Introduction Le logiciel libre et la sécurité GNU/Linux

Plus en détail

Le modèle de sécurité windows

Le modèle de sécurité windows Le modèle de sécurité windows Cours Windows 2008-2009 Franck Rupin - Laurent Gydé 1 Le modèle de sécurité windows 1 Généralités 2 Les composants du système de sécurité 3 La protection des objets 4 Audit

Plus en détail

Chapitre 10. Architectures des systèmes de gestion de bases de données

Chapitre 10. Architectures des systèmes de gestion de bases de données Chapitre 10 Architectures des systèmes de gestion de bases de données Introduction Les technologies des dernières années ont amené la notion d environnement distribué (dispersions des données). Pour reliér

Plus en détail

Bases de Données. Plan

Bases de Données. Plan Université Mohammed V- Agdal Ecole Mohammadia d'ingénieurs Rabat Bases de Données Mr N.EL FADDOULI 2014-2015 Plan Généralités: Définition de Bases de Données Le modèle relationnel Algèbre relationnelle

Plus en détail

Cours: Administration d'une Base de Données

Cours: Administration d'une Base de Données Bases de Données Avancées Module A IUT Lumière, License CE-STAT 2006-2007 Pierre Parrend Cours: Administration d'une Base de Données Table of Contents Principes...1 Structure d'un Base de Données...1 Architecture...1

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

4. Utilisation d un SGBD : le langage SQL. 5. Normalisation

4. Utilisation d un SGBD : le langage SQL. 5. Normalisation Base de données S. Lèbre slebre@unistra.fr Université de Strasbourg, département d informatique. Présentation du module Contenu général Notion de bases de données Fondements / Conception Utilisation :

Plus en détail

TD n o 8 - Domain Name System (DNS)

TD n o 8 - Domain Name System (DNS) IUT Montpellier - Architecture (DU) V. Poupet TD n o 8 - Domain Name System (DNS) Dans ce TD nous allons nous intéresser au fonctionnement du Domain Name System (DNS), puis pour illustrer son fonctionnement,

Plus en détail

ORACLE TUNING PACK 11G

ORACLE TUNING PACK 11G ORACLE TUNING PACK 11G PRINCIPALES CARACTÉRISTIQUES : Conseiller d'optimisation SQL (SQL Tuning Advisor) Mode automatique du conseiller d'optimisation SQL Profils SQL Conseiller d'accès SQL (SQL Access

Plus en détail

Concilier mobilité et sécurité pour les postes nomades

Concilier mobilité et sécurité pour les postes nomades Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de

Plus en détail

dans laquelle des structures vont être créées pour une ou plusieurs applications.

dans laquelle des structures vont être créées pour une ou plusieurs applications. Création d'une nouvelle base de données A. Vue d'ensemble 1. Étapes de création d'une nouvelle base de données pour une application Le processus complet de création d'une nouvelle base de données pour

Plus en détail

Sécurisation en local

Sécurisation en local Attaques locales (internes) Sécurisation en local Indépendamment de la présence d un réseau Espionnage quand même possible Émission électromagnétiques Norme tempest Dispositifs sans fil Clavier/souris

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Sécurité des systèmes informatiques Introduction

Sécurité des systèmes informatiques Introduction Année 2008-2009 Sécurité des systèmes informatiques Introduction Nicolas Baudru mél : nicolas.baudru@esil.univmed.fr page web : nicolas.baudru.esil.perso.univmed.fr 1 Système d'information et système informatique

Plus en détail

SQL MAP. Etude d un logiciel SQL Injection

SQL MAP. Etude d un logiciel SQL Injection Introduction Ce TP a pour but d analyser un outil d injection SQL, comprendre les vulnérabilités d une BD et de mettre en œuvre une attaque par injection SQL. Prise en main du logiciel SQLMap est un outil

Plus en détail

PARAGON SYSTEM BACKUP 2010

PARAGON SYSTEM BACKUP 2010 PARAGON SYSTEM BACKUP 2010 Paragon System Backup 2010 2 Manuel d'utilisation SOMMAIRE 1 Introduction...3 1.1 Comment System Backup protège mon ordinateur?...3 1.1.1 Emplacement du stockage des clichés...

