GUIDE DE SÉCURITÉ DE BASE: UN THESAURUS 2018 POUR LA SÉCURITÉ DE L’INFORMATION

Sécurité 101

GUIDE DE SÉCURITÉ DE BASE: UN THESAURUS 2018 POUR LA SÉCURITÉ DE L’INFORMATION

On accorde beaucoup d’importance à la sécurité des données dans le monde numérique d’aujourd’hui, et c’est vraiment le besoin du moment – vous trouverez ci-dessous des réponses à certains des sujets les plus pertinents en matière de sécurité informatique.

Slava Ivanov, Ingénieur logiciel éminent chez Echoworx avec ses années d’expérience progressives dans la fourniture de solutions de sécurité pour résoudre les défis d’affaires, couplé à sa connaissance approfondie des cycles de développement logiciel est engagé dans le développement d’un Thésaurus 2018 pour la sécurité de l’information.

 

NOVEMBRE |

 

Q : QU’EST-CE QUE L’INGÉNIERIE SOCIALE ?

R : L’ingénierie sociale est l’art de manipuler les gens pour qu’ils dévoilent des informations confidentielles. Même les systèmes les plus sécurisés qui ne peuvent être pénétrés par des moyens numériques ou cryptographiques peuvent être compromis par un simple appel téléphonique à un employé de la société ciblé et en se faisant passer pour un collègue ou un employé du service informatique. Certaines techniques d’ingénierie sociale bien connues incluent l’hameçonnage, le détournement de clic, l’hameçonnage par téléphone, et le baiting (appâtage). Il n’existe pas de solution miracle pour prévenir une attaque d’ingénierie sociale, mais la meilleure défense est la formation des utilisateurs et de les sensibiliser à la sécurité.

Q : VULNÉRABILITÉ VS EXPLOIT : QUELLE EST LA DIFFÉRENCE ?

R : Une vulnérabilité de sécurité est une faille de sécurité involontaire d’un logiciel ou d’un système qui le laisse ouvert à une exploitation potentielle, comme un accès non autorisé ou un autre comportement malveillant, comme des virus, vers et autres programmes malveillants. Le terme « exploit » est un autre terme pour désigner une vulnérabilité de sécurité, cependant il désigne un problème de sécurité en cours, et non pas un problème potentiel. Par exemple, une serrure endommagée sur la porte de votre chalet serait une vulnérabilité qui doit être corrigée le plus rapidement possible. Mais une serrure de porte endommagée dans une grande ville serait un exemple d’exploit – il pourrait y avoir des gens dans les environs, qui exploitent activement cette vulnérabilité connue.

Q : QU’EST-CE QU’UN PENTEST (TEST D’INTRUSION) ?

R : Un Pentest est une forme abrégée pour un test d’intrusion. Il s’agit d’un exercice de sécurité où un expert de confiance en cybersécurité va tenter de trouver les vulnérabilités d’un système avant que les intrus malveillants puissent les exploiter. Pour produire un rapport de test d’intrusion, le système est ciblé par des attaques simulées : force brute, injections SQL, etc. Les résultats sont ensuite partagés avec l’équipe de sécurité de l’entreprise ciblée pour la mise en œuvre des correctifs de sécurité et des correctifs ultérieurs. Afin d’assurer la sécurité du système, le test d’intrusion doit être effectué régulièrement, surtout lorsque de nouvelles technologies sont ajoutées.

Q : QU’EST-CE QUE LA CIA A À VOIR AVEC LA CYBERSÉCURITÉ ?

Dans le monde de la sécurité informatique, le trio d’acronyme CIA signifie confidentialité, intégrité, disponibilité – à ne pas confondre avec l’Agence centrale de renseignement américaine. La confidentialité – pour assurer la sécurité des données sensibles ; le cryptage est une solution fiable pour garantir la confidentialité. L’Intégrité – dans la conservation de l’intégrité des données ; les hachages cryptographiques et la signature numérique sont utilisés pour vérifier que les informations n’ont pas été altérées. Disponibilité – maintenir l’accessibilité des données ; la planification stratégique et l’allocation des ressources dans le but d’assurer la disponibilité des services et des applications 24 heures sur 24, 7 jours sur 7, y compris les plans de sauvegarde, la récupération des données, ainsi que la capacité à évoluer des services.

 

OCTOBRE |

 

Q: QU’EST-CE QU’UN BOTNET ?

