Bienvenue sur Le Portail Québécois de la Sécurité de l'information
Hakin9 Le magazine de la Sécurité
Recherche



Sites Recommandés

Association de Sécurité de l'information du Montréal Métropolitain
Association de Sécurité de l'information du Montréal Métropolitain

Association de la Sécurité de l'Information du Québec
Association de la Sécurité de l'Information du Québec


Magazines en ligne

Magazine SECUS.ca

Magazine Direction Informatique


** Qui est en ligne? **
Il y a pour le moment 39 invité(s) et 7 membre(s) en ligne.

Vous êtes un visiteur anonyme. Vous pouvez vous enregistrer gratuitement en cliquant ici.

** Téléchargements **
· 1: Introduction et survol des Systèmes de Détection des Intrusions
· 2: Technique de Spoofing IP moderne
· 3: Livre Blanc sur les ICP ou PKI
· 4: Article sur le Wardriving du Magazine Hakin9 de Janvier 2004
· 5: Foire aux questions sur les firewalls FAQ
· 6: Depassement de tampon sous Linux X86
· 7: Lignes directrices sur l'évaluation des facteurs relatifs à la vie privée
· 8: Systeme IPS basé sur Snort
· 9: Politique d’évaluation des facteurs relatifs à la vie privée

* Les Meilleurs Liens *
· 1: Technique de Spoofing IP moderne
· 2: Security Challenge
· 3: Support-fr.com reseaux et seucrite
· 4: Magazine MISC Sécurité Informatique
· 5: Hervé Schauer Consultants
· 6: L'Association des Professionnels de la Vérification et du Contrôle des Systèmes d'Information
· 7: Bulletin Sécurité Informatique du CNRS
· 8: Revue Sécurité Informatique du CNRS
· 9: Hakin9
· 10: Savoir-Faire Linux

 
Le Portail Québécois de la Sécurité de l'information: Logiciel de Portail

Search on This Topic:   
[ Go to Home | Select a New Topic ]

Logiciel de Portail Hackfest 2010: 5 et 6 novembre
Transmis par patron le Mercredi, 06 octobre 2010 @ 10:43:28 CEST (2306 lectures)

 Anonymous a écrit : "

Bonjour à tous,

Le Hackfest 2010 (http://www.hackfest.ca) arrive à grands pas, dans exactement un mois l’un des plus gros évènements en sécurité et hacking au Québec aura lieu à Québec (Ste-Foy) à l’hôtel Classique (http://bit.ly/8ZbXi7) les 5 et 6 novembre prochain.

Cette année, nous avons une formule améliorée telle que le dit notre slogan 2010 : “harder, better, longer, stronger”. L’évènement est maintenant sur une période de deux jours, le vendredi contient des présentations pour un public plus élargi. Le samedi quant à lui reste dans l’ambiance underground et hacking avec des conférences plus techniques et pointues. http://www.hackfest.ca/?a=horaire

Mais le Hackfest c’est plus que ça! Les deux soirées de 18h00 à 03h00 comportent des concours de sécurité, de piratage informatique et de lockpicking. Le vendredi, nous avons pour vous une formule réalité entreprise. Inscrivez-vous pour participer en tant qu’employer d’une entreprise qui doit effectuer de l’espionnage industriel tout en protégeant sa propre compagnie. Le samedi, venez participer à notre Capture The Flag (CTF) original avec 3 tracks. Tout ceci est bien sûr accompagné d’une ambiance qui sera vous surprendre avec des DJs, des rafraîchissements et plus encore!

http://www.hackfest.ca/?a=games1 / http://www.hackfest.ca/?a=games2 / http://www.hackfest.ca/?a=games3

Cours SANS

Par contre si vous êtes un vrai de vrai qui aime avoir une fin de semaine 100% technique. Inscrivez-vous AVANT le 14 octobre à notre cours du SANS : Comprehensive Packet Analysis qui aura lieu le vendredi 5 novembre de 09h00 à 17h00 au coût de 995$ jusqu'au 6 octobre, par la suite 1095$, et ce, avec un rabais de 10% avec le discount code “COINS10” et l’inscription au Hackfest gratuite pour le vendredi soir et le samedi.

Inscrivez-vous ici:  http://www.sans.org/quebec-2010-cs-2/

Et pour plus de détails: http://hackfest.ca/?a=training

Hackfest et la communauté

En plus du Hackfest, impliquez-vous dans la communauté de sécurité et hacking du Québec en participant au Hackfest HackerSpace et au Hackfest Média:

http://community.hackfest.ca

http://media.hackfest.ca

Tout le monde peut participer, effectuer des présentations, écrire un article, venir assister aux rencontres et participer aux projets en cours!

Suivez-nous

Facebook: http://www.facebook.com/pages/Hackfest/133851126984

Twitter: http://www.twitter.com/hackfest_ca

LinkedIn: http://www.linkedin.com/groupRegistration?gid=2007109

 

 

"

(Suite... | 30 commentaires | Score: 0)

Logiciel de Portail Ingénierie Sociale
Transmis par patron le Mercredi, 02 septembre 2009 @ 08:18:18 CEST (3489 lectures)

 Anonymous a écrit : "

 

À l’heure où l’économie requiert toute notre attention, l’information et l’intelligence des systèmes, des processus et des organisations qui utilisent ces informations sont au cœur des stratégies de changement des entreprises. Ces changements s’accompagnent nécessairement de mesures de protection, mais on constate toutefois encore une approche par silos qui profite notamment à une résurgence de l’ingénierie sociale. Les moyens permettant de contrer cette dernière sont pourtant à la portée des entreprises, mais ils doivent s’intégrer à l’intérieur d’une approche holistique de la sécurité de l’information.

