Veille Technologique SÃ©curitÃ© - cert devoteam

More documents

Recommendations

Info

Février 2008 services attendus dans un environnement qu’il faut désormais considérer comme systématiquement hostile. Dans son travail d’étude et de recherche, l’auteur s’intéresse donc aux facteurs susceptibles d’impacter la sécurité des environnements communicants et mobiles en organisant son propos autour de six thèmes: 1- les mécanismes d’association et les problèmes liés aux vulnérabilités intrinsèques des algorithmes symétriques, 2- le processus d’authentification entre domaines et l’intérêt de l’utilisation d’un schéma basé sur l’identité, 3- les propriétés des protocoles de sécurité utilisant des canaux différenciés pour leurs opérations, 4- les mécanismes de mise à la clef par le biais de tels protocoles, 5- l’impact de la couche liaison sur la localisation de l’équipement, 6- l’impact de la couche physique sur la localisation de l’équipement. Le laboratoire d’informatique de l’université de Cambridge nous démontre ici encore l’excellent niveau atteint par ses chercheurs avec, dans le cas présent, une analyse pertinente - quoique difficile d’accès - des risques et des points de faiblesse d’infrastructures de communication condamnées à se développer à grande vitesse. Plusieurs attaques (la plupart sont connues, le rapport présentant une synthèse des travaux menés par l’auteur sur les trois dernières années) sont présentées qui mettent en défaut des propriétés et mécanismes de sécurité ayant été retenus pour assurer les fonctions élémentaires de sécurité – authentification et confidentialité – de protocoles couramment utilisés dont le protocole Bluetooth. Ce rapport traite à la fois d’éléments purement théoriques avec force de démonstrations mathématiques et de procédés factuels avec la présentation d’attaques menées sur, ou à l’aide, d’équipements utilisés au quotidien. La table des matières de ce rapport de 167 pages est la suivante: 1 Introduction 2 Password-based Device Pairing 2.1 Outline 2.2 Related Work 2.3 Ubicomp Environment - Lack of an Infrastructure 2.4 The Private Channel - Passwords 2.5 A Vulnerable Symmetric-Key Two-Party Password-Based Key Agreement Protocol 2.6 Secure Asymmetric-Key Two-Party Password-Based Key Agreement Protocols 2.7 Comments on Provable Security 2.8 Future Directions 2.9 Summary 3 Inter-Domain Password-Authenticated Identity-Based Key Agreement 3.1 Outline 3.2 Related Work 3.3 Security Requirements 3.4 Identity-Based Cryptography 3.5 Architecture 3.6 Proposed Protocol 3.7 Security Analysis 3.8 Comparisons 3.9 Future Directions 3.10 Summary 4 Multi-Channel Security Protocols 4.1 Outline 4.2 Related Work 4.3 Multiple Channels: open insecure channel and auxiliary channel 4.4 Types and Properties of Channels 4.5 Multiple Channels for Two-Party Key Agreement 4.6 Implementations 4.7 Future Directions 4.8 Summary 5 Group Key Agreement using Multi-Channel Security Protocols 5.1 Outline 5.2 Related Work 5.3 Security Requirements 5.4 A Straightforward Multi-Party Extension of Two-Party Diffie-Hellman Protocol: Cliques 5.5 Multi-Channel Security Protocol for Group Key Agreement I 5.6 Arbitrary Topologies 5.7 Efficiency and Usability Considerations 5.8 Multi-Channel Security Protocol for Group Key Agreement II 5.9 Future Directions 5.10 Summary 6 Location Privacy at the MAC Layer 6.1 Outline 6.2 Related Work 6.3 Viewpoints on (Location) Privacy 6.4 Definitions 6.5 Privacy Within and Across Multiple Layers 6.6 MAC Layer Vulnerabilities of a Pervasive Technology 6.7 MAC Layer Privacy-Enhancing Solutions 6.9 Summary Veille Technologique Sécurité N°115 Page 8/80 © DEVOTEAM SOLUTIONS - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Février 2008 7 Location Privacy at the Physical Layer 7.1 Outline 7.2 Related Work 7.3 Localization Schemes 7.4 Physical Layer Solution: Adaptive Beamforming 7.5 Security Considerations 7.6 Radio Environment 7.7 Radio Simulation 7.8 Integrated Radio and Mobility Simulation 7.9 Location Privacy Performance 7.10 Future Directions 7.11 Summary 8 Conclusion A Appendix A A.1 The Characteristic 2 Finite Field A.2 Elliptic Curves over the Characteristic 2 Field A.3 Elliptic Curve Domain Parameters A.4 Selection of Parameters Les lecteurs qui seraient intéressés pour en savoir plus sur le concept d’intelligence ambiante et sur les risques que posent les technologies associées pourront se procurer l’ouvrage intitulé ‘Safeguards in a World of Ambient Intelligence’ publié aux éditions ‘Springer’ et rédigé par un groupe d’experts appartenant à l’institut pour l’étude des technologies (IPTS - Institute for Prospective Technological Studies) du Centre Commun de recherche (JRC - Joint Research Centre) de la communauté Européenne. Un ouvrage de 291 pages qui, à la lecture du premier chapitre et de la table des matières, semble traiter le sujet dans toute sa dimension en abordant la thématique de la sécurité sous tous les