Infos SSL et sécurité réseaux

Archive mensuelles: août 2016

ASIACCS – StemJail : le cloisonnement simplifié pour la sécurité d’un poste de travail

ASIACCS est un important forum international pour les chercheurs en sécurité de l’information, les praticiens, les développeurs et les utilisateurs. Il invite à explorer et à échanger sur les dernières études en matière de cybersécurité et convie des représentants du milieu universitaire, des administrations et de l’industrie pour présenter les dernières recherches sur tous les domaines, théoriques et pratiques, de la sécurité du numérique. L’occasion pour Mickaël Salaün de présenter ses travaux traitant d’une méthode de sécurité pragmatique pour cloisonner les activités d’un utilisateur sur un poste de travail.

 

« StemJail: Dynamic Role Compartmentalization »

L’utilisateur d’un poste de travail effectue habituellement toutes ses tâches au sein d’un unique compte utilisateur. Il lui permet d’accéder à l’ensemble de ses documents, liés à des activités de sensibilités différentes (gestion de comptes bancaires, utilisation des réseaux sociaux, relation client…). Pourtant, en cas de compromission d’une application utilisée, les données de toutes les activités encourent le risque d’être compromises (à l’image d’un rançongiciel).
Ainsi, tout en gardant la capacité d’effectuer ses activités au sein du même compte utilisateur, il est souhaitable de pouvoir bénéficier d’une solution permettant de cloisonner les activités entre elles.

StemJail est une preuve de concept open-source visant à simplifier l’utilisation du cloisonnement par un utilisateur non privilégié, qui permet d’identifier et de différencier les activités de l’utilisateur.
En cas de compromission d’une application exécutée pour une activité particulière, seules les données légitimement accessibles par cette activité seront manipulables par l’attaquant.
Pour faciliter l’utilisation au quotidien de ce type de solution, StemJail découvre automatiquement l’activité de l’utilisateur en fonction de l’utilisation faite du poste de travail. La politique de sécurité est simple à configurer car basée sur l’organisation des documents en hiérarchies cohérentes. Une fois définie, il n’y a plus d’interaction directe avec l’utilisateur, ce qui simplifie l’adoption de telles contraintes de sécurité.

Consulter les documents sur le sujet

 

 

Powered by WPeMatico

Publication de l’arrêté du 11 août 2016 modifiant celui du 4 juillet 2012 fixant la liste d’appareils et de dispositifs techniques prévue par l’article 226-3 du code pénal

Le Livre blanc sur la défense et la sécurité nationale de 2013 précise qu’« une attention particulière sera portée à la sécurité des réseaux de communication électroniques et aux équipements qui les composent ».

La sécurité de ces réseaux repose pour partie sur le dispositif prévu à l’article 226-3 du code pénal, qui soumet notamment à autorisation la commercialisation et la détention d’équipements réseau pouvant permettre de porter atteinte au secret des correspondances électroniques.

Conformément aux orientations du Livre blanc, l’article 23 de la loi de programmation militaire (LPM) a renforcé ce dispositif en étendant le champ des appareils soumis à autorisation à ceux qui, sans être spécifiquement conçus pour permettre les interceptions de communications, sont susceptibles d’être utilisés à cette fin.

L’arrêté publié le 25 aout 2016 complète, en conséquence, la liste des appareils et dispositifs techniques soumis à l’autorisation mentionnée à l’article R. 226-3 du code pénal.

Il y intègre, notamment, les « stations de base » des réseaux de téléphonies, dès lors que leurs caractéristiques sont susceptibles de permettre des atteintes au secret des communications. Cette nouvelle mesure, prise notamment afin d’anticiper les évolutions prévisibles des technologies de communication mobile, est assortie d’un délai d’entrée en application de cinq ans, afin de permettre sa prise en compte pour les équipementiers et les opérateurs dans les futures générations d’équipements et de réseaux.