 

Bonne nouvelle !... On parle de plus en plus de protection des actifs informationnels et c’est une évolution significative, car il y a à peine quatre ans nous étions loin d’entendre les discours que tiennent aujourd’hui entreprises et experts du domaine. En effet, on a vu pendant trop longtemps la sécurité confinée à un niveau technologique, généralement informatique, sans arriver à la rattacher de façon efficace et cohérente à l’ensemble du cadre de gestion de l’entreprise.

 

Serions-nous entrés dans l’ère du changement ?

Je ne fais pas spécifiquement référence à une prochaine sortie de crise économique bien que cette situation influence fortement nos pratiques, mais tout permet de croire que la situation des entreprises en regard des bonnes pratiques de sécurité évolue positivement. Au moins, nous nous accordons sur le fait qu’il y ait de bonnes intentions en vue de l’adoption d’un modèle de protection centré sur le seul bien véritablement au cœur de nos activités : l’information. Cette évolution apporte bien sûr son lot de changements, d’autant plus que d’autres grands chantiers sont déjà en cours et visent pour l’essentiel la consolidation et la transformation des systèmes d’informations en regard des nouvelles tendances (ex. nuage informatique).

L’information, à l’origine du savoir et de la connaissance, soutient l’intelligence du monde des affaires…

On ne dira jamais assez l’importance du patrimoine informationnel, et encore plus en période de crise telle que nous la vivons. En effet, paradoxalement la situation actuelle est favorable à envisager les changements qui accompagneront l’évolution du monde des affaires pour les prochaines années. Dans ce contexte, on comprend facilement que l’information alimente directement le savoir et la connaissance, et en conséquence représente un avantage concurrentiel évident pour les entreprises, lorsqu’elle est bien maîtrisée. Ceci concerne notamment le modèle introduit par IBM « une planète intelligente », et qui accompagne d’ailleurs l’approche holistique qu’elle développe pour ses clients depuis des années en matière de protection des informations[1]. Ce concept global se base donc sur le fait qu’aujourd'hui, l'intelligence occupe une place de plus en plus importante dans la façon de travailler dans le monde — les systèmes et les processus grâce auxquels les biens sont conçus et les services sont fournis et circulent, et enfin comment autour d’eux des milliards de personnes et d’entreprises travaillent et vivent.

Qu'est-ce qui sous-tend cette réflexion ?

Force est de constater que le monde des affaires est fortement interconnecté, avec des moyens de plus en plus sophistiqués. Une des conséquences directes réside dans la quantité d'informations créées par toutes ces interactions qui augmentent de façon exponentielle. Tous ces biens et services fournis deviennent donc une partie essentielle de l’intelligence, notamment à la base du développement des entreprises. Dans cette évolution, les organisations, les personnes, et les systèmes d’information peuvent analyser ces montagnes de données et les transformer en décisions et mesures réelles capables de rendre le monde meilleur – plus intelligent.

Quelle place pour les mesures de protection ?

Ce premier constat établi, regardons-y de plus près afin de voir ce qu’il en est vraiment en matière de sécurité de l’information… On constate que les entreprises sont encore loin de passer de la parole aux actes concrets même si quelques initiatives, encore trop isolées, sont réalisées. En conséquence, la nature de ces initiatives ne permet pas d’appréhender globalement le défi que représente la protection des informations dont sont responsables les entreprises.

Une question de culture ?

D’une part, la culture actuelle n’en est pas encore à une saine gestion des informations sensibles, mais s’engage dans cette direction. De plus, on peut observer quelques dérives lorsqu’on s’intéresse à l’expansion exponentielle des réseaux sociaux (ex. Facebook), l’avènement de plus en plus affirmé du nuage informatique, la consolidation et la virtualisation des environnements de traitement de l’information, la délocalisation des informations elles-mêmes, et l’accélération de l’adoption de nouveaux modèles de travail (ex. télétravail, mobilité accrue) qui poussent à repenser la façon dont on se sert de l’information et comment on y accède.

Des initiatives de protection confinées aux contraintes légales et réglementaires…

D’autre part, les mesures de protection mises en place par les entreprises visent essentiellement à répondre aux lois et aux réglementations en vigueur, sans réellement chercher à redéfinir la portée de leurs besoins dans ce domaine. Ceci pose un problème compte tenu du flou que suggère le cadre légal et réglementaire actuel (ex. peu d’emphase sur l’approche comportementale et la gestion des identités intégrée aux réalités des entreprises).

 

Les techniques de fraudes évoluent avec la sophistication des mesures de protection…

Parallèlement à la situation décrite, on observe un phénomène qui, même s’il n’est pas récent, est de plus en plus préoccupant, et qui profite des manquements actuels : l’ingénierie sociale.

Ingénierie sociale : le fait de manipuler des personnes (et groupe de personnes) ou des moyens de communication afin de contourner les dispositifs de sécurité en place.