angles: sécurité de l’information mais aussi fiabilité et sûreté de fonctionnement du système. • Complément d’information http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-709.pdf http://www.springer.com/computer/database+management+%26+information+retrieval/book/978-1-4020-6661-0 CMU – VERIFICATION AUTOMATISEE DES PROPRIETES DE SECURITE DE L’IMPLEMENTATION D’UN PROTOCOLE • Description Publié par Sagar Chaki et Anupam Datta du laboratoire de recherche en sécurité, dit CyLab, de l’université de Carnegie-Mellon, le rapport de 14 pages intitulé ‘Automated Verification of Security Protocol Implementations’ présente une méthode qui permet d’automatiser l’étape consistant à vérifier que les propriétés ayant trait à la sécurité sont correctement traitées dans l’implémentation d’un protocole. Les auteurs annoncent avoir validé avec succès leur méthode sur un exemple concret, celui du protocole OpenSSL pour des configurations comportant au plus trois serveurs et trois clients. L’approche actuellement la plus prometteuse – dite du ‘software model checking’ – consiste à vérifier les propriétés non évidentes d’un code par le biais d’une modélisation permettant de réduire le dit code en des prédicats aisément vérifiables. L’un des inventeurs de cette approche - Joseph Sifakis, un français directeur de recherche au CNRS – s’est vu attribué le prix Turing 2007 au début du mois. Le modèle obtenu pourra être automatiquement raffiné par itération selon un cycle similaire à celui présenté ci-contre. Ce cycle est utilisé par le système ‘Copper’ développé par le CMU et auquel Sagar Chaki a participé. Les auteurs ont combiné cette modélisation de l’implémentation du protocole avec une modélisation des principes de sécurité du protocole cible. Ils annoncent pouvoir ainsi obtenir un niveau d’assurance similaire à celui qui peut être obtenu dans les phases de validation des spécifications. En d’autres termes, si les spécifications ont été correctement validées, l’implémentation pourra l’être avec le même niveau de confiance. Un outil automatisant cette approche a été développé sur la base de l’environnement ‘Copper’. Il prend en paramètre le code source du protocole (en langage ‘C’), le nombre de sessions concurrentes, une description de la fonction de sécurité devant être validée (authentification ou confidentialité) et un modèle figurant les capacités de l’agresseur. Il fournit en retour une réponse binaire: le protocole satisfait à la fonction de sécurité même en condition d’agression ou il ne la satisfait pas. 1 Introduction 2 Security Protocol Model and Properties 2.1 Protocol Syntax 2.2 Protocol Semantics 2.3 Security Properties and Satisfaction 3 Protocol Analysis 4 Experimental Results 5 Conclusion Veille Technologique Sécurité N°115 Page 9/80 © DEVOTEAM SOLUTIONS - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Page 1 and 2: APOGEE Communications Rapport de Ve
Page 3 and 4: Février 2008 MYSQL 42 NOVELL 42 OP
Page 5 and 6: Février 2008 Le mot de la rédacti
Page 7: Février 2008 PRODUITS ET TECHNOLOG
Page 11 and 12: Février 2008 INFORMATIONS ET LEGIS
Page 13 and 14: Février 2008 exploitable est une r
Page 15 and 16: Février 2008 lié à un savoir-fai
Page 17 and 18: Février 2008 Annex C: Inventory Of
Page 19 and 20: Février 2008 WinPCap Acquisition T
Page 21 and 22: Février 2008 OTP draft-sunabhi-otp
Page 23 and 24: Février 2008 HIPRG draft-jiang-hip
Page 25 and 26: Février 2008 draft-wood-dtrng-http
Page 27 and 28: Février 2008 draft-otani-ccamp-gmp
Page 29 and 30: Février 2008 SIDR draft-ietf-sidr-
Page 31 and 32: Février 2008 NOS COMMENTAIRES LES
Page 33 and 34: Février 2008 4.2 Retargeting and F
Page 35 and 36: Février 2008 FORMAT DE LA PRESENTA
Page 37 and 38: Février 2008 Multiples vulnérabil
Page 39 and 40: Février 2008 ELYNX Exécution de c
Page 41 and 42: Février 2008 Exécution de code ar
Page 43 and 44: Février 2008 OPERA Multiples faill
Page 45 and 46: Février 2008 ALERTES NON CONFIRMEE
Page 47 and 48: Février 2008 DNSSEC-TOOLS Contourn
Page 49 and 50: Février 2008 HORDE Contournement d
Page 51 and 52: Février 2008 Exécution de script
Page 53 and 54: Février 2008 Exécution de code ar
Page 55 and 56: Février 2008 PERSITS Exécution de
Page 57 and 58: Février 2008 SOPHOS "Cross-Site Sc
Page 59 and 60:
Février 2008 Multiples vulnérabil
Page 61 and 62:
Février 2008 Reprise de l'alerte C
Page 63 and 64:
Février 2008 Reprise de l'alerte M
Page 65 and 66:
Février 2008 Reprise de l'alerte S
Page 67 and 68:
Février 2008 FREEBSD Disponibilit
Page 69 and 70:
Février 2008 wordpress F7 FEDORA-2
Page 71 and 72:
Février 2008 SUN Publication du bu
Page 73 and 74:
Février 2008 BULLETINS ET NOTES Le
Page 75 and 76:
Février 2008 Un outil rapidement i
Page 77 and 78:
Février 2008 ANALYSES ATTAQUES SUR
Page 79 and 80:
Février 2008 D’une installation
show all

Veille Technologique SÃ©curitÃ© - cert devoteam

Create successful ePaper yourself

Delete template?

Save as template?