R : Le mot « Botnet » est une combinaison des mots robot et réseau. Le botnet est considéré comme un groupe d’appareils connectés à Internet – tel que les IoT et appareils mobiles, ordinateurs, réseaux – infectés par un logiciel malveillant. Chaque dispositif compromis est appelé « bot » et peut être contrôlé à distance par l’émetteur d’un botnet, connu sous le nom de « bot master ». Les botnets sont de plus en plus souvent proposés en location par des cybercriminels comme marchandises et utilisés couramment dans les attaques DDoS. Les botnets sont capables de tirer profit de la puissance collective des ordinateurs, pour envoyer de gros volumes de spam, voler des informations d’identification en masse ou espionner des personnes ou des entreprises.

Q : LE CRYPTOJACKING EST-T-IL LA NOUVELLE MENACE AMBIANTE ?

R : Le cryptojacking est l’utilisation non autorisée de l’ordinateur d’une victime pour miner de la crypto-monnaie. Selon un récent rapport de sécurité de Symantec, le cryptojacking est apparu de nulle part et a explosé comme rien auparavant. Les pirates informatiques considèrent qu’il s’agit d’un moyen simple et peu coûteux de gagner plus d’argent avec moins de risques. Contrairement à d’autres types de logiciels malveillants, le cryptojacking n’endommage pas les données de la victime ou son ordinateur. Mais, puisqu’ils utilisent les ressources en matière de traitement du processeur, la victime devra faire face à des coûts liés à la réduction de la durée de vie de l’appareil, à une consommation d’énergie accrue et à des problèmes de performance globale.

Q : QU’EST-CE QU’UN LOGICIEL ESPION ?

R : Un logiciel espion est un type de logiciel malveillant qui est installé sur votre ordinateur, souvent à votre insu. Il est conçu pour surveiller vos activités informatiques et pour recueillir et transmettre les données à des entreprises à des fins de marketing. La collecte de données comprend en général vos informations personnelles telles que votre nom, adresse, habitudes en matière de navigation Internet, préférences, intérêts ou téléchargements. En plus d’être une atteinte à la vie privée, ce logiciel peut causer de sérieux problèmes en termes de niveau des performances du système.

Q : QU’EST-CE QUE L’ATTAQUE DES ANNIVERSAIRES ?

R : L’attaque des anniversaire est un type d’attaque brutale basée sur le paradoxe de l’anniversaire, qui affirme que sur 253 personnes dans une pièce, il y a 50 % de chances que quelqu’un ait votre date de naissance ; cependant, seulement 23 personnes doivent être dans la pièce pour obtenir 50 % de chances que deux personnes partagent le même anniversaire. C’est parce que les concordances sont basés sur des paires. Ce phénomène statistique s’applique également à la recherche de collisions dans les algorithmes de hachage car il est beaucoup plus difficile de trouver quelque chose qui entre en collision avec un hachage donné que de trouver deux entrées qui ont la même valeur de hachage.

Q : QUELLE EST LA POLITIQUE D’ORIGINE COMMUNE ?

R : En informatique, « Same-Origin Policy » Politique d’origine commune est le mécanisme de défense basé sur le navigateur qui garantit que certaines conditions doivent être remplies avant que le contenu (généralement JavaScript) ne soit exécuté lorsqu’il est servi depuis une application Web donnée. En vertu de la politique, le navigateur permet à un script de page Web d’accéder aux données d’une autre page Web uniquement lorsqu’elles ont la même origine, c’est-à-dire lorsque l’origine est une combinaison du protocole, du domaine et du port des ressources Web.

 

SEPTEMBRE |

 

Q : LES PROJETS OPEN SOURCE SONT-ILS PLUS SÛRS QUE LES PROJETS PROPRIÉTAIRES ?

R : Une fausse idée répandue est que les projets open source sont plus sûrs, soit parce que n’importe qui peut en vérifier le code source, soit parce que les observateurs sont si nombreux à le scruter. Et inversement, un produit commercial d’une entreprise bien connue est plus sûr parce que tout le monde lui fait confiance. La sécurité du projet dépend d’une combinaison de nombreux facteurs, notamment le nombre de développeurs qui y travaillent, leurs antécédents, le contrôle de la qualité du projet, etc. Il y a de nombreux exemples d’applications affreusement peu sûres qui proviennent des deux camps.

Q : QU’EST-CE QUE LA FALSIFICATION DES DEMANDES INTERSITES (Cross-Site Request Forgery) ?

R : Le Cross-Site Request Forgery (CSRF) est un genre d’attaque sur un site Web où un intrus se camoufle comme un utilisateur légitime et de confiance. Par exemple, une balise image d’une page Web peut être compromise et pointer vers une URL liée à une action ; lorsque l’utilisateur charge cette page, le navigateur exécute cette action et l’utilisateur peut ne pas être conscient qu’une telle attaque a eu lieu. L’attaque peut être utilisée pour changer les paramètres du pare-feu, afficher des données non autorisées sur un forum ou effectuer des transactions financières frauduleuses.

