Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Veille</strong> <strong>Technologique</strong> Sécurité<br />
Rapport Mensuel N°135<br />
OCTOBRE 2009<br />
Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et<br />
publiquement accessibles: listes de diffusion, newsgroups, sites Web, ...<br />
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la<br />
précision ou de la qualité de l'information. Les URL associées à <strong>cert</strong>ains thèmes sont validées à la date de la rédaction du<br />
document.<br />
Dans ce numéro:<br />
La sécurité des réseaux d’énergie<br />
La sécurité du WiMAX<br />
La revue de l’ENISA<br />
La cryptographie et les problèmes complexes<br />
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.<br />
CONNECTING BUSINESS & T ECHNOLOGY<br />
DEVOTEAM – BU Sécurité<br />
Pour tous renseignements:<br />
1, rue GALVANI Offre de veille http://www.<strong>devoteam</strong>.fr/<br />
91300 Massy Palaiseau Informations vts-info@veille.apogee-com.fr<br />
©DEVOTEAM Solutions - Tous droits réservés
OCTOBRE 2009<br />
Au sommaire de ce rapport…<br />
ACTUALITES SECURITE<br />
NIST – UN RAPPORT SUR LES RESULTATS DU PREMIER TOUR DE LA COMPETITION SHA-3 2<br />
CLUSIF – SECURITE DES APPLICATIONS WEB 3<br />
ANALYSES ET COMMENTAIRES<br />
ETUDES<br />
LA PREUVE FORMELLE DE LA VALIDITE D’UN CODE 4<br />
CNRS – RETOUR D’EXPERIENCE SUR ZONECENTRAL 4<br />
CAIDA - INTERNET-SCALE IP ALIAS RESOLUTION TECHNIQUES 5<br />
CRYPTOGRAPHIE - UN WIKI SUR LES PROBLEMES COMPLEXES 6<br />
MAGAZINES<br />
ENISA - QUARTERLY REVIEW 6<br />
la résilience et le partage de l’information 7<br />
La protection des infrastructures critiques 8<br />
Les risques émergents et futur 8<br />
Les compétences et les <strong>cert</strong>ifications 9<br />
La sensibilisation et les problèmes de l’usager final 9<br />
Technologies 10<br />
METHODOLOGIES ET STANDARDS<br />
RECOMMANDATIONS<br />
ANSSI – CERTIFICATION CSPN DU LOGICIEL VCS-TOOAL 11<br />
ECRYPT – ESTREAM PORTFOLIO: MISE A JOUR ANNUELLE 11<br />
NIST - SP800-127 'GUIDE TO SECURITY FOR WIMAX TECHNOLOGIES' 12<br />
NIST - IR7628 'SMART GRID CYBER SECURITY STRATEGY AND REQUIREMENTS' 13<br />
ANSSI – CATALOGUE DES PRODUITS QUALIFIES – MISE A JOUR 15<br />
STANDARDS<br />
DRAFT-IETF-6MAN-IANA-ROUTING-HEADER-00 18<br />
TABLEAUX DE SYNTHESE<br />
CONFERENCES<br />
BRUCON 2009 20<br />
CHES 2009 20<br />
VB2009 - GENEVA 21<br />
RAID2009 22<br />
HITB2009 22<br />
SOURCE2009 - BARCELONE 23<br />
GUIDES<br />
NIST – ETAT DES GUIDES DE LA SERIE SPECIALE 800 24<br />
DISA – GUIDES ET CHECK LISTES DE SECURISATION 26<br />
MAGAZINES<br />
ENISA - QUARTERLY REVIEW 27<br />
INTERNET<br />
LES DECISIONS DE L’OMPI 28<br />
STANDARDS<br />
IETF – LES RFC TRAITANT DIRECTEMENT DE LA SECURITE 28<br />
IETF – LES RFC LIES A LA SECURITE 28<br />
IETF – LES NOUVEAUX DRAFTS TRAITANT DE LA SECURITE 29<br />
IETF – LES MISES A JOUR DE DRAFTS TRAITANT DE LA SECURITE 29<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135<br />
Page i<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
Le mot du rédacteur<br />
Les mois de septembre et d’octobre auront vu fleurir les conférences consacrées aux<br />
mille et une facettes de la sécurité des systèmes d’information. Nos lecteurs<br />
trouveront donc en fin de rapport une liste des communications présentées dans le<br />
cadre de six grandes conférences dont les actes sont disponibles en ligne.<br />
Le mois d’octobre aura aussi été celui du lancement de plusieurs campagnes de<br />
Phishing ciblant directement la population Française dont l’une, très audacieuse, prend<br />
prétexte du remboursement d’un crédit d’impôt par le Trésor Public pour embobiner le<br />
citoyen trop crédule. Quand l’on voit le succès des campagnes de Phishing ordinaires<br />
prétextant d’une vérification des informations de connexion par exemple, on imagine<br />
sans peine celui qu’aura une telle campagne s’agissant de récupérer monnaie<br />
sonnante et trébuchante, et auprès du Trésor Public s’il vous plait! Du grand art s’il<br />
