Infos SSL et sécurité réseaux

Archive mensuelles: septembre 2014

« Shellshock », vulnérabilité critique du shell GNU Bash

L’Agence nationale de la sécurité des systèmes d’information invite les administrateurs système et responsables informatiques à prendre connaissance du Bulletin d’alerte CERT-FR relatif à la vulnérabilité CVE-2014-6271, dite « Shellshock », découverte le mercredi 24 septembre.

La vulnérabilité concerne de nombreux équipements (serveurs, routeurs, objets connectés) et les environnements Linux, Mac OS X et Windows (émulateur Cygwin). Des codes d’exploitation de cette vulnérabilité ont été rendus publics, ce qui laisse à craindre qu’ils soient utilisés à des fins malveillantes.

Le Bulletin d’alerte détaille les contre-mesures à déployer dès que possible. Il sera mis à jour au fur et à mesure de la mise à disposition de correctifs par les éditeurs.

Plus d’information sur le site du CERT-FR : http://www.cert.ssi.gouv.fr/site/CE…

Powered by WPeMatico

L'Observatoire de la Résilience de l'Internet français publie son Rapport 2013

Le rapport de l’Observatoire de la résilience, rédigé par l’Agence nationale de la sécurité des systèmes d’information avec la collaboration de l’Afnic, fournit chaque année une analyse de l’état de l’Internet français à travers une étude approfondie des protocoles BGP et DNS*. Ces deux protocoles sont à l’origine de la quasi-totalité des requêtes transitant sur Internet.

Au regard des conclusions de l’étude, la situation de l’Internet français demeure satisfaisante. L’étude 2013 a mis en évidence qu’un AS** français qui possède deux fournisseurs pourra joindre le reste de l’Internet en cas de panne de n’importe quel autre AS. En ce qui concerne le DNS, la concentration des hébergeurs français est très forte, ce qui se reflète directement dans les résultats de l’étude.

Fort de ces conclusions, l’Observatoire encourage les acteurs de l’Internet en France à s’approprier les bonnes pratiques admises pour BGP et DNS et émet les recommandations suivantes :

- déployer IPv6 afin d’anticiper les problèmes opérationnels futurs et de faciliter la montée en compétences,

- bien répartir les serveurs DNS faisant autorité afin d’améliorer la robustesse de l’infrastructure,

- tester DNSSEC (DNS Security Extensions) et le déployer pour lutter contre les attaques par pollution de cache,

- déclarer systématiquement les objets route, et les maintenir à jour, afin de faciliter la détection et le filtrage d’annonces BGP illégitimes,

- utiliser la certification RPKI (Resource Public Key Infrastructure) et déclarer des ROA (Route Origin Authorizations),

- appliquer les bonnes pratiques BGP*** au niveau des interconnexions entre opérateurs.

L’ANSSI encourage les acteurs de l’Internet à s’approprier ces recommandations pour les appliquer au mieux et au plus tôt.

Le Rapport 2013 est disponible à l’adresse : http://ssi.gouv.fr/observatoire

PDF - 426.9 ko
Communiqué de presse : Résilience de l’Internet – Rapport 2013
PDF – 426.9 ko
PDF - 1.8 Mo
Résilience de l’Internet – Rapport 2013
PDF – 1.8 Mo
* BGP (Border Gateway Protocol) permet d’acheminer des données à l’aide d’annonces de routage. Le DNS (Domain Name System) fournit, quant à lui, la correspondance entre un nom de domaine et une adresse IP.

** Un système autonome (Autonomous System, AS) est un réseau ou un ensemble de réseaux informatiques intégrés à Internet et gérés par une même entité (fournisseur d’accès, hébergeur, entreprise, administration).

*** Voir : http://www.ssi.gouv.fr/IMG/pdf/guid… (ANSSI 2013).

Powered by WPeMatico

Journée thématique de l'OzSSI Sud-Est le 16 octobre à Clermont-Ferrand

L’Observatoire zonal de la Sécurité des Systèmes d’Information Sud-Est organise cette conférence à l’Université Blaise Pascal. Inscrivez-vous avant le 10 octobre !

Animée par des experts du domaine de la cybersécurité, cette journée permettra d’aborder une large palette de thèmes :

- L’homologation de sécurité ne serait-elle pas le principal objectif recherché ? (ANSSI)

- Les Privacy Impact Assesment (PIA) et la future méthode de la CNIL (CNIL)

- Les violations de données (CNIL)

- Les audits SSI (par un des prestataires en cours de qualification par l’ANSSI)

- Sécurisation des smartphones et des tablettes, présentation de la gamme Cryptosmart d’ERCOM (ERCOM)

- Retour d’expérience de mise en œuvre d’une Politique SSI (Pierre-Philippe Grimaldi, consultant-formateur SSI)

- Gestion des identités (SOLUCOM)

- Comment prouver la sécurité d’un protocole cryptographique ? (Pascal Lafourcade, chaire industrielle sur la confiance numérique)

La participation se fait uniquement par inscriptions à l’OzSSI Sud-Est ozssi-zdse@interieur.gouv.fr avant le 10 octobre en précisant les noms, fonctions et coordonnées des personnes présentes ainsi que leur présence (journée entière, ou seulement matinée ou après-midi).

Adresse :
Maison des Sciences de l’Homme
4, rue Ledru 63057 Clermont-Ferrand

Powered by WPeMatico