Q : POURQUOI MON IDENTIFIANT PKI COMPREND-IL DEUX CLÉS ?

R : La combinaison de clés publiques et privées est une paire de clés asymétriques qui exécutent les fonctions de cryptage/décryptage lors d’une transmission de données sécurisée. La clé publique est donc publique et accessible à tous. D’autre part, la clé privée doit rester confidentielle pour son propriétaire respectif. Lors du cryptage des données, la clé publique du destinataire est utilisée – et seul ce destinataire sera en mesure de les décrypter. Lors de la signature, la clé privée est employée pour confirmer l’identité de l’expéditeur.

Q : QU’EST-CE QUE LA FALSIFICATION DE REQUÊTE INTERSITES (CRSF) ?

R : La falsification de requête intersites (cross-site request forgery) (CSRF) est le type d’attaque sur un site Web où un pirate se fait passer pour un utilisateur légitime et fiable. Par exemple, une balise image d’une page Web peut être compromise et pointer vers une URL associée à une action ; lorsque l’utilisateur charge cette page, le navigateur exécute cette action et l’utilisateur peut ne pas être conscient qu’une telle attaque a eu lieu. L’attaque peut être utilisée pour modifier les paramètres du pare-feu, afficher des données non autorisées sur un forum ou procéder à des transactions financières frauduleuses.

Q : EST-CE QUE LES PROJETS OPEN SOURCE SONT PLUS SÉCURISÉS QUE LES PROJETS PROPRIÉTAIRES ?

R : On pense souvent à tort que les projets open source sont plus sûrs, soit parce que n’importe qui peut vérifier le code source, soit parce que de nombreux utilisateurs l’observent. Et inversement, un produit commercial d’une entreprise bien connue est plus sûr parce que tout le monde leur accorde sa confiance. La sécurité du projet dépend d’une combinaison de nombreux facteurs, notamment le nombre de développeurs qui y travaillent, leurs qualifications, le contrôle de la qualité du projet, etc. Il y a de nombreux exemples d’applications effroyablement insécurisées qui proviennent des deux camps.

Q : S’AGIT-IL D’UNE ATTAQUE « DOS » OU « DDOS » ?

R : Une attaque par déni de service (DoS) est un type de cyberattaque conçu pour rendre un ordinateur ou un réseau inaccessible à ses utilisateurs en perturbant les services d’un hébergeur. Cela se fait généralement en inondant le serveur d’un nombre incalculable de paquets pour en saturer la capacité, ce qui entraîne un déni de service ou un dépassement de mémoire tampon qui peut faire consommer de l’espace disque, de la mémoire, ou le temps de traitement du processeur du serveur. Une attaque par déni de service distribué (DDoS) est similaire à une attaque par déni de service (DoS), mais le trafic est généré par différentes sources, ce qui rend impossible sa prévention en bloquant simplement une source unique d’attaque.

 

AOÛT |

 

Q : J’UTILISE GOOGLE CHROME, ET VOUS ?

R : De nos jours, il y a beaucoup de navigateurs à votre disposition : Chrome, avec son moteur de recherche Google intégré ; Edge, avec sa capacité à prendre des notes directement sur la page ; Firefox, avec son option pour continuer à lire les pages où vous étiez dans un autre appareil ; Safari, parfaitement adapté aux appareils mobiles. Quels que soient vos critères de sélection pour choisir votre navigateur Internet, le plus important est de le maintenir à jour avec tous les correctifs et mises à jour de sécurité. Profitez d’une navigation sur Internet en toute sécurité.

Q : QU’EST-CE QU’UN CERTIFICAT NUMÉRIQUE?

R : Dans le secteur de la cryptographie, un certificat numérique est une forme électronique d’identification, tout comme votre passeport ou votre permis de conduire. Il fournit des informations sur votre identité et est établi par une autorité de certification (AC) pour une période de temps spécifique. L’AC assure la validité des informations contenues dans le certificat. Le format le plus courant pour les certificats numériques est défini par la norme X.509. Il y a une variété de domaines où les certificats sont utilisés : SSL/TLS, S/MIME, signature de code, etc.

Q : QUEL EST LE GOÛT DES COOKIES INFORMATIQUES?

