Il est important de suivre ces recommandations de bon sens. J’ajouterais qu’un ordinateur portable ou un smartphone constitue également un point d’accès privilégié au système d’information de votre entreprise ou de votre organisation. Son vol ou même son utilisation frauduleuse temporaire permet de pénétrer facilement dans l’ensemble du SI. En effet, le processus de connexion VPN ou FTP par exemple est bien souvent automatisé (identifiant et mot de passe pré-enregistrés ou faibles) afin de faciliter la vie de l’utilisateur… et des pirates.
Protéger ses données à l’étranger : les conseils de l’agence de sécurité française
admin Non classé
La sécurité de la Carte Bancaire elle-même n’est pas en cause. Mais il semble possible de piéger le dialogue entre la CB et les TPE des commerçants.
Un chercheur met au jour une faille des cartes bancaires
admin Non classé
A partir de 1983 et jusqu’à fin 1999, les mécanismes de sécurité de la carte bancaire ont utilisé la cryptographie asymétrique RSA basée sur un nombre n = pq de 96 chiffres décimaux, soit 320 bits. En 1997, Serge Humpich parvient à comprendre les mécanismes d’authentification d’une carte et réussit la factorisation du nombre n de 96 chiffres choisi par le GIE Carte Bancaire. Ce fut le début du clônage des cartes bancaires. Depuis novembre 1999, les nouvelles cartes bancaires utilisent des valeurs calculées à partir d’un nombre n de 230 chiffres décimaux, soit 768 bits…
Des chercheurs viennent à bout d’une clé RSA de 768 bits
admin Non classé
Pour ceux qui voudraient toujours utiliser les bons vieux mots de passe statiques, ça se complique un peu. Voici un petit rappel des consignes de base…
Les 10 mots de passe à ne surtout jamais employer
admin Non classé
Placez un mobile à carte pré-payée dans le faux-plafond d’une salle de réunion (stratégique), branchez-le sur l’alimentation de l’éclairage, activez le mode silencieux… et disparaissez. Chaque fois que vous voudrez écouter ce qui se mijote dans cette salle en toute indiscrétion, vous n’aurez plus qu’à appeler votre mobile espion. Merci Q.
Le CEA affirme que les mobiles peuvent être transformés en micro espion activables à distance
admin Non classé
L’histoire de notre convoyeur de fond national est un épi-phénomène qui ne doit pas nous faire perdre de vue la réalité des « casses » numériques.
Deux suspects arrêtés en Angleterre pour avoir diffusé le cheval de Troie Zbot
admin Non classé
Pour moi ce sera OpenID et SAML. J’ai tout simplement besoin des deux pour mener une vie épanouie sur Internet.
1) SAML
Je m’identifie puis je m’authentifie grâce à un fournisseur d’identité SAML auprès d’un fournisseur d’application/service qui me connait déjà et qui attend la preuve de mon identité avant de me donner mes droits d’accès personnalisés à ses ressources.
SAML me permet de mutualiser mon authentification forte en un seul endroit (le fournisseur d’identité SAML) afin d’accéder à de multiples applications/services en ligne où mes droits sont déjà enregistrés (après une inscription initiale).
2) OpenID
Je m’identifie puis je m’authentifie grâce à un fournisseur d’identité OpenID auprès d’un fournisseur d’application/service qui ne me connait pas encore et qui attend la preuve de mon identité avant que je puisse lui fournir les informations fiables me concernant (attributs) qu’il demande afin de me faire bénéficier de son service.
OpenID me permet de mutualiser mon identification et mon authentification forte en un seul endroit (le fournisseur d’identité OpenID) afin d’accéder à de nouvelles applications/services en ligne où mes droits vont directement dépendre des attributs (certifiés par des tiers) que je viens de fournir.
admin Non classé
On ne protège bien que ce que l’on connait bien. La première chose à faire dans toute organisation (entreprise ou administration) c’est donc la classification des données de l’identé numérique, à savoir identités + crédentiels + attributs.
En matière de gestion des identités, la deuxième chose à faire c’est de savoir à qui appartiennent ces données :
- qui en est le propriétaire légitime
- qui en sont les détenteurs autorisés
- qui peut certifier ces données (une adresse, un numéro de sécurité sociale, une date de naissance…).
Le troisième volet concerne la diffusion contrôlée de ces données.
En bref, il existe quatre impératifs :
- classifier les données de l’identé numérique
- contrôler l’accès à ces données
- contrôler leur diffusion (ce qui est beaucoup plus dur)
- éviter la création de fausses données vous concernant
A l’échelle d’un pays, il existe 2 approches :
- la fédération d’identité de type Liberty Alliance
- le sélecteur d’identité de type Infocard
Description rapide :
- La fédération d’identité : structuration des données, de leur stockage et de leurs échanges sécurisés au niveau des acteurs centraux (côté serveur) avec consentement initial de l’utilisateur.
- Le sélecteur d’identité : centré sur l’utilisateur/user centric : gestion directe (stockage et consentement à l’utilisation) par l’utilisateur (côté client).
On voit que ces deux approches semblent antagonistes.
Une approche originale consiste à expérimenter un mixte des deux. C’est l’objectif du projet FC² (Fédération des Cercles de Confiance) mené en France dans le cadre des pôles de compétitivité System@tic et TES.
Je terminerai par les pistes pour améliorer les processus de gestion des identités :
- informer et sensibiliser les personnes sur l’enjeu et l’usage sûr de leur identité (à contrario les dangers qu’ils courent, la pire erreur est de ne pas s’occuper de son identité numérique)
- promouvoir l’usage raisonné et maîtrisé des réseaux sociaux personnels (Facebook) et professionnels (LinkedIn, Viadeo)
- fournir aux utilisateurs des outils de sécurité compréhensibles et à usage facile (sélecteur d’identité, système d’authentification forte)
- pour les fournisseurs de solutions Web : mixer l’approche fédération d’identité et sélecteur d’identité (afin de garder le meilleur des 2 mondes)
admin Non classé
Si vous pensez que les pirates ne sont pas de redoutables tacticiens qui exploitent toutes les possibilités du Net, il est temps de revoir votre copie.
Un malware coordonné par un groupe de discussions Google
admin Non classé