Veille Technologique Sécurité - cert devoteam

More documents

Recommendations

Info

Avril 2001 1. Algorithme A Watermark Marque non éliminée (Nécessite une attaque en force et un délai plus important) 2. Algorithme B Watermark Marque éliminée 3. Algorithme C Watermark Marque éliminée 4. Algorithme D Signature Vérification impossible (Oracle biaisé rejettant systématiquement les tests valides) 5. Algorithme E Signature Défi biaisé (Exemples fournis insuffisants) 6. Algorithme F Watermark Marque éliminée Attention, le document a été retiré du site original situé en Allemagne à la suite d'une injonction de la part de la société XEROX, du matériel intellectuel appartenant à cette société étant a priori présent dans le document. Notons que celui-ci est en effet co-signé par Drew Dean, chercheur au Xerox Computer Science Laboratory de Palo Alto. Complément d'information Http://cryptome.org/sdmi-attack.htm http://www.julienstern.org/sdmi/ http://www.sdmi.org/ LA LEGISLATION INFORMATIQUE ET LIBERTE LA CYBERSURVEILLANCE DES SALARIES DANS L'ENTREPRISE Description La CNIL (Commission Nationale de l'Informatique et des Libertés) publie un rapport d'étude intitulé 'la cybersurveillance des salariés dans l'entreprise'. Ce rapport illustre les différentes techniques permettant de contrôler les salariés en opposition au respect de la vie privée de chacun, tout en évoquant la loi et la jurisprudence françaises. Cette étude très attendue risque de faire acte au sein des entreprises et des syndicats représentatifs des salariés. Complément d’information http://www.cnil.fr/thematic/docs/entrep/cybersurveillance.pdf http://www.cnil.fr/thematic/surveillance.htm SIGNATURE ELECTRONIQUE PARUTION DU DECRET D'APPLICATION Description Le décret portant application de l'article 1316-4 du code civil relatif à la signature électronique est paru au journal officiel le 31 Mars 2001 sous la référence 2001-272. Articulé en 4 chapitres, ce décret précise notamment les caractéristiques, exigences de sécurité et conditions d'utilisation des dispositifs de création et de vérification des signatures et certificats: Chapitre I: Des dispositifs sécurisés de création de signature électronique Chapitre II: Des dispositifs de vérification de signature électronique Chapitre III: Des certificats électroniques qualifiés et des prestataires de services de certification électronique Chapitre IV: Dispositions diverses Notons que le site du 'Programme d'action gouvernemental pour la société de l'information' (Services du Premier Ministre) propose un excellent dossier en ligne sur la signature électronique abordant à la fois les points de vue techniques et législatifs: L'essentiel : la signature électronique en quelques mots et images (animation) Questions/réponses : la signature électronique la certification électronique la signature électronique... pour quels usages ? le décret l'utilisation de la signature électronique Dossier technique : définitions et mécanismes de la signature électronique Pour en savoir (encore) plus : - Communiqué de presse du Premier ministre du 3 avril 2001 - Loi du 13 mars 2000 Complément d’information http://www.legifrance.gouv.fr/citoyen/jorf_nor.ow?numjo=JUSC0120141D http://www.legifrance.gouv.fr/citoyen/jorf_nor.ow?numjo=JUSX9900020L http://www.internet.gouv.fr/francais/textesref/pagsi2/signelect/sommaire.htm Veille Technologique Sécurité N°33 Page 12/59 © APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001 LES SERVICES DE BASE LOGICIELS LIBRES Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme dédiée. RESEAU Nom Fonction Ver. Date Source BIND Gestion de Nom (DNS) 9.1.1 28/03/01 http://www.isc.org/products/BIND DHCP Serveur d'adresse 3.0rc2pl1 24/04/01 http://www.isc.org/products/DHCP/dhcp-v3.html NTP4 Serveur de temps 4.0.99k23 11/04/01 