R : Un cookie est un petit fichier provenant d’un site web qui est sauvegardé dans votre ordinateur par le navigateur web. La partie savoureuse du cookie est qu’il peut stocker, par exemple, les informations de connexion, le code postal, etc. de sorte que vous n’avez pas besoin de le taper à plusieurs reprises. La partie amère, c’est qu’il peut suivre vos habitudes et être utilisé par les réseaux publicitaires. La saveur désagréable survient lorsqu’un cookie contenant des informations sensibles est intercepté par un pirate informatique. Débarrassez-vous régulièrement des cookies, gardez votre logiciel antivirus à jour et visitez les sites web auxquels vous faites confiance – et profitez ainsi de la saveur des cookies !

Q: QUE SIGNIFIE SSO?

A: SSO est l’acronyme de Single Sign-On (authentification unique). Avec l’authentification unique, l’utilisateur peut s’authentifier une seule fois, puis utiliser plusieurs systèmes ou applications sans avoir à entrer à nouveau ses identifiants. Sans aucune SSO, les utilisateurs doivent retenir un nom d’utilisateur et un mot de passe différents (identifiants différents) pour chaque système utilisé. Cela conduit l’utilisateur à utiliser des mots de passe courts, simples ou similaires pour chaque ressource. Pour réduire la contrainte liée aux mots de passe, le temps nécessaire pour saisir à nouveau les informations d’identité, les demandes de « mot de passe oublié », etc. de nombreuses entreprises mettent en œuvre l’authentification unique.

Q: QU’EST-CE QUE S/MIME?

A: S/MIME (Extensions de messagerie Internet polyvalentes sécurisées) est la norme pour sécuriser les messages MIME. Elle fait passer la communication SMTP à un niveau supérieur en permettant l’utilisation d’un protocole de messagerie largement supporté sans compromettre la sécurité. Elle utilise l’infrastructure à clé publique (PKI) pour chiffrer et/ou signer les données. S/MIME apporte les avantages du service cryptographique au courrier électronique : confidentialité et intégrité des données avec cryptage des messages ; authentification et non-répudiation avec signature numérique.

 

JUILLET|

 

Q: QU’EST-CE QUE MIME?

A: MIME (Multipurpose Internet Mail Extensions) est la norme Internet qui définit la manière dont un message doit être formaté pour être transféré entre différents systèmes de messagerie. MIME est un format très souple qui permet d’inclure presque tous les types de données telles que le texte, les images, l’audio, les applications, etc. Avec un encodage approprié, MIME est également capable de gérer les messages écrits dans les différentes langues internationales. MIME est conçu pour les communications SMTP, mais de nombreuses définitions de la norme sont largement utilisées dans les protocoles de communication WWW.

Q:QU’EST-CE QUE LE TABNABBING?

R:Le Tabnabbing, également connu sous le nom de Tabjacking, est une attaque par hameçonnage qui utilise l’inattention d’un utilisateur pour ouvrir plusieurs onglets de navigateur afin de voler les informations sensibles de l’utilisateur. Par exemple, vous avez ouvert la page touchée par cette attaque avec d’autres onglets du navigateur. Si le script de l’onglet malveillant détecte une inactivité, la page Web sera alors rechargée et affichera, par exemple, une fausse page de connexion de Gmail à la place. En raison d’un manque d’attention aux onglets ouverts, l’utilisateur peut entrer les informations d’identification demandées et elles seront volées par les cybercriminels.

Q: COMMENT UN VPN PEUT-IL AMELIORER LA PROTECTION DE MA VIE PRIVEÉ ET MA SECURITÉ?

R: Un VPN (Virtual Private Network) permet d’étendre un réseau privé   (ex: réseau d’entreprise) sur un réseau public (ex. : Internet) et permet aux utilisateurs d’accéder aux ressources du réseau privé comme s’ils étaient directement connectés à ce réseau privé. Un VPN utilise une technologie de cryptage pour crypter le trafic réseau, ainsi, si un pirate détecte les paquets, il ne reçoit que des données cryptées. Il identifie la modification des données transmises et les rend intacts. Un VPN utilise l’authentification pour empêcher l’accès non autorisé aux ressources.

Q: EST-CE QUE LE « PHARMING » EST UN AUTRE MOT DE PLUS AVEC UNE ERREUR?

R: Le pharming est un type avancé de cybercriminalité, qui ressemble à l’hameçonnage, qui combine les sens des mots « Phishing » et « Farming ». La principale motivation du pharming est d’obtenir des noms d’utilisateur et des mots de passe auprès de détaillants ou de banques en ligne, sans avoir besoin de vous hameçonner avec des courriels ou des liens malveillants. Vous allez sur une ressource Web bien connue, comme toujours, mais vous vous retrouvez sur le système du pirate informatique – qui a été modifié pour ressembler à un site Web légitime. L’une des techniques utilisées dans une attaque de pharming est le piratage des services DNS sur un système informatique par un code malveillant désigné sous le nom d’Empoisonnement du cache DNS.