Plus en détail

Département Génie Informatique

Département Génie Informatique Département Génie Informatique BD51 : Business Intelligence & Data Warehouse Projet Rédacteur : Christian FISCHER Automne 2011 Sujet : Développer un système décisionnel pour la gestion des ventes par magasin

Plus en détail

CHAPITRE 4 POLITIQUES DE CONTRÔLES DES ACCÈS SOUS ORACLE ADMINISTRATION ET TUNING DE BASES DE DONNÉES 10/05/2015 RESPONSABLE DR K.

CHAPITRE 4 POLITIQUES DE CONTRÔLES DES ACCÈS SOUS ORACLE ADMINISTRATION ET TUNING DE BASES DE DONNÉES 10/05/2015 RESPONSABLE DR K. Université des sciences et de la Technologie Houari Boumediene USTHB Alger Département d Informatique CHAPITRE 4 ADMINISTRATION ET TUNING DE BASES DE DONNÉES RESPONSABLE DR K. BOUKHALFA POLITIQUES DE CONTRÔLES

Plus en détail

PRESENTATION. Document1 Serge GUERINET Page 1

PRESENTATION. Document1 Serge GUERINET Page 1 PRESENTATION Les domaines couverts par la série STG sont tous des pourvoyeurs ou exploitants des bases de données. Que l'on gère la relation aux clients, le suivi de l'activité financière, la comptabilité

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

Faculté des sciences de gestion et sciences économiques BASE DE DONNEES

Faculté des sciences de gestion et sciences économiques BASE DE DONNEES BASE DE DONNEES La plupart des entreprises possèdent des bases de données informatiques contenant des informations essentielles à leur fonctionnement. Ces informations concernent ses clients, ses produits,

Plus en détail

Bases de données et sites WEB

Bases de données et sites WEB Bases de données et sites WEB Cours2 : Sécurité et contrôles d accès Anne Doucet 1 Authentification Autorisation Privilèges Rôles Profils Limitations de ressources Plan Audit Contrôle d accès via les vues

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail

INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling

INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling Gabriel Corvalan Cornejo Gaëtan Podevijn François Santy 13 décembre 2010 1 Modélisation et récolte d information du système 1.1 Information

Plus en détail

CELAR/CASSI Étude des logiciels libres Rapport d étude 7-9 : Sécurisation des SGBDR

CELAR/CASSI Étude des logiciels libres Rapport d étude 7-9 : Sécurisation des SGBDR Auteur : Patrick BON Éric LEMIÈRE Référence : Version : 1.0 Date : 30/06/2000 État : Approuvée Approbateur : Guy AUTIER Philippe CHAPSAL CELAR/CASSI Étude des logiciels libres Rapport d étude 7-9 : Sécurisation

Plus en détail

Présentation du module. Base de données spatio-temporelles. Exemple. Introduction Exemple. Plan. Plan

Présentation du module. Base de données spatio-temporelles. Exemple. Introduction Exemple. Plan. Plan Base de données spatio-temporelles S. Lèbre slebre@unistra.fr Université de Strasbourg, département d informatique. Présentation du module Contenu général Partie 1 : Notion de bases de données (Conception

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

OmniVista 2700 Application complémentaires pour l OmniVista 2500 Network Management

OmniVista 2700 Application complémentaires pour l OmniVista 2500 Network Management OmniVista 2700 Application complémentaires pour l OmniVista 2500 Network Management OmniVista 2730 PolicyView Alcatel-Lucent OmniVista 2730 PolicyView avec OneTouch QoS simplifie la tâche complexe de configurer

Plus en détail

Gestion des utilisateurs et de leurs droits

Gestion des utilisateurs et de leurs droits Gestion des utilisateurs et de leurs droits Chap. 12, page 323 à 360 Lors de la création d'un utilisateur vous devez indiquer son nom, ses attributs, son profil, la méthode d'authentification (par le SE

Plus en détail

SGBDR. Systèmes de Gestion de Bases de Données (Relationnelles)

SGBDR. Systèmes de Gestion de Bases de Données (Relationnelles) SGBDR Systèmes de Gestion de Bases de Données (Relationnelles) Plan Approches Les tâches du SGBD Les transactions Approche 1 Systèmes traditionnels basés sur des fichiers Application 1 Gestion clients