http://www.eecis.udel.edu/~ntp WU-FTP Serveur de fichiers 2.6.1 02/07/00 http://www.wu-ftpd.org NTP: la version 4.0.99k est vulnérable à une attaque portant sur un débordement de buffer. MESSAGERIE Nom Fonction Ver. Date Source IMAP4 Relevé courrier 2000c 20/02/01 http://www.washington.edu/imap/documentation/RELNOTES.html POP3 Relevé courrier 4.0 25/04/01 http://www.eudora.com/qpopper_general/ SENDMAIL Serveur de courrier 8.12.0b7 04/04/01 http://www.sendmail.org WEB Nom Fonction Ver. Date Source APACHE Serveur WEB 1.3.19 28/02/01 http://httpd.apache.org/dist 2.0.16b 04/04/01 ModSSL API SSL Apache 1.3.19 2.8.2 30/03/01 http://www.modssl.org/ MySQL Base SQL 3.23.37 20/04/01 http://www.mysql.com/downloads/index.html SQUID Cache WEB 2.4s1 20/03/01 http://www.squid-cache.org AUTRE Nom Fonction Ver. Date Source INN Gestion des news 2.3.1 11/01/01 http://www.isc.org/products/INN MAJORDOMO Gestion des listes 1.94.5 15/01/00 http://www.greatcircle.com/majordomo OpenCA Gestion de certificats 0.2.0-5 26/01/01 http://www.openca.org OpenLDAP Gestion de l'annuaire 2.0.7 06/11/00 http://www.openldap.org LES OUTILS Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les tableaux suivants. LANGAGES Nom Fonction Ver. Date Source Perl Scripting 5.6.1 23/04/00 http://www.cpan.org/src/index.html PHP WEB Dynamique 4.0.4pl1 11/01/01 http://www.php.net ANALYSE RESEAU Nom Fonction Ver. Date Source Big Brother Visualisateur snmp 1.7.b4 11/04/01 http://maclawran.ca/bb-dnld/new-dnld.html Dsniff Boite à outils 2.3 17/12/00 http://www.monkey.org/~dugsong/dsniff EtherEal Analyse multiprotocole 0.8.17 12/04/01 http://www.ethereal.com IP Traf Statistiques IP 2.4.0 20/03/01 http://cebu.mozcom.com/riker/iptraf/ Nstreams Générateur de règles 1.0.0 11/11/00 http://www.hsc.fr/ressources/outils/nstreams/download/ SamSpade Boite à outils 1.14 10/12/99 http://www.samspade.org/ssw/ TcpDump Analyse multiprotocole 3.6.2 05/02/01 http://www.tcpdump.org/ ANALYSE DE JOURNAUX Nom Fonction Ver. Date Source Analog Journaux serveur http 4.16 13/02/01 http://www.analog.cx Autobuse Analyse syslog 1.13 31/01/00 http://www.picante.com/~gtaylor/autobuse Veille Technologique Sécurité N°33 Page 13/59 © APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Page 1 and 2: APOGEE Communications Rapport de Ve
Page 3 and 4: Avril 2001 MICROSOFT 27 NCM 27 NETS
Page 5 and 6: Avril 2001 LES PRODUITS TELEPHONIE
Page 7 and 8: Avril 2001 LES TECHNOLOGIES SYSTEME
Page 9 and 10: Avril 2001 LES INFORMATIONS CERT IN
Page 11: Avril 2001 technologiques avec des
Page 15 and 16: Avril 2001 NORMES ET STANDARDS LES
Page 17 and 18: Avril 2001 Thème Nom du Draft Date
Page 19 and 20: Avril 2001 SIP draft-ietf-simple-im
Page 21 and 22: Avril 2001 IPv6, en l'absence d'une
Page 23 and 24: Avril 2001 FORMAT DE LA PRESENTATIO
Page 25 and 26: Avril 2001 Déni de service sur les
Page 27 and 28: Avril 2001 MICROSOFT Débordement d
Page 29 and 30: Avril 2001 WATCHGUARD Déni de serv
Page 31 and 32: Avril 2001 PGP Exposition de clé p
Page 33 and 34: Avril 2001 Reprise de l'avis CERT C
Page 35 and 36: Avril 2001 OpenBSD Disponibilité d
Page 37 and 38: Avril 2001 LINUX REDHAT Annonce de
Page 39 and 40: Avril 2001 MS00-098 Indexing Servic
Page 41 and 42: Avril 2001 y a quelques années ave
Page 43 and 44: Avril 2001 GET /guest/default.asp/.
Page 45 and 46: Avril 2001 Une synthèse commentée
Page 47 and 48: Avril 2001 NC 6969 3149 3163 'del s
Page 49 and 50: Avril 2001 Microsoft(R) Windows NT(
Page 51 and 52: Avril 2001 12/26/00 07:10p New Fol
Page 53 and 54: Avril 2001 C:\Program Files\Common
Page 55 and 56: Avril 2001 12/15/00 07:05p 673 lrfp
Page 57 and 58: Avril 2001 11/26/00 12:34p 0 AUTOEX
Page 59: Avril 2001 Conclusion 1. Deux vague

Veille Technologique Sécurité - cert devoteam

Create successful ePaper yourself

Delete template?

Save as template?