 

JUIN |

 

Q: COMMENT ÊTRE EN SÉCURITÉ EN FAISANT DES PAIEMENTS EN LIGNE?

R: Il y a quelques points à considérer lorsque vous faites des achats en ligne : 1. Assurez-vous que le site Web de vente en ligne utilise une connexion SSL et que l’entreprise est digne de confiance. 2. Toujours préférer les transactions par carte de crédit à celles par débit. 3. N’effectuez pas de paiements lorsque vous êtes connecté à un réseau Wi-Fi public. 4. Pensez à refuser de mémoriser les données de votre carte de crédit sur le site Web d’un vendeur – même si vous l’utilisez souvent. 5. Ne saisissez jamais votre code PIN ou le mot de passe de votre banque lorsque vous effectuez une transaction. Le dernier mot : Vérifiez votre relevé de carte de crédit régulièrement, inscrivez-vous pour les notifications de transaction, si possible, et soyez en sécurité.

Q : COMMENT ÊTRE EN SÉCURITÉ SUR LES WI-FI STARBUCKS?

R: Pour être en sécurité lorsque vous utilisez un réseau Wi-Fi public, utilisez uniquement une connexion sécurisée (SSL) sur des sites Web fiables. Évitez d’utiliser des noms d’utilisateur et des mots de passe personnels, même si c’est pour vérifier votre courrier électronique, car les pirates peuvent surveiller les réseaux Wi-Fi non protégés et vos informations peuvent être volées. Désactivez les options Partage de fichiers et AirDrop et vérifiez que le pare-feu de votre ordinateur portable est activé. Pour une protection encore meilleure, sécurisez et chiffrez votre connexion en utilisant un réseau privé virtuel (VPN) – un tunnel numérique sécurisé vers votre périphérique.

Q: QU’EST-CE QUE l’IDO DE TOUTE FAÇON?

R: L’Internet des Objets (IoT) est un écosystème d’appareils connectés capables de communiquer avec nous, et entre eux, sur Internet. Un thermostat intelligent, contrôlable à partir de nos téléphones et tablettes, par exemple, est un appareil bien connu connecté à l’IoT. De nos jours, tout est « intelligent », des simples capteurs et actionneurs aux réfrigérateurs et voitures. L’avenir de l’IoT est très passionnant et va révolutionner notre façon de vivre, en rendant des villes et des pays entiers plus intelligents et plus efficaces. C’est vraiment un âge d’or pour les appareils IoT.

Q:COMMENT EST-CE QUE LE BLOWFISH ÉVOLUE DANS LE DOMAINE DE LA CRYPTOGRAPHIE?

R: Le Blowfish est un algorithme de cryptage symétrique conçu par Bruce Schneier en 1993 pour remplacer les anciens algorithmes DES et IDEA. Il a une taille de bloc de 64 bits et utilise une clé à longueur variable, de 32 bits à 448 bits, ce qui convient à la fois à l’usage local et à l’exportation. Blowfish cherche à rendre difficile une attaque par force brute en rendant l’installation de la clé initiale assez lente. Cet algorithme n’est pas breveté, sans licences, et est disponible gratuitement pour tout le monde. Blowfish ne devrait pas être utilisé pour les gros fichiers en raison de la petite taille des blocs (64 bits par opposition à la taille des blocs de 128 bits de l’AES).

 

MAI |

 

Q: BLUEJACKING, BLUESNARFING ET BLUEBUGGING EST-CE DE NOUVELLES NUANCES DE BLEU?

R: Le bluejacking, la première attaque bluetooth, est l’envoi de messages non sollicités vers des périphériques dont le bluetooth est activé. Le bluejacking n’est pas très méchant et se limite généralement à envoyer des messages texte, des images ou des sons à un périphérique ciblé. Le bluesnarfing est plus méchant et cible les informations confidentielles de l’utilisateur – avec un attaquant qui se connecte à un périphérique bluetooth, à l’insu du propriétaire, et télécharge son répertoire, son calendrier et plus encore. Le bluebugging va plus loin – c’est une prise de contrôle virtuelle complète du périphérique. Une fois connecté, un attaquant peut accéder à vos contacts, passer et écouter des appels, lire vos messages et e-mails et même suivre votre position, à votre insu.

Q: SAML OU OAUTH?

R: SAML (langage de balisage d’assertion de sécurité) est généralement utilisé lorsque la solution nécessite une gestion centralisée des identités ; implique SSO avec au moins un participant d’entreprise ; donne accès à une application. OAuth (autorisation ouverte) est généralement utilisé lorsqu’une solution fournit un accès à des ressources, comme des comptes, des fichiers, etc . ; ou implique des périphériques mobiles. Les deux technologies peuvent être utilisées en même temps. Par exemple : SAML pour l’authentification ; une fois le jeton SAML traité, utilisez-le comme jeton de support OAuth pour accéder aux ressources protégées via HTTP.