Si on devait résumer ce qui caractérise l’ingénierie sociale, ce serait avant tout la force de persuasion utilisée à des fins d’exploitation [de la naïveté] des personnes. Bien sûr, il existe plusieurs variantes observées selon les contextes et les structures de gestion en place au sein des entreprises, mais je dirais que c’est essentiellement ce point qui rend la pratique de l’ingénierie sociale si menaçante… S’appuyer sur la cupidité des personnes est également un facilitateur. Si on cherche à analyser un peu plus la situation, le manque évident de sensibilisation des employés et des gestionnaires en la matière ne contribue certainement pas à une prise de conscience collective du danger, ni d’ailleurs à le considérer individuellement (en d’autres termes : se sentir concerné et agir en tant qu’individu, de façon conséquente, et pour le bien commun de l’entreprise).

La réalité d’aujourd’hui fait que, à juger des efforts nécessaires afin d’atteindre leurs buts, les personnes malveillantes n’hésitent plus à avoir recours aux techniques souvent relativement simples d’ingénierie sociale. On assiste donc, en quelque sorte, à la résurgence d’un profil particulier de pirate, puisqu’il n’est plus nécessaire de maîtriser les nombreuses technologies informatiques pour accéder à des informations sensibles. On observe d’ailleurs que cette recrudescence de l’ingénierie sociale s’accompagne d’une augmentation des extorsions et des chantages, impliquant des sommes d’argent qui font prendre conscience aux entreprises de la valeur monétaire de leurs informations sur le marché.

 

Quel est le mode opératoire utilisé en ingénierie sociale ?

Il existe différentes approches utilisées en matière d’ingénierie sociale, mais on s’accorde généralement sur 5 grandes phases.

La phase d’étude et d’observation qui vise d’une part à gagner la confiance d’une personne ou d’un groupe de personnes (ensemble ou séparées), généralement sous une identité inventée, mais crédible, et d’autre part à observer les comportements, habitudes, activités et relations qui relient ces dernières.

La phase de stimulation qui vise à mettre en condition d’incident (la personne ou le groupe de personnes ciblées), et ainsi de tester les réactions en situation de crise et de saisir les différentes failles en terme d’interaction avec les groupes et les organisations concernés. En résumé, on cherche à déstabiliser afin de juger des réactions, de la cohérence, et de la rapidité de ces dernières. Cette phase est souvent très révélatrice des approches prises par les entreprises en matière de sécurité (ex. faible arrimage entre les mesures logiques et physiques), et l’absence de vision globale et intégrée de la sécurité dans laquelle chacun joue un rôle déterminé (à juste titre, IBM résout ceci dans une perspective holistique).

La phase d’ajustement et de consolidation qui vise à recueillir et consolider l’ensemble des informations et des faits observés. Ceci permet d’ajuster une stratégie d’investigation et d’établir des solutions de replis adéquates (le plan B en cas de problème).

La phase de réalisation du plan tel que défini dans la phase précédente. Cette dernière, en fonction du contexte, de la cible à atteindre, et des moyens nécessaires pour y parvenir, peut se faire en une seule ou plusieurs fois.

La phase de couverture qui vise à s’assurer d’une part qu’aucune trace ne permettra de nous compromettre, et d’autre part de laisser les moyens utilisés toujours disponibles pour de possibles futures tentatives (ex. lien social avec un groupe de personnes).

 

Quelles sont les qualités utilisées en ingénierie sociale ?

Développer une excellente mémoire visuelle. Vous êtes souvent amené à observer « à la volée » différentes configurations de locaux, des attitudes, des habitudes (les petits défauts qui en disent long), mais également l’état des salles de réunion, les bureaux, les écrans d’ordinateur, etc.

Être indiscret… Juste ce qu’il faut. Inutile de dire que bon nombre d’entreprises ne disposent pas de suffisamment de salles de réunion, ce qui a par exemple amené naturellement les employés à réaliser leurs réunions autour d’un café au sein de la foire alimentaire de l’édifice de bureaux. Il vous suffit donc de vous installer confortablement et d’écouter discrètement les conversations de ces groupes de personnes qui ne prennent aucunement conscience qu’elles parlent trop fort ou que leur entourage proche est constitué de parfaits inconnus.

Être très curieux, audacieux et créatif, mais pas imprudent. Je dis souvent à mes collègues que ça prend un bon vendeur pour infiltrer les organisations… Et je suis proche de la réalité. En fait, on s’aperçoit qu’il est facile d’atteindre son but lorsqu’on joue pleinement son rôle avec une attitude ne laissant pas de place au doute, à l’hésitation (ex. se faire passer pour un technicien de photocopieur). En fait, c’est paradoxal, mais il faut partir du principe que ce qui est le plus évident paraît souvent le moins suspect (ex. partir avec le bac à recyclage contenant toutes les informations confidentielles… en l’absence de déchiqueteuses disponibles, beaucoup d’informations sensibles se retrouvent dans ces fameux bacs verts).

Être organisé et avoir le sens du détail. La réussite tient souvent aux petits détails, on ne le dira jamais assez. Par exemple, envoyer un courriel sous l’identité d’un collègue de travail avec de fausses informations dans le but de préparer les phases subséquentes.

Être opportuniste. Il ne faut pas hésiter à saisir toutes les opportunités qui se présentent à vous lorsque vous êtes dans « le château fort », sans éveiller les soupçons bien entendu. Ceci va de la récupération d’un document dans une poubelle, dans une salle de réunion, un mot de passe rentré sur un ordinateur, etc. (tout est bon à prendre, notamment dans les premières phases).

