Catégorie : Principes généraux

19/10/2017 Canaux auxiliaires
   Concepts, Principes généraux    ,
  Les attaques par canaux auxiliaires (ou «side channel atacks» en anglais) sont des attaques très particulières, qui utilisent les propriétés physiques d’un composant ou d’un microprocesseur. Tout peut servir : la chaleur ou le rayonnement émis, le temps de réponse, la consommation electrique, etc. En général, la cible est le processus de chiffrement pour attaquer […]
19/10/2017 Droits et IAM
   Concepts, Principes généraux  
  Quelques définitions Afin d’avoir les idées claires, voici quelques définitions aidant à appréhender la structuration d’une gestion de droits informatiques. Il est également utile d’être à l’aise avec la notion de DICP. Un rôle est un ensemble d’habilitations nécessaires à un type d’utilisation d’une ressource. Un rôle applicatif est un rôle propre à une (et […]
29/06/2017 Vote électronique
   Principes généraux, Vie privée    , ,
  Comme tout démocrate qui se respecte, je suis contre le vote électronique. Pour plein de raisons que je développerai quand j’en aurai le temps. Et si même le FBI qui ne connaît rien à l’informatique s’en inquiète, ça veut dire qu’il y a de quoi être inquiet. Symantec a prouvé la faisabilité d’une attaque en rachetant une machine […]
29/06/2017 Test d’intrusion
   Principes généraux  
  Déroulement du test Découverte du périmètre Retrouver l’ensemble des adresses IP exposées, des noms de domaines, etc. Reconnaissance Inventaire des matériels utilisés (routeurs, serveurs, etc) ainsi que des applicatifs (OS, serveurs web, serveurs applicatifs) et surtout leur versions. Recherche des failles et vulnérabilités potentielles. Attaque Exploitations des failles découvertes. Elévation de privilège ou parcours des […]
24/05/2017 Biométrie
   Principes généraux  
  La biométrie n’est pas, selon moi, adaptée aux processus informatiques. Point final.
16/05/2017 En cas d’incident
   Incidents, Principes généraux  
  Difficile de donner des consignes générales en cas d’incident. Le CERT-FR a tenté l’exercice avec une infographie assez générique, plutôt destinée aux petites structures. En cas de découverte d’une faille, il est normalement obligatoire de la déclarer en bonne et due forme. L’exception du ransomware Dans le cas d’un ransomware, la meilleure solution est d’éteindre […]