Plus en détail

Documentation de produit SAP Cloud for Customer (novembre 2013) Nouveautés de SAP Cloud for Customer pour les administrateurs

Documentation de produit SAP Cloud for Customer (novembre 2013) Nouveautés de SAP Cloud for Customer pour les administrateurs Documentation de produit PUBLIC de SAP Cloud for Customer pour les administrateurs Table des matières 1 de SAP Cloud for Customer pour les administrateurs.... 4 Table des matières P U B L I C 2011, 2012,

Plus en détail

Gestion des documents associés

Gestion des documents associés Gestion des documents associés Gestion des documents associés 1 Introduction 1.1 1.2 Introduction 4 Principe des deux modes de gestion des documents 5 2 Les pièces jointes ArcGIS 2.1 2.2 2.3 2.4 2.5 2.6

Plus en détail

Utiliser Access ou Excel pour gérer vos données

Utiliser Access ou Excel pour gérer vos données Page 1 of 5 Microsoft Office Access Utiliser Access ou Excel pour gérer vos données S'applique à : Microsoft Office Access 2007 Masquer tout Les programmes de feuilles de calcul automatisées, tels que

Plus en détail

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle

Plus en détail

Création d'un site dynamique en PHP avec Dreamweaver et MySQL

Création d'un site dynamique en PHP avec Dreamweaver et MySQL Création d'un site dynamique en PHP avec Dreamweaver et MySQL 1. Création et configuration du site 1.1. Configuration de Dreamweaver Avant de commencer, il est nécessaire de connaître l'emplacement du

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

Pour les débutants. langage de manipulation des données

Pour les débutants. langage de manipulation des données Pour les débutants SQL : langage de manipulation des données Les bases de données sont très utilisées dans les applications Web. La création, l interrogation et la manipulation des données de la base sont

Plus en détail

COMMENT DÉFINIR L ORIENTÉ OBJET

COMMENT DÉFINIR L ORIENTÉ OBJET COMMENT DÉFINIR L ORIENTÉ OBJET De manière superficielle, le terme «orienté objet», signifie que l on organise le logiciel comme une collection d objets dissociés comprenant à la fois une structure de

Plus en détail

Rapport de Cryptographie

Rapport de Cryptographie Cryptographie [MIF30] / Année 2008-2009 Rapport de Cryptographie Les Injections SQL Sylvie Tixier & François-Xavier Charlet Page 1 20/05/2009 Sommaire Introduction...3 Définition d une injection SQL...3

Plus en détail

Cours Bases de données

Cours Bases de données Informations sur le cours Cours Bases de données 9 (10) séances de 3h Polycopié (Cours + TD/TP) 3 année (MISI) Antoine Cornuéjols www.lri.fr/~antoine antoine.cornuejols@agroparistech.fr Transparents Disponibles

Plus en détail

Les bases de données Page 1 / 8

Les bases de données Page 1 / 8 Les bases de données Page 1 / 8 Sommaire 1 Définitions... 1 2 Historique... 2 2.1 L'organisation en fichier... 2 2.2 L'apparition des SGBD... 2 2.3 Les SGBD relationnels... 3 2.4 Les bases de données objet...

Plus en détail

BD Avancées TRAVAUX DIRIGÉS. UFR Sciences et Techniques. IUP Blois Master SIR 1 année

BD Avancées TRAVAUX DIRIGÉS. UFR Sciences et Techniques. IUP Blois Master SIR 1 année UFR Sciences et Techniques IUP Blois Master SIR 1 année BD Avancées TRAVAUX DIRIGÉS Enseignant Jean-Yves ANTOINE (Jean-Yves.Antoine AT univ-tours.fr) Sécurité des données CONTRÔLE DES ACCES CONCURRENTS

Plus en détail

Configuration de plusieurs serveurs en Load Balancing

Configuration de plusieurs serveurs en Load Balancing Le serveur de communication IceWarp Configuration de plusieurs serveurs en Load Balancing Version 10.4 27 février 2013 Icewarp France / DARNIS Informatique i Sommaire Configuration de plusieurs serveurs

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Comment activer un accès pratique et sécurisé à Microsoft SharePoint?