Choisir le bon moment… D’une façon générale, il est également important de planifier soigneusement la période pendant laquelle on agit. En effet, certaines situations particulières sont malheureusement propices au vol, notamment lorsque les bureaux sont moins fréquentés qu’à l’habitude (ex. alerte pandémique, période de vacances, télétravail). En temps normal, on néglige déjà l’importance des fraudes commises de l’intérieur de l’entreprise, mais beaucoup d’études démontrent qu’en période de crise économique les suspicions et les tentations de commettre des actes malveillants contribuent à une augmentation significative des incidents.

Chaque organisation à ses faiblesses… Que ce soit les petites ou les grandes organisations, chacune à son talon d’Achille. Toutefois, en matière d’ingénierie sociale, les grandes entreprises restent les plus vulnérables, car il est très difficile de connaître tout le monde et d’agir de façon coordonnée à la grandeur de son organisation, ce qui laisse autant d’opportunités à saisir pour les personnes malveillantes. Une grande faiblesse réside toujours dans le manque de conscience collective des employés à l’égard de la protection de leur entreprise et des biens qui la constituent (ex. Combien de fois vous a-t’on regardé bizarrement lorsque vous avez demandé aux personnes de vous montrer leur carte d’accès avant de les laisser rentrer derrière vous).

Note : il n’est pas rare qu’on parle d’un groupe d’individus malveillants, plutôt que d’une seule personne, ceci dépend essentiellement de la complexité et des moyens nécessaires.

 

Quelques moyens utilisés

La tendance au web social. Bien que le téléphone soit toujours considéré comme un moyen couramment utilisé en ingénierie sociale, on observe une tendance à l’utilisation de formidables sources d’informations que sont les blogues, Wiki et autres réseaux sociaux. Les informations disponibles servent à mieux qualifier votre cible, mieux connaître les personnes, leurs habitudes, leurs situations personnelles, etc… N’oubliez pas que l’ingénierie sociale vise souvent à profiter de la cupidité des personnes.

Les technologies Internet à l’intérieur de l’entreprise. L’utilisation des technologies Internet s’est largement répandue dans les entreprises. Plusieurs d’entre elles utilisent par exemple les logiciels de messagerie instantanée plutôt que le téléphone ou le courriel (notamment dans le cas d’entreprises géographiquement étendues). Encore une fois, il est plus difficile de savoir avec qui on échange de l’information dans de tels cas, et on est souvent moins vigilant.

Le courriel relayé à l’extérieur de l’entreprise. Le relais des courriels sur une adresse personnelle (ex. Hotmail) est une chose très répandue, et souvent non encadrée ou tolérée par les entreprises. Avec les faiblesses que l’on connaît des messageries publiques, obtenir l’information sensible devient encore plus simple, d’autant plus que l’adresse courriel n’est pas une information que l’on cherche à cacher.

Cas particulier : Une des techniques consiste également à utiliser le courriel afin d’installer un logiciel malveillant (ex. permettant d’enregistrer ce que vous tapez sur votre clavier d’ordinateur), ceci en joignant un fichier dans un courriel, et laissant croire que celui qui lit ce message doit ouvrir ce fichier (il contient malheureusement une porte dérobée ou « Backdoor »).

Les centres de support victimes de leur succès. De plus en plus, on tente d’établir un point d’entrée unique pour l’ensemble des problèmes rencontrés par les utilisateurs des systèmes d’information. Dans la réalité, ces personnes que nous avons en ligne sont généralement peu sensibilisées à la protection des informations, trop rapidement sensibilisées aux procédures internes pour que ce soit efficace, peu payées, et dont la mission, ne l’oublions pas, est d’aider l’appelant dans sa demande. Bref, on peut y voir, pour qui a une intention malhonnête, tous les ingrédients d’une excellente recette.

Point particulier : la plupart des centres d’appel ou de support se basent en partie sur l’identification de l’appelant (« Caller ID ») afin de s’assurer de parler avec un collègue, et de plus en plus d’entreprises utilisent la téléphonie IP. Or, tout bon expert en sécurité vous dira qu’il est facile de contourner cela même si nous ne développerons pas cette technique ici.

Des poubelles qui ont beaucoup de valeur. Les budgets souvent ne permettent pas de mettre à disposition des employés des déchiqueteuses de documents (encore moins de médias tels que des CD ou DVD) et elles optent pour la solution du bac de recyclage. Dans bien des cas, soit parce que ces bacs ne sont pas en nombre suffisant, ou tout simplement que leur existence n’est pas connue, les employés jettent leurs documents dans leurs propres poubelles.

Certains transporteurs peu fiables. Certaines entreprises ont recours à des transporteurs pour le matériel à des fins de maintenance. Or, la négligence en matière de sécurité de certains transporteurs, rajoutée à la faiblesse des mesures de protection des biens transportés (ex. ordinateur avec des disques contenant des données sensibles non chiffrées), augmente significativement le risque de perte ou vol d’informations sensibles.

Recyclage du matériel… Faire le bien peut causer des ennuis. Il existe de plus en plus de programmes visant à recycler les ordinateurs afin d’en faire le don à des œuvres de bienfaisance. Bien souvent les mises au rebut ne sont pas sécuritaires dans le sens ou les données ne sont pas effacées de façon irréversible des supports informatiques.

 

Comment se protéger ?

