Sécurité des réseaux et des SI - Orange Business Services

La question des algorithmes cryptographiques mis en œuvre dans le cadre de la téléphonie mobile n'est pas nouvelle. Les modèles de conception et d'implémentation des algorithmes A5/1 et A5/2 pour assurer la confidentialité des communications dans les réseaux GSM ont été l'objet de critiques depuis le début des années 90'. Toutefois, ces algorithmes sont utilisés dans plus de 75% des réseaux mobiles de la planète et dans plus de 200 pays. 

Et oui, vous lisez bien : Il est possible d'écouter les communications d'un drone militaire de type Predator (environ 4,5 Millions de dollars la pièce).

La raison est simple : Les communications entre ce joujou technologique et les satellites géostationnaires ne sont pas cryptées !

Vous prenez donc votre antenne satellite, un PC, et le logiciel SkyGrabber (26 dollars) et c'est parti : Il vous est possible de voir ce que le drone Predator est en train de filmer. Mettez cela dans les mains de personnes un tant soit peux intéressées (c'est justement le cas ici) et elles savent ce que les militaires regardent derrière leur "grand œil" volant.

Nous avons à notre disposition un très bon cahier technique rédigé par christophe roland et j'aimerai le partager avec vous. vous pouvez le lire en pièce jointe.

Cahiers Techniques Securité EndUser v12.1.pdf

Des douves aux fortifications - renforcement des connexions et des accès.
La mobilité est le maître mot aujourd'hui. Tout le monde doit être mobile et tout le monde doit être connecté en permanence. Il en découle une question importante : comment se connecter et avoir accès aux ressources de l'entreprise sans en fragiliser le système d'information ?

Vers une approche globale ?
La protection de l'entreprise vis à vis des menaces informatiques et des risques opérationnels et financiers, requière donc de s'attacher aux utilisateurs et aux données qu'ils manipulent. Toute la difficulté est de couvrir l'ensemble des domaines pour assurer la sécurité la plus efficace, c'est-à-dire prévenir, protéger et contrôler les connexions réseaux, les périphériques, les données et les applicatifs. La DSI ne doit plus se contenter d'aborder chacun des domaines séparément. Il lui est nécessaire de mettre en place une approche globale associant les moyens techniques, la sensibilisation et l'adhésion des utilisateurs, ainsi que l'adaptation des procédures de l'entreprise.

bonne lecture

C'est le slogan de vente d'un glacier ami d'un ami d'un ami. Et en plus, un titre avec un arrière goût de vacances, il ne faut pas le refuser. Eh oui, la roue de la vie et de l'emploi tourne, les jeunes générations arrivent...et cela va bouger...

Une fois le balayage des problématiques effectué - identifiant les populations, les situations et les usages - en s'appuyant sur les macro-critères vus dans l'article précédent, il convient de comprendre l'état du marché et ses principaux drivers ainsi que les solutions technologiques disponibles, leurs périmètres d'application, leurs maturités et leurs pérennités.

Facebook souhaite offrir de nouvelles fonctionnalités pour protéger la vie privée de ses membres.

Ces derniers pourront, selon Facebook, dévoiler tel ou tel aspect de leur vie privée selon la catégorie à laquelle appartiennent les visiteurs qui consultent la page (amis d'amis, famille, collègues etc.).

Peut-être est-ce la conséquence de nos vidéos !!!

voir l'épisode 1  voir l'épisode 2

Ou plus exactement un pré-requis pour gérer la nouvelle fonctionnalité de micro-blogging afin de concurrencer Twitter !

Cependant, Facebook est sûrement le site offrant le plus d'options permettant de maîtriser les informations que l'on veut publier. Malheureusement, toutes ces options ne sont pas activées par défaut et font pâle figure face à la course aux amis qui alimente même les débats politiques ou certains se vantent d'avoir plus d'amis virtuels que ses concurrents !