Q: QUELS SONT LES TYPES DE BIOMÉTRIE?

R: Il y a deux principaux types de biométrie : La biométrie physiologique est quelque chose lié à ce que nous sommes, y compris les tailles spécifiques, les dimensions et les caractéristiques de notre corps. Votre visage, vos yeux, vos veines ou vos empreintes digitales sont un exemple de données biométriques physiologiques. Ce que nous faisons c’est de la biométrie comportementale qui est liée à nos habitudes personnelles et à nos mouvements uniques. Votre voix, vos gestes, votre façon de marcher et votre signature manuscrite sont l’exemple le plus simple de ce type.

Q: EST-IL POSSIBLE D’ARRÊTER LE VOL D’IDENTITÉ?

R: Il est presque impossible d’empêcher complètement le vol d’identité, mais il est possible de réduire le risque en suivant quelques conseils simples : 1. Faites attention à vos paramètres de confidentialité sur les médias sociaux. 2. Utilisez des mots de passe forts et différents lors de la création de comptes en ligne. 3. Ne consultez pas les e-mails suspects qui peuvent être un hameçonnage pour les données. 4. Ne fournissez aucune information à des sites Web n’utilisant pas de connexion SSL. 5. Protégez votre PC en utilisant un logiciel de protection pare-feu, antivirus et anti-espion, et à jour.

 

AVRIL |

 

Q: POURQUOI UTILISER SAML ?

R: Le langage SAML (Security Assertion Markup Language) est une norme ouverte qui représente un cadre XML pour le partage d’informations de sécurité sur l’identité, l’authentification et l’autorisation entre différents systèmes. SAML élimine la nécessité de disposer de plusieurs mots de passe d’applications et de services en permettant un échange d’authentification basé sur des jetons. Il résout le défi clé en activant la fonctionnalité d’authentification unique (SSO). SAML permet de gagner du temps sur le plan administratif et d’accroître la sécurité grâce à un contrôle centralisé de l’authentification et de l’accès.

Q: QU’EST-CE QUE LA CONFORMITÉ PCI ?

A: Le PCI est un acronyme pour Payment Card Industry et est souvent suivi des lettres DSS pour Data Security Standard. Les entreprises conformes à la norme PCI doivent respecter les règles définies par le PCI Security Standards Council. Certains d’entre eux sont : Maintenir une politique de sécurité de l’information ; surveiller et maintenir un réseau sécurisé ; mettre en œuvre des contrôles d’accès rigoureux ; protéger les renseignements de nature délicate. Les clients de ces entreprises doivent se sentir en sécurité et confiants que leurs données seront protégées.

Q:QU’EST-CE QUE LE VOL D’IDENTITÉ?

R: Le vol d’identité est un accès non désiré ou non autorisé à vos renseignements personnels. Une fois que quelqu’un s’empare de vos données personnelles, il peut commettre toutes sortes de crimes en les utilisant, y compris la fraude dans les télécommunications, le blanchiment d’argent, les cybercrimes, et plus encore. Les criminels utilisent des renseignements apparemment inoffensifs, comme votre date de naissance, pour avoir accès à d’autres renseignements à votre sujet, y compris votre adresse, votre courriel, votre lieu de naissance, vos numéros d’assurance et vos mots de passe. Prenez soin de protéger vos données en veillant à la protection de votre vie privée lorsque vous partagez des données sensibles.

Q: QU’EST-CE QUI EST LE STANDARD DE CRYPTAGE AVANCÉ (AES)?

R: L’Advanced Encryption Standard (AES) est un algorithme de cryptage par blocs à clé symétrique. AES est un sous-ensemble du cryptage Rijndael développé par deux cryptographes belges, Vincent Rijmen et Joan Daemen. AES est capable de gérer des blocs de 128 bits, en utilisant des clés de 128, 192 et 256 bits. La taille de la clé est illimitée, alors que la taille maximale du bloc est de 256 bits. AES est plus sûr et permet un cryptage plus rapide que ses prédécesseurs DES et 3DES. Globalement, AES s’est avéré être un cryptogramme fiable au fil du temps.

 

MARS |

 

Q: BLUETOOTH: LA FACILITÉ A UN PRIX?