Le constat que nous pouvons faire c’est que malheureusement les techniques les plus efficaces afin de réduire les risques reliés à l’ingénierie sociale sont également celles liées aux principales faiblesses observées dans les entreprises.

Le gros bon sens…

D’une façon générale, on constate que les moyens et techniques utilisés en ingénierie sociale pourraient être mieux contrôlés, sans trop d’efforts, et avec beaucoup de gros bon sens. La règle d’or étant de toujours faire preuve d’un jugement personnel, en considérant le respect des règles et des politiques de l’entreprise.

Se renseigner sur l’identité de la personne (même lors d’une demande ponctuelle) ou ses antécédents (recrutement), prendre des références ou ses contacts. Dans la réalité, les entreprises se contentent d’ailleurs d’appliquer de la simple gestion des accès et n’ont pas encore intégré la gestion de l’identité au cœur de leurs stratégies de protection (les normes et réglementations ne donnent d’ailleurs pas encore suffisamment d’importance sur cet aspect).

Vérifier les renseignements fournis et s’interroger sur la sensibilité des informations demandées. Sur ce point, les entreprises ne disposent pas encore de modèles de classification de sécurité efficaces et complets (couvrant le cycle de vie de l’information). En conséquence, elles connaissent encore mal la valeur de l’information, son importance et sa sensibilité à l’échelle globale de leurs organisations.

Quelles sont les priorités ?

Les entreprises doivent mieux connaître les risques auxquels elles sont confrontées, notamment compte tenu de l’évolution constante de leurs activités, des marchés qu’elles ciblent, et des menaces qui en découlent.

Ceci se traduit par l’établissement et le maintien d’un profil global de risque (approche intégrée et holistique de la sécurité de l’information), d’un modèle informationnel viable (appuyé par une classification de sécurité de l’information), et le positionnement d’une saine gouvernance en la matière, en considérant la sécurité de l’information comme une composante de la gestion des risques opérationnels.

De plus, l’ingénierie sociale restera efficace tant que les entreprises ne mettront pas en place des programmes adaptés de formation et de sensibilisation, c’est à dire découlant directement de leurs profils globaux de risque de sécurité de l’information. À ce titre, les programmes de sensibilisation actuels ne prennent pas ou trop peu en considération le volet de l’ingénierie sociale, ni des thèmes importants tels que la mobilité par exemple.

Parmi les mesures souvent mal comprises et donc inadéquatement mises en place : la ségrégation des tâches. C’est pourtant un aspect important qui est à l’origine de nombreux incidents de sécurité reliés à l’ingénierie sociale. La règle en la matière est toujours, en complément de contrôles automatisés, de bien mesurer la portée des processus encadrant les activités (couvre-t-on adéquatement ces activités ?), et de s’assurer de la façon dont les personnes comprennent et utilisent ces processus (ceci contribue à renforcer la conformité aux règles de l’entreprise).

Un des enjeux que j’observe depuis ces dernières années concerne également le juste équilibre que chaque entreprise trouve dans la mise en place de ses contrôles de sécurité (en mettre trop nuit à la sécurité, tandis que pas assez créer une exposition aux risques non acceptable). De plus, certains contrôles peuvent facilement être couverts par des technologies, de façon automatisée, ne laissant donc aucune place au jugement humain, mais d’autres, également importants, doivent nécessairement reposer sur la confiance que ces entreprises ont envers leurs employés. Ce dernier point impose d’appliquer de façon transparente des politiques adaptées, aux objectifs réalistes, et surtout de les communiquer par des programmes de sensibilisation récurrents.

Finalement, et sans rentrer dans une autre discussion relative aux différents modèles de gestion d’entreprise, en l’absence des quelques bonnes pratiques en la matière, on retrouve souvent deux approches de sécurité aussi inefficaces l’une que l’autre, que je nomme :

L’approche « poétique » qui vise à se poser des questions qui ne trouvent aucune réponse… Ce genre d’approche est retenu lorsqu’un haut niveau de consensus doit systématiquement accompagner chaque décision prise (souvent au sein de structures d’entreprise décentralisées).

L’approche « philosophique » qui vise essentiellement à donner des réponses qui ne doivent en aucun cas être remises en question (autrement dit une approche dictatoriale… souvent au sein de structure d’entreprise centralisée, mais en l’absence d’une vision globale et moyen-long terme).

Il est toujours possible d’éviter de se retrouver dans l’une des approches précédentes, et il faut pour cela partir avant tout d’un portrait global de risque d’entreprise, découper son programme de sécurité en petits projets, et cibler une portée limitée aux informations sensibles et aux activités clés.

Finalement, on sait déjà que la crise actuelle va amener les entreprises à améliorer leurs modèles de gestion des risques opérationnels, et l’ensemble des mécanismes de prise de décision et de divulgation (imputabilité des dirigeants). Ceci est également à rapprocher de la tendance qui vise à ce que les lignes d’affaires gagnent de plus en plus en autonomie dans la gestion des informations dont elles sont responsables. Tout ceci a un prix, car chacun verra ainsi à rester sous contrôle des risques de sécurité qui pourraient être générés suite à une non-conformité aux règles de l’entreprise. Dans ce cas, cette notion d’imputabilité passe nécessairement, entre autres, par la redéfinition de la notion d’identité (qui fait quoi, pourquoi, etc.) reliée à des mesures de protection alignées à la classification de sécurité des informations.