 

Powered by WPeMatico

Cybersécurité des OIV : publication d’une nouvelle vague d’arrêtés sectoriels

Ces arrêtés portent sur les activités d’approvisionnement en énergie électrique, en gaz naturel et en hydrocarbures pétroliers ainsi que sur les transports terrestres, maritime et fluvial et aérien.
Ils entreront en vigueur au 1er octobre 2016.

Les arrêtés sectoriels fixent, pour les OIV de ce périmètre, un certain nombre de mesures prévues par les articles L. 1332-6-1 et suivants du Code de la défense :

  • des règles de sécurité, à la fois organisationnelles et techniques, s’appliquant aux systèmes d’information d’importance vitale (SIIV) ;
  • des modalités d’identification des SIIV et de notification des incidents de sécurité affectant ces SIIV.

La France est le premier pays à s’appuyer sur la réglementation pour définir un dispositif efficace de cybersécurité de ses infrastructures d’importance vitale, qui sont indispensables au bon fonctionnement et à la sécurité de la Nation.

Des informations complémentaires sur la sécurité des systèmes d’information des OIV sont présentées dans la rubrique « OIV » du site Internet de l’ANSSI, accessible depuis les onglets « administration » et « entreprise », en page d’accueil.

 

Powered by WPeMatico

CHES/Crypto 2016 – L’ANSSI présente ses dernières recherches en cryptologie à Santa Barbara

La 36ème édition de la conférence CRYPTO et la 18ème mouture du workshop CHES se tiendront une fois encore à Santa-Barbara aux Etats-Unis avec un programme varié qui traite de la cryptologie sous tous ses aspects.

Yannick Seurin présentera dans le cadre de la conférence CRYPTO les résultats de deux travaux de recherche, l’un sur la sécurité d’un nouveau mode de chiffrement authentifié (Counter-in-Tweak : Authenticated Encryption Modes for Tweakable Block Ciphers), l’autre sur la sécurité d’un nouvel algorithme d’authentification (EWCDM: An Efficient, Beyond-Birthday Secure, Nonce-Misuse Resistant MAC).

Victor Lomné animera un tutoriel à la conférence CHES sur le processus de certification d’une carte à puce suivant la méthodologie des Critères Communs « Common Criteria Certification of a Smartcard : a Technical Overview » centrée sur la méthodologie couramment utilisée en Europe pour valider la sécurité de nos cartes bancaires, passeports biométriques, cartes de santé, …

Les présentations seront prochainement disponibles sur les sites respectifs des évènements.

 

Powered by WPeMatico

Injection de commandes sur ordiphone et sécurité des consoles de jeux : retour sur la Hack In Paris 2016

1. Injection de commande vocale à distance sur un ordiphone en charge –  « Whisper in the Wire: Voice Command Injection Reloaded »
par Chaouki Kasmi et José Lopes Esteves

Suite aux travaux présentés lors de l’édition 2015 de Hack In Paris, Chaouki Kasmi et José Lopes Esteves ont exposé leurs derniers résultats au sujet des interférences électromagnétiques intentionnelles. L’objectif de ces travaux : explorer les diverses techniques de détournernement des commandes vocales d’un ordiphone.

Les deux chercheurs ont démontré qu’un ordiphone en charge via le port USB d’un ordinateur (ou via le réseau électrique basse-tension) est sensible aux signaux parasites induits par une injection directe sur le réseau basse-tension.
En observant des couplages parasites sur l’entrée audio de l’ordiphone, les chercheurs ont exploité le couplage parasite entre le connecteur USB et le circuit intégré dédié au microphone afin d’induire des commandes vocales. Cette nouvelle méthode s’abstrait ainsi du câble des écouteurs (hypothèse d’injection de la méthode proposée en 2015).
Une comparaison des moyens techniques et des limitations liées au canal de propagation des deux techniques d’injection a par ailleurs été évoquée.