Comment activer un accès pratique et sécurisé à Microsoft SharePoint? DOSSIER SOLUTIONS SharePoint Security Solution de CA Technologies Comment activer un accès pratique et sécurisé à Microsoft SharePoint? agility made possible La solution de sécurité SharePoint proposée

Plus en détail

SPF FIN. Patris Spécification de Use Case: 15-UC01 Obtenir de l'information patrimoniale. Version 1.1

SPF FIN. Patris Spécification de Use Case: 15-UC01 Obtenir de l'information patrimoniale. Version 1.1 SPF FIN Patris Spécification de Use Case: 15-UC01 Obtenir de l'information patrimoniale Version 1.1 Spécification de Use Case: 15-UC01 Obtenir de l'information patrimoniale Date: 17/06/2004 Historique

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x SQUID P r o x y L i b r e p o u r U n i x e t L i n u x 1. P r é s e n t a t i o n : SQUID est un proxy (serveur mandataire en français) cache sous linux. De ce fait il permet de partager un accès Internet

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Rapport d'architecture

Rapport d'architecture Romain Alexandre Cécile Camillieri Rapport d'architecture 1 / 12 Table des matières I) Description du projet p. 3 1) Canaux de communication p. 3 2) Diagrammes de cas d'utilisation p. 3 II) Gestion des

Plus en détail

Sage 100 CRM Guide de l Import Plus avec Talend Version 8. Mise à jour : 2015 version 8

Sage 100 CRM Guide de l Import Plus avec Talend Version 8. Mise à jour : 2015 version 8 Sage 100 CRM Guide de l Import Plus avec Talend Version 8 Mise à jour : 2015 version 8 Composition du progiciel Votre progiciel est composé d un boîtier de rangement comprenant : le cédérom sur lequel

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module II : Sécurité SE et des logiciels José M. Fernandez M-3109 340-4711 poste 5433 Module II Aperçu Semaine 5 Sécurité dans les systèmes d'exploitation (SE) Contrôle d'accès dans les SE

Plus en détail

OASIS www.oasis-open.org/committees/xacml/docs/docs.shtml Date de publication

OASIS www.oasis-open.org/committees/xacml/docs/docs.shtml Date de publication Statut du Committee Working Draft document Titre XACML Language Proposal, version 0.8 (XACML : XML Access Control Markup Language) Langage de balisage du contrôle d'accès Mot clé Attestation et sécurité

Plus en détail

1. Qu'est-ce que SQL?... 2. 2. La maintenance des bases de données... 2. 3. Les manipulations des bases de données... 5

1. Qu'est-ce que SQL?... 2. 2. La maintenance des bases de données... 2. 3. Les manipulations des bases de données... 5 1. Qu'est-ce que SQL?... 2 2. La maintenance des bases de données... 2 2.1 La commande CREATE TABLE... 3 2.2 La commande ALTER TABLE... 4 2.3 La commande CREATE INDEX... 4 3. Les manipulations des bases

Plus en détail

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document POUR MAC Guide de démarrage rapide Cliquez ici pour télécharger la version la plus récente de ce document ESET Cyber Security apporte à votre ordinateur une excellente protection contre les codes malveillants.

Plus en détail

Vulnérabilités logicielles Injection SQL. Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI

Vulnérabilités logicielles Injection SQL. Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI Vulnérabilités logicielles Injection SQL Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI 1 Plan SQL Injection SQL Injections SQL standards Injections SQL de requêtes

Plus en détail

État Réalisé En cours Planifié

État Réalisé En cours Planifié 1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture

Plus en détail

1 Introduction et installation

1 Introduction et installation TP d introduction aux bases de données 1 TP d introduction aux bases de données Le but de ce TP est d apprendre à manipuler des bases de données. Dans le cadre du programme d informatique pour tous, on

Plus en détail

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader Gestion des Clés Pr Belkhir Abdelkader Gestion des clés cryptographiques 1. La génération des clés: attention aux clés faibles,... et veiller à utiliser des générateurs fiables 2. Le transfert de la clé:

Plus en détail

Comment votre PC peut-il être piraté sur Internet?