Ces options sont un peu comme une ceinture de sécurité qui ne sert à rien si on ne l'utilise pas et ne servent à rien, encore une fois, si l'on peut avoir accès facilement à votre compte.

La semaine dernière j'ai encore eu un témoignage d'une utilisatrice qui s'est fait pirater son compte Facebook où le pirate la faisait passer pour une fille plutôt facile... Ce piratage aurait été plus difficile si son adresse mail ne servait pas à la fois de login et de mot de passe... CQFD.

Depuis l'avènement du téléphone portable (version GSM) le sans fil est devenu « a way of living » : WiFi à la maison, WiMax pour la couverture des zones blanches, paiement sans contact, réseaux militaires ad hoc...

Les avantages opérationnels sont indiscutables : Infrastructure légère qui permet un déploiement rapide. C'est ce qui a permis l'essor rapide du téléphone en Afrique, en Inde... Et puis une bonne résilience dans certains contextes : si un relai GSM tombe à Paris, le secours par un autre relai est généralement indolore.

Mais quid de la sécurité par essence ou par conception?

Confidentialités : Les ondes étant "audibles" par tous, l'échange peut être intercepté sans avoir à chercher la bonne paire téléphonique dans les égouts parisiens. Pire encore, l'identification peut éventuellement être copiée pour un rejeu ultérieur malveillant.
Disponibilité : Un simple émetteur micro-onde permet de brouiller des transmissions WiFi à un moment opportun. Les cas réels ne manquent pas.

On n'évoque ici les que défauts intrinsèques à la technologie. Mais on peut faire pire.

Dès sa conception, le GSM a fait preuve de quelques précautions induites par un mode de facturation « historique » basé sur l'enregistrement des appels et une identification relativement fiable de l'utilisateur.

Mais l'histoire du WiFi est une tranche de rigolade pure. J'annonce que je suis la borne WiFi de City Group. Ainsi le hacker ne perd pas son temps. Face aux critiques justifiées des experts sécurité, les artisans du WiFi ont inventé le WEP pour "Wired Equivalent Privacy". Cela ne s'invente pas. Puis sont arrivés le WPA et 802.1x. Il était temps.

Les autres techniques sans fil en déploiement, en expérimentation, ou en gestation seront-elles plutôt GSM ou plutôt WiFi ? Pour le savoir vous pouvez soumettre une contribution ou assister aux prochaines journées C&ESAR (ex Journées SSI du Celar) qui auront lieu du 24 au 26 novembre à Rennes : « Sécurité sans fil ... ou sans filet? »


http://www.rennes.supelec.fr/CESAR/
http://www.rennes.supelec.fr/CESAR/CESAR_2009.pdf

Il n'est plus besoin de convaincre que le cloud computing est un sujet d'actualité (annonces fournisseurs, conférence RSA 2009...). Je lisais hier encore l'annonce d'un groupe industriel du domaine de la conception/fabrication de composants pour l'industrie automobile en la matière : "les 30 000 salariés connectés à Internet du Groupe ont désormais accès à une nouvelle plateforme de travail collaboratif et de communication".
L'adoption du modèle cloud computing par les entreprises renforce ainsi la posture sécurité de l'utilisateur final.

Essentiellement dicté par un besoin grandissant de partage de l'information et d'accélération des échanges, d'augmentation de la productivité et de la flexibilité, la nécessaire ouverture du Système d'Information de l'entreprise est un défi permanent pour les DSI qui se retrouvent alors confrontées à devoir proposer des solutions d'accès distants répondant à la fois aux demandes métiers tout en assurant un niveau de sécurité optimal en adéquation avec le paramètre criticité et les exigences budgétaires.

Exercice pas toujours évident surtout que le risque de transformer la problématique métier en débat d'expert, et d'occulter le principal enjeu qui est de clairement identifier les populations cibles, les situations et les usages associés, est grand.

Comment ça vous trouvez mon offre très chère ? Vous trouvez que j'exagère sur les prix ? Pourtant c'est le coût moyen d'un ordinateur portable volé.