R: Nous utilisons la technologie Bluetooth tous les jours pour connecter nos écouteurs, nos trackers de fitness, le système mains libres de la voiture, etc. Il est important de connaître les questions de sécurité associées à la technologie. Bluetooth envoie des données sans fil qui peuvent être interceptées par les mauvaises personnes. Pour protéger vos informations, pensez à régler vos appareils sur « indétectable » lorsqu’ils ne sont pas utilisés. N’acceptez jamais les demandes d’appariement de parties inconnues. Téléchargez et installez régulièrement des mises à jour de sécurité sur vos appareils.

Q: Y A-T-IL UNE ERREUR DANS LE MOT «PHISHING»?

R: Les arnaques d’hameçonnage imitent des entreprises comme les banques, les fournisseurs de services en ligne, les organisations légitimes et autorisées afin d’obtenir des informations sensibles comme les noms d’utilisateur, les mots de passe, les détails des cartes de crédit, etc. On le nomme Phishing en raison de la longue tradition des hackers d’utiliser « PH » au lieu de « F ». Faites attention à ne pas tomber dans les pièges mis en place par ces Phishermen et évitez de vous faire prendre dans le filet des Phish.

Q: QU’EST-CE QUE C’EST LE DIFFIE-HELLMAN KEY EXCHANGE?

R: Diffie-Hellman (DH) est un protocole d’échange de clés conçu à l’origine par Ralph Merkle. Il porte le nom de Whitfield Diffie et Martin Hellman – deux cryptographes. DH permet d’échanger en toute sécurité des clés cryptographiques sur un canal public sans rien partager au préalable. Une clé secrète partagée peut alors être utilisée pour crypter les communications consécutives. L’échange DH lui-même ne fournit pas d’authentification des parties et pourrait être vulnérable à l’attaque man-in-the-middle. Les variantes de DH avec authentification devraient être considérées.

Q: QU’EST-CE QUE LA NÉGOCIATION (HANDSHAKE) SSL?

A: La connexion SSL/TLS entre un client et un serveur commence par une négociation « handshake ». Cela comprend un certain nombre d’étapes – en commençant par la validation de l’identité de l’autre partie et se terminant par la génération d’une clé de session commune. Le client génère une clé symétrique, la crypte et la renvoie, puis le serveur décrypte cette clé de session à l’aide de sa clé privée. Le serveur et le client sont maintenant prêts à utiliser cette clé symétrique pour crypter et décrypter le transfert de données.

 

FÉVRIER |

 

Q: EST-CE QUE LA TECHNOLOGIE DE RECONNAISSANCE FACIALE PERMET UNIQUEMENT L’AUTHENTIFICATION?

R: La technologie de reconnaissance faciale nous aide déjà dans de nombreux domaines de notre vie, comme le contrôle de sécurité dans les aéroports, la vidéosurveillance de façon simple et amicale, les enquêtes sur les scènes de crime, etc. Examinons comment la technologie peut être utilisée pour adapter les approches marketing ? Il peut, par exemple, remplacer une carte de fidélité de magasin. Lorsque vous entrez dans le magasin, le personnel saura ce que vous avez acheté la dernière fois, vous fera des offres personnelles et échangera vos points. Le magasin lui-même peut adapter vos offres en analysant les données faciales, telles que le sexe, l’âge et l’origine ethnique. Les possibilités sont infinies.

Q: EST-CE QUE LE TLS UTILISE UN CRYPTAGE SYMÉTRIQUE OU ASYMÉTRIQUE?

R: Les deux. TLS utilise un algorithme de cryptage asymétrique uniquement pour établir une session client-serveur sécurisée. Pour le cryptage asymétrique, l’expéditeur a besoin d’une clé publique pour crypter les données et le destinataire a besoin d’une clé privée pour les décrypter. Le cryptage du volume de la charge utile exige de la vitesse, de sorte qu’un algorithme de cryptage symétrique est utilisé pour échanger des informations sur une session sécurisée établie. Pour le cryptage symétrique, l’expéditeur et le destinataire partagent une seule clé symétrique pour crypter et décrypter les données.

Q: «OK, GOOGLE» DOIS-JE ME FAIRE DU SOUCI AU SUJET DU RESPECT DE MA VIE PRIVÉE?

R: Les assistants vocaux, comme Google Home, Amazon Echo, etc., peuvent répondre à vos questions, fournir un rapport météo, monter le thermostat, contrôler les lumières ou même commander une pizza. Cette solution pratique a un prix. L’assistant est toujours à l’écoute. Envisagez d’utiliser le bouton « mic mute » pour l’éteindre lorsqu’il n’est pas nécessaire. N’importe qui peut contrôler votre appareil. Envisagez de ne pas connecter certains appareils IdO (Internet des objets) comme les serrures de porte intelligentes ; désactivez les options de paiement qui ne sont pas utilisées. Profitez de votre assistant numérique, mais n’en faites pas le maître de maison.