Comment votre PC peut-il être piraté sur Internet? Edited By BIANCHI Lorenzo A.C.S2013SERVICES INFORMATIQUE 2014 Comment votre PC peut-il être piraté sur Internet? Comment votre PC peut-il être piraté sur Internet? Toujours le fait de personnes malveillantes,

Plus en détail

Sécurité d un site php

Sécurité d un site php Sensibilisation IUT de Fontainebleau 8 juin 2015 1 2 1 2 Enjeux L application manipulent-ils des données fiables? L application interagit-elle avec le bon interlocuteur? Le secret des données échangées

Plus en détail

Restriction sur matériels d impression

Restriction sur matériels d impression Restriction sur matériels d impression Objectif : Restreindre l accès aux matériels multifonctions Description des matériels : Serveur d impression : SVAWAV01 (10.204.1.204) Ricoh Aficio MP C4501 o IP

Plus en détail

AGRÉGATION «ÉCONOMIE ET GESTION»

AGRÉGATION «ÉCONOMIE ET GESTION» AGRÉGATION «ÉCONOMIE ET GESTION» CONCOURS INTERNE SESSION 2002 ÉPREUVE SUR LES TECHNIQUES DE GESTION ET COMPORTANT DES ASPECTS PÉDAGOGIQUES DOMAINE : économie et gestion informatique Durée de préparation

Plus en détail

Chap. I : Introduction à la sécurité informatique

Chap. I : Introduction à la sécurité informatique UMR 7030 - Université Paris 13 - Institut Galilée Cours Sécrypt Les exigences de la sécurité de l information au sein des organisations ont conduit à deux changements majeurs au cours des dernières décennies.

Plus en détail

Sécurité dans les développements

Sécurité dans les développements HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité dans les développements Paris, 11 mai 2007 Hervé Schauer

Plus en détail

Génie logiciel. Concepts fondamentaux. Bruno MERMET, Université du Havre 1

Génie logiciel. Concepts fondamentaux. Bruno MERMET, Université du Havre 1 Génie logiciel Concepts fondamentaux Bruno MERMET, Université du Havre 1 Nécessité du Génie Logiciel Bruno MERMET, Université du Havre 2 Développement d un logiciel Caractéristiques souhaitées : Adéquation

Plus en détail

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une

Plus en détail

Tutorial sur SQL Server 2000

Tutorial sur SQL Server 2000 Tutorial sur SQL Server 2000 Système d'exploitation est 2000 pro et Serveur 2000 Sommaire 1 - Installation... 2 2 - Mise à jour... 5 3 - Présentation... 7 3-1 - Service Manager (Démarrer/Programmes/Microsoft

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

COMMANDES SQL... 2 COMMANDES DE DEFINITION DE DONNEES... 2

COMMANDES SQL... 2 COMMANDES DE DEFINITION DE DONNEES... 2 SQL Sommaire : COMMANDES SQL... 2 COMMANDES DE DEFINITION DE DONNEES... 2 COMMANDES DE MANIPULATION DE DONNEES... 2 COMMANDES DE CONTROLE TRANSACTIONNEL... 2 COMMANDES DE REQUETE DE DONNEES... 2 COMMANDES

Plus en détail

NVU, Notepad++ (ou le bloc-note), MySQL, PhpMyAdmin. HTML, PHP, cas d utilisation, maquettage, programmation connaissances en HTML, PHP et SQL

NVU, Notepad++ (ou le bloc-note), MySQL, PhpMyAdmin. HTML, PHP, cas d utilisation, maquettage, programmation connaissances en HTML, PHP et SQL Prise en main de NVU et Notepad++ (conception d application web avec PHP et MySql) Propriétés Intitulé long Formation concernée Matière Présentation Description Conception de pages web dynamiques à l aide

Plus en détail

Menaces et sécurité préventive

Menaces et sécurité préventive HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18

Plus en détail

Quel SGBDR pour VFP?

Quel SGBDR pour VFP? D. Peralta le 4 mars 2008 Rencontres AtoutFox 2007/2008 Quel SGBDR pour VFP? Lors des précédentes rencontres, nous avons écrit des articles sur l utilisation des SGBDR avec VFP. Nous avons vu les différentes

Plus en détail

Administration d un serveur de base de données SQL Server 2000 Et programmation

Administration d un serveur de base de données SQL Server 2000 Et programmation Compte rendu d'activité Nature de l'activité : Administration d un serveur de base de données SQL Server 2000 Et programmation Contexte : Dans le cadre de l implémentation d une base de données (Access)

Plus en détail