L’ingénierie sociale est plus préoccupante qu’on ne le pense…

Peu de statistiques sont disponibles sur le marché au sujet des pertes découlant de l’ingénierie sociale, notamment car elle est rendue possible par l’accumulation de manquements dans différents domaines de la sécurité. En ce sens, l’ingénierie sociale n’est pas une technique en elle-même, mais est issue de plusieurs techniques combinées les unes avec les autres (un peu comme les ingrédients à l’intérieur d’une recette de cuisine… heureusement que tout le monde n’a pas des talents de cuisinier). Toutefois, il ne fait pas de doute que cette pratique occupe une place significative parmi les autres pratiques à l’origine de malveillance ciblant l’information.

 

 

 Michel Fossé M.Sc. CISM CGEIT CISA CISSP Auditeur Principal ISO27001 CCSE CCSA

Expert en sécurité et Directeur Services-conseils au sein d’IBM Canada (Groupe LGS), en charge de la pratique Sécurité & Continuité des affaires

Mon site web : www.mfosse.com

mfosse@ca.ibm.com


[1] IBM Information Security Framework & Data Centric Security Model

 

"

(Suite... | 6 commentaires | Score: 0)

Logiciel de Portail Vingt-six pays créent une force internationale contre le cyberterrorisme
Transmis par patron le Vendredi, 23 mai 2008 @ 20:56:28 CEST (1716 lectures)

 cdupuis a écrit : "

Par Tom Espiner, ZDNet UK, avec Béatrice Gay, ZDNet.fr
22 mai 2008

Sécurité - Ils se regroupent au sein de l'Impact, une organisation chargée d’aider les gouvernements à se prémunir contre la cybercriminalité. Des centres techniques vont être créés notamment pour contrôler le web et apporter une protection en cas d’attaques.

Pendant que l'Otan renforce ses lignes en créant deux centres de lutte contre la cybercriminalité, vingt-six pays dont les États-Unis et la France unissent leurs forces au sein d'un nouveau groupe baptisé « Impact » (International Multilateral Partnership Against Cyber-Terrorism). Il vise à former une coalition internationale dont la finalité est de protéger les systèmes informatiques gouvernementaux.

L'initiative a été annoncée lors du World Cyber Security Summit, le 21 mai à Kuala Lumpur (Malaisie). Elle se présente comme la toute première alliance rassemblant secteurs public et privé en matière de sécurité sur le web. Parmi les autres pays participants, on peut citer le Royaume-Uni, la Russie, l'Australie, le Canada, le Japon, le Mexique, la Thaïlande, l'Arabie Saoudite et la Suède.

Un partage des ressources entre secteurs public et privé

Un effort commun est nécessaire, indique Impact, pour se prémunir des attaques sur la Toile, avec un dispositif d'alertes prévenant d'attaques imminentes. L'idée est de s'inspirer du « Manhattan Project » américain, annoncé en avril dernier par le ministère de la Sécurité nationale, qui appelle à optimiser les passerelles entre secteur public et privé pour plus d'efficacité.

Impact veut « faciliter l'identification rapide des menaces et le partage de ressources existantes pour aider les gouvernements en cas d'urgence », peut-on lire sur son site web. C'est un centre qui s'en chargera, avec en son sein un système qui surveillera en permanence la Toile pour détecter les menaces, et fournira aux gouvernements une liste des centres à contacter en situation de crise.

À l'image de l'Otan, la nouvelle coalition veut créer également un centre chargé de la formation technique pour les membres de gouvernements, et un autre ayant pour tâche de recommander des bonnes pratiques en matière de sécurité informatique.

Vinton Cerf, Kasperky, Trend Micro et Symantec comme experts

Enfin, ils seront complétés d'un quatrième qui aura pour mission de définir des politiques de lutte contre la criminalité en ligne et de les harmoniser dans les pays.

Le projet rassemble des spécialistes des secteurs privé et public, qui apporteront leur expertise. On trouve ainsi dans la liste Vinton Cerf (inventeur du protocole TCP/IP et désormais chez Google), Steve Chang (président de Trend Micro), Fred Piper (professeur à l'université londonienne de Royal Holloway), Howard Schmidt (ex-conseiller de la Maison Blanche sur la cybersécurité), John Thompson (ex-DG de Symantec), Eugene Kaspersky (DG de Kaspersky), et Mikko Hypponen (directeur de la recherche chez F-Secure).

Original article at: http://www.zdnet.fr/actualites/internet/0,39020774,39381239,00.htm?xtor=EPR-102

"

(Suite... | 1 commentaire | Score: 0)

Logiciel de Portail Le nouveau numéro de hakin9 est arrivé !
Transmis par patron le Lundi, 11 juin 2007 @ 12:43:54 CEST (1855 lectures)

 Anonymous a écrit : "Dans ce numéro :
Sécurité des Serveurs Web et Services Web
Hook - comment le metê en place?
Contourement et évasion de filtrage réseau par tunneling
PKI et applications
Quelques astuces avec LD_PRELOAD
TrueSword4 - pour protéger notre ordinateur
Winarp-sk - pour forga ses propres trames arp
Sur le CD
Les tutoriaux, dont un nouveau : Piéger Windows
Versions complètes d'AES Password Menager 2.3 et d'iMacros
SecrecyKeeper de Smart Protection Labs
Event Log Explorer 2.1 de FSPro Labs
Norman Virus Control for Vista de Norman
Norman Virus Control Plus de Norman
Licence Protector de Mirage Computer Systems
Pour plus de renseignement visitez notre site internet :
http://www.hakin9.org/fr