Q: QU’EST-CE QUE LE CAMOUFLAGE?

R: Le but du camouflage est d’empêcher quelqu’un de comprendre le contenu de quelque chose. Dans le développement de logiciels, il est souvent utilisé sur le code informatique pour rendre plus difficile l’altération, l’ingénierie inverse ou le vol de la fonctionnalité d’un produit. Il est important de comprendre que le camouflage n’est pas comme le cryptage, mais plutôt comme de l’encodage. Il peut être inversé en utilisant la même technique ou simplement comme un processus manuel qui prend du temps.

Q: QUELLES SONT LES MÉTHODES D’AUTHENTIFICATION?

R: Il existe trois grandes catégories d’authentification:

La connaissance est quelque chose que vous connaissez, par exemple un simple nom d’utilisateur et un mot de passe ;
La possession est quelque chose que vous avez, il peut s’agir d’une carte d’accès ou d’une télécommande ;
L’inhérence est quelque chose qui vous est propre, votre caractéristique biométrique, comme une empreinte digitale.

Parfois, votre localisation est considérée comme la 4e méthode. L’authentification multifactorielle augmente significativement la sécurité, mais aura évidemment un impact sur l’expérience utilisateur.

 

JANVIER |

 

Q: QU’EST-CE QUE L’ENCODAGE DES DONNÉES?

R: En informatique, l’encodage consiste à transformer les données originales dans un autre format afin qu’elles puissent être transférées et utilisées par différents systèmes. Par exemple, utiliser l’encodage binaire en texte Base64 pour les fichiers binaires pour les envoyer par courriel. L’encodage utilise des algorithmes accessibles au public et peut être facilement inversé (décodé). Le but principal de l’encodage n’est pas de garder l’information secrète, mais de s’assurer qu’elle est utilisée dans des conditions de sécurité et de façon appropriée.

Q: LA BIOMÉTRIE EST-ELLE LA SOLUTION PAR EXCELLENCE EN MATIÈRE D’AUTHENTIFICATION?

R: La biométrie est le terme technique qui fait référence aux mesures liées aux caractéristiques humaines, comme l’empreinte digitale, la voix, l’iris des yeux, etc. De nombreux produits de consommation ont adopté la biométrie pour l’authentification pour des raisons de commodité pour l’utilisateur, tandis que les produits d’entreprise choisissent de se retirer afin d’assurer une sécurité maximale des données. Le principal moyen d’authentification est la connaissance, comme un mot de passe ou un NIP (PIN). Les données biométriques n’ont jamais été conçues pour être le secret. Pouvez-vous vous imaginer porter des gants tout le temps ?

Q: EST-CE QUE LE FACE ID EST PLUS SÛR QUE LE TOUCH ID?

R: Apple affirme qu’il y a une chance sur un million que quelqu’un puisse débloquer votre appareil en utilisant Face ID comparé à 1 chance sur 50000 que quelqu’un ait la même empreinte digitale que vous. Est-ce que cela signifie que la sécurité de Face ID est 20 fois plus élevée ? Il est important de se rappeler que le Face ID et le Touch ID sont davantage une question de fonctionnalité et de design que de sécurité. Votre mot de passe (PIN) restera toujours le plus grand point faible de votre appareil. Donc, c’est mieux d’en faire un qui soit puissant.

Q: QU’EST-CE QUE LE «HEX»?

R: Les nombres hexadécimaux (hexadécimale ou base-16) sont largement utilisés en calcul et en mathématiques comme représentation de valeurs binaires. Chaque chiffre hexadécimal représente quatre bits ou un demi-octet. 16 symboles uniques 0-9 et A-F utilisés pour représenter une valeur.

Cette couleur pourpre porte le numéro hexadécimal #7334A4
#73(hexadécimal) est (7×16) + (3×1) = 115 (décimale) de bleu
#34(hexadécimal) est (3×16) + (4×1) = 52 (décimale) de vert
#A4 (hexadécimal) est (10×16) + (4×1) = 164 (décimale) de bleu
Dans l’espace RVB (RGB) notre couleur sera rvb (115, 52, 164) (115, 52, 164)

Il s’agit d’une version très résumée des nombreux termes et acronymes de sécurité utilisés de nos jours, mais nous espérons que cela vous aidera. Ne vous arrêtez pas maintenant. Renseignez-vous sur la façon dont vous pouvez utiliser le cryptage pour créer des communications fiables avec des livres blancs, des rapports, des webinaires et des vidéos.

RESSOURCES DE CRYPTAGE