Enfin la présentation s’est achevée par une démonstration de la faiblesse du moyen d’authentification par empreinte vocale contourné par le simple re-jeu d’un enregistrement de la voix du propriétaire légitime de l’ordiphone ciblé.

« Whisper in the Wire: Voice Command Injection Reloaded » – Présentation

 

2. Analyse de la sécurité des consoles de jeu – « Security offense and defense strategies: video-game consoles architecture under microscope »
par Mathieu Renard et Ryad Benadjila

Les consoles de jeux représentent des vitrines technologiques en matière de sécurité matérielle et logicielle. Depuis plus de 20 ans, l’industrie du jeu vidéo investit du temps de recherche et de développement pour lutter contre la production de contrefaçons et contre le piratage. L’importance de cet investissement est motivé par le potentiel manque à gagner, qui se chiffre en plusieurs dizaines de millions d’euros.

Lors de cette présentation Mathieu Renard et Ryad Benadjila sont revenus sur les travaux présentés lors de l’édition 2015 de SSTIC : Stratégies de défense et d’attaque : le cas des consoles de jeux, tout en ouvrant un nouveau chapitre qui présente l’architecture, une partie des mécanismes de sécurité ainsi que les attaques qui ont ciblé la nouvelle génération de consoles de jeux de Sony Computer Entertainment.

L’analyse réalisée montre par ailleurs que les fabricants de consoles ont eu une avance certaine sur les techniques de protection matérielle et logicielle aujourd’hui appliquées (ou non) à d’autres produits grand public tels que les ordiphones et les Set Top Box.

 

 

 

Powered by WPeMatico

L’ANSSI en première ligne au sein du Partenariat Public-Privé européen en matière de cybersécurité (cPPP)

En tant que membre du Comité des Directeurs de l’ECSO, l’ANSSI travaillera avec la Commission européenne à l’élaboration des futurs appels d’offres européens dans le domaine de la cybersécurité, un enjeu majeur pour l’Europe.

Le directeur général de l’ANSSI, Guillaume Poupard a salué la création de cette association, qui permettra de réunir au niveau européen l’ensemble des acteurs publics et privés impliqués en matière de politique industrielle de cybersécurité. Le lancement du cPPP devra, selon lui,  « concourir à renforcer l’autonomie stratégique européenne en matière d’industrie de sécurité du numérique », contribuant au cinquième objectif de la Stratégie nationale pour la sécurité du numérique relatif à l’autonomie stratégique européenne.

Le cPPP cyber : un outil réunissant l’ensemble des acteurs de la politique industrielle européenne de cybersécurité

Le 5 juillet 2016, ECSO et la Commission européenne ont signé le premier contrat de Partenariat Public-Privé contractuel au niveau européen en matière de cybersécurité. La cérémonie officielle de signature du cPPP s’est tenue au Parlement européen, en présence du directeur général de l’ANSSI.

Cet outil permettra à l’association ECSO de travailler en étroite coopération avec la Commission européenne sur la politique industrielle européenne de cybersécurité ainsi que sur la recherche et l’innovation (R&I), en consacrant un budget de 450 millions d’euros du fonds européen H2020 dans ces domaines.

La vision de l’ANSSI pour le cPPP cybersécurité

Comme l’a pu faire valoir la France dans sa réponse à la consultation publique de la Commission européenne, qui a précédé la mise en place du cPPP, ce dernier devra refléter les évolutions récentes dans la notion de cybersécurité entendue comme la « sécurité du numérique » en agissant à deux niveaux :

  • la priorisation des thématiques de R&I en matière de sécurité du numérique,
  • l’identification des enjeux clés pour la politique industrielle de sécurité du numérique, comme la certification de sécurité et la prise en compte de la sécurité dès la conception (notion de « security by design »).

Le cPPP devra également faciliter la prise de conscience des besoins de sécurité du numérique dans l’ensemble des politiques publiques européennes ayant trait au numérique (mobilité intelligente, réseaux d’énergie intelligents, e‐santé, etc.).

Powered by WPeMatico