 


Photo de la couverture :
http://www.hakin9.org/fr

 


"

(Suite... | 2 commentaires | Score: 0)

Logiciel de Portail Nouveau numéro de hakin9 !
Transmis par patron le Mardi, 29 mai 2007 @ 15:24:07 CEST (1766 lectures)

 Anonymous a écrit : " Buffer overflow sous Windows XP sp2 dans le nouvéau numéro de hakin9

Buffer overflow sous Windows XP sp2

SUR LE CD:

  • Wargame
  • AntiSpyware d'Ashampoo
  • Intelli HyperSpeed 2005 d'IObit
  • Vip Privacy de Vip Défense

    • Les articles les plus intéressants :
  • Wireshark
  • Hacking d'Oracle
  • Attaques par ARP chache poisonning à télécharger gratuitement : http://hakin9.org/fr/haking/download.html

  • Les malwares Windows
  • Espiogiciel
  • Les plugins IE BHOs et barres d'outils

    • site web :     http://www.hakin9.org/fr

    Photo de la couverture : http://hakin9.org/fr/ haking/issues/5_2007.html "

    (Suite... | 1 commentaire | Score: 0)

    Logiciel de Portail Paypal va offrir de l'authentification forte pour ses clients
    Transmis par patron le Mardi, 16 janvier 2007 @ 18:25:12 CET (2892 lectures)

     Anonymous a écrit : "NOTE DE CLEMENT:
    WOW, je suis impressionné. Enfin, une compagnie qui va offrir un jeton a ses clients pour les identifier sur leur site web. Cela est beaucoup mieux que les systèmes qui utilisent l'authentification basé sur un facteur (l'adresse email n'a aucune valeur), soit un mot de passe. Espèrons que d'autres vont emboiter le pas et suivre cet example. Il serait intéressant d'avoir un système basé sur des certificats plutot que des jetons. Toutefois, les utilisateurs ne sont pas très réceptifs à l'utilisation de certificats. Il est sur et certain que les pertes financières sont un facteur qui est un bon motivateur...

    PayPal augmente la sécurité de ses transactions

    Auteur    : Christian Leduc
    Date de publication: 15 janvier 2007
    Adresse internet: http://techno.branchez-vous.com/actu/07-01/11-134504.html

    Le service de paiement en ligne américain PayPal, qui appartient à eBay, augmentera bientôt la sécurité de ses transactions grâce à des codes de sécurité.

    PayPal offrira ainsi à certains utilisateurs qui craignent de se faire voler de l'argent en ligne par les pirates de se servir d'une clé de sécurité dont le code de sécurité change rapidement.

    Le petit appareil, qui dispose d'un écran monochrome où est affichée à toutes les trente secondes une nouvelle combinaison de six chiffres, coûtera cinq dollars à tous les utilisateurs privés qui le désirent et sera gratuit pour ceux qui ont une mention «affaires» à leur dossier.

    Ainsi, un pirate qui possède le nom d'utilisateur et le mot de passe d'un internaute se servant de PayPal ne pourra pas utiliser ce compte pour effectuer des transactions monétaires frauduleuses.

    Les utilisateurs d'Australie, d'Allemagne et des États-Unis seront les premiers à pouvoir essayer ce système fabriqué par la comagnie de sécurité informatique VeriSign.

    © 2007, BRANCHEZ-VOUS.com - Tous droits réservés."

    (Suite... | 2 commentaires | Score: 0)

    Logiciel de Portail Nouveaux livres blancs de Evidian
    Transmis par patron le Vendredi, 17 novembre 2006 @ 14:15:02 CET (1910 lectures)

     cdupuis a écrit : "Nom de l'envoyeur: Philippe Breton
    Courriel de l'envoyeur: philippe.breton@evidian.com

    Bonjour Clément,

    Evidian vient de publier deux livres blancs qui devraient certainement intéresser les lecteurs de CCCURE.

    Livre blanc "Rapports sur les accès pour Sarbanes-Oxley"
    Sujet : Ce livre blanc décrit comment des rapports sur la sécurité des accès peuvent démontrer que les contrôles d'une entreprise sont appliqués et efficaces.
    URL pour téléchargement gratuit: http://www.evidian.com/fr/security/iam/wp-soxreporting.php

    Livre blanc "La sécurité des systèmes d’information: Socle essentiel d’un monde ouvert"
    Sujet : Ce livre blanc décrit comment des organisations protègent leur Système d'Information.
    URL pour téléchargement gratuit: http://www.evidian.com/fr/security/iam/wp-bullsec.php "

    (Suite... | 1 commentaire | Score: 0)

    Logiciel de Portail Carte à Puce - L'industrie des cartes de paiement fait équipe
    Transmis par patron le Mardi, 14 mars 2006 @ 11:23:07 CET (1422 lectures)

     cdupuis a écrit : "TORONTO, le 13 mars /CNW/

    - Des membres de l'industrie des cartes de paiement - l'Association Interac, MasterCard Canada inc., l'Association Visa Canada et bon nombre de leurs émetteurs et acquéreurs - ont annoncé aujourd'hui leur ferme engagement à assurer un vaste passage sectoriel à la technologie de la carte à puce.

    Ce passage représente un changement majeur sur la scène canadienne des paiements, et cette coordination à grande échelle de joueurs clés constitue une étape importante pour assurer une transition sans heurts pour tous les participants du système de paiement électronique.

    Bien que chaque organisation fournisse ses propres caractéristiques en matière de sécurité, l'industrie des cartes de paiement a fait équipe afin d'assurer une série commune de normes internationales en ce qui a trait à
    cette nouvelle technologie.

    Ces normes mondiales, appelées EMV(MC), favorisent l'harmonisation des politiques, des procédures et les normes techniques, ce qui permet d'assurer l'interopérabilité de tous les mécanismes de paiement et, ainsi, de simplifier les exigences de mise en oeuvre applicables aux participants du système de paiement, y compris les marchands.

    L'adoption de ces normes internationales permet aussi d'assurer que les participants du système de paiement canadien utiliseront la technologie établie, laquelle a été testée et éprouvée dans d'autres pays qui sont déjà passés à la carte à puce.

    Lisez l'annonce au complet au site suivant:
    http://www.cnw.ca/en/releases/archive/March2006/13/c1497.html

    "

    (Suite... | 1 commentaire | Score: 0)

    Logiciel de Portail Hakin9 -- Nouveau numéro en vente
    Transmis par patron le Mercredi, 09 février 2005 @ 22:04:03 CET (2094 lectures)

     Anonymous a écrit : "

    Au sommaire du numéro 1/2005 (8) :

    * Stockage de données confidentielles sous GNU/Linux
    * Cisco IOS du point de vue de l'intrus
    * Tests de pénétration internes
    * Analyse du fonctionnement d'un programme suspect
    * Ingénierie inverse du code exécutable ELF dans l'analyse après intrusion
    * Le scannage de ports vu par l'administrateur

    Sur le CD - Hakin9 Live - distribution Linux bootable contenant de nouveaux outils :
    - Cisco Global Exploiter
    - dsniff
    - ettercapNG
    - kismet
    -WEPCrack
    - tutoriaux pour les articles "Ingénierie inverse du code exécutable ELF dans l'analyse après intrusion" et "Stockage de données confidentielles sous GNU/Linux"

     Stockage des données confidentielles sous GNU/Linux - version démo au pdf
    Cisco IOS du point de vue de l'intrus - version démo au pdf
    Tests de pénétration internes - version démo au pdf
    Ingénierie inverse du code exécutable ELF dans l'analyse après intrusion - version démo au pdf
    Le scannage de ports vu par l'administrateur - version démo au pdf"

    (Suite... | 1 commentaire | Score: 0)

    Logiciel de Portail Parution du Guide du Cyberdétective
    Transmis par patron le Vendredi, 19 septembre 2003 @ 14:26:04 CEST (2578 lectures)

     Anonymous a écrit : "

    Enfin un livre francophone qui dévoile au grand public les risques liés à l'utilisation d'internet et des ordinateurs.

    Le cyberdétective Alain STEVENS dévoile ses techniques d'investigation numérique dans Le Guide du Cyberdétective, paru aux Editions Chiron.

    Quelques sujets abordés :

    - utilisation de Linux

    - les logiciels de cybersurveillance

    - les traces locales et distantes

    - techniques de recherche sur Internet

    - protection des enfants

    Des révélations sur les techniques de social engineering employées par des pirates au téléphone pour obtenir des informations auprès des administrations et des banques.

    Plus d'informations : le site de l'auteur www.alain-stevens.com

    Le livre est disponible sur Amazon a:

    http://www.amazon.fr/gp/product/2702707831/ref=pd_ys_ir_b_fb_11/171-5609770-1212240

     

     

    "

    (commentaires ? | Score: 5)

    		 
    ** Login **
    Surnom/Pseudo

    Mot de Passe

    Security Code: Security Code
    Type Security Code

    Vous n'avez pas encore de compte?
    Enregistrez vous !
    En tant que membre enregistré, vous bénéficierez de privilèges tels que: changer le thème de l'interface, modifier la disposition des commentaires, signer vos interventions, ...

    ** Nos Partenaires **

    Conference poure les hackers francophones et anglophones

    Hakin9

    Revolution Linux

    Linux Identity

    Linux+ DVD

    Ce bloc est réservé pour afficher les bannières de nos partenaires. Sans eux ce site ne pourrait exister. Je vous encourage fortement à les supporter et a visiter leur sites en cliquant sur leur bannière.


    Blogs Francophones
    Guerre de l'Information

    Vous connaissez un bon Blog Franco, envoyez nous un message en cliquant ICI et on va l'ajouter a la liste.

    ** Sondage **
    Combien d'heures par semaine sont investies dans le développement de vos connaissances?

    1
    2-5
    6-10
    11-15
    Plus de 15 heures
    Pas du tout



    Résultats
    Sondages

    Votes: 73
    Commentaires: 3

    ** SANS TOP 20 **



    * La nouvelle du jour *
    Il n'y a pas encore d'article-phare aujourd'hui.

    ** Articles archivés **
    Il n'y a rien dans ce block.

    All logos and trademarks in this site are property of their respective owner. The comments are property of their posters, all the rest © 2005 by me.


    You can syndicate our news using the file backend.php or ultramode.txt


    PHP-Nuke Copyright © 2005 by Francisco Burzi. This is free software, and you may redistribute it under the GPL. PHP-Nuke comes with absolutely no warranty, for details, see the license.
    _PAGEGENERATION 0.46 _SECONDS