n’était encore diverses fautes d’orthographe.<br />
http://www.secuser.com/phishing/2009/091001-impots.htm<br />
Deux autres campagnes de phishing similaires ont eu lieu ces derniers temps, l’une<br />
portant sur le paiement d’un dû par les Caisses d’Allocations Familiales et l’autre<br />
prétextant d’une erreur de prélèvement par l’opérateur Orange.<br />
http://www.secuser.com/phishing/2009/091004-caf.htm<br />
http://www.secuser.com/phishing/2009/090824-orange.htm<br />
On notera enfin l’annonce de l’AFNIC informant de la suppression, le 2 novembre<br />
prochain, de près de 1000 noms de domaine en ‘.fr’ ayant été indûment enregistrés<br />
par la société KLTE Ltd. Cette décision vient clore un conflit vieux de quatre ans.<br />
L’AFNIC publie sur son site la liste des noms concernés qui deviennent de fait<br />
réenregistrables, du moins pour ceux qui respecteraient la charte de nommage.<br />
http://www.afnic.fr/doc/ref/juridique/noms-bloques-klte<br />
BERTRAND VELLE<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 1/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
ACTUALITES SECURITE<br />
NIST – UN RAPPORT SUR LES RESULTATS DU PREMIER TOUR DE LA COMPETITION SHA-3<br />
La découverte en 2005 d’une vulnérabilité dans l’algorithme de condensation SHA-1<br />
conduisait l’organisme de normalisation américain - le NIST - à recommander son abandon<br />
au profit d’un autre algorithme, dit SHA-2. Ce dernier était normalisé sous la forme de quatre modes<br />
opératoires travaillant sur différentes tailles de bloc de données: SHA-224, SHA-256, SHA-384 et SHA-<br />
512.<br />
En 2007, la réévaluation de la norme FIPS<br />
180-2 ‘Secure Hash Standard’ et des 4<br />
modes opératoires du SHA-2, confirmait son<br />
applicabilité jusqu’en 2012, année de la<br />
prochaine réévaluation.<br />
Le NIST avait toutefois déjà décidé de<br />
préparer l’avenir en engageant, dès 2006,<br />
une campagne destinée à spécifier un<br />
remplaçant en tenant compte des avancées<br />
en matière de cryptographie mais aussi de<br />
cryptanalyse.<br />
La marge de temps dégagée par cette<br />
décision a pu être mise à profit pour mener<br />
une campagne de sélection et d’analyse des<br />
algorithmes existants, ou en cours de<br />
développement, et ceci à travers le monde.<br />
Le NIST a retenu le principe d’une mise en<br />
compétition de ces algorithmes, ce principe<br />
ayant donné d’excellents résultats en 2001<br />
dans le cadre de la sélection d’AES, le<br />
successeur de l’algorithme normalisé de<br />
chiffrement DES.<br />
L’année 2007 aura été consacrée à la<br />
spécification des conditions régissant cette<br />
compétition dont les principes de sélection<br />
et les critères d’évaluation. La clôture de la<br />
période de soumission – 1 er novembre 2008<br />
– marque le début du premier tour de la<br />
compétition. Sur les 64 algorithmes qui ont<br />
initialement proposés, 51 ont été étudiés,<br />
commentés, améliorés durant les premiers<br />
mois de l’année, pour aboutir à l’annonce,<br />
le 24 juillet dernier, de la sélection des 14<br />
candidats qui s’affronteront dans un second<br />
tour.<br />
Le rapport que vient de publier le NIST<br />
détaille les conditions dans lesquelles s’est<br />
déroulé ce premier tour de la compétition<br />
en se focalisation sur les raisons ayant<br />
conduit à retenir tel ou tel algorithme pour<br />
le second tour.<br />
Aucune justification n’est hélas fournie sur<br />
le rejet des autres algorithmes hormis le fait<br />
que <strong>cert</strong>ains d’entres-eux aient été, entre<br />
temps, cassés ou ne répondaient pas aux<br />
exigences initiales d’acceptation dont celles<br />
d’être compatible avec les quatre tailles de<br />
blocs du SHA-2: 224, 256, 384 et 512 bits.<br />
Soumissions Concepteur Status<br />
BLAKE Jean-Philippe Aumasson Retenu<br />
BlueMidnight Wish Svein Johan Knapskog Retenu<br />
CubeHash D. J. Bernstein Retenu<br />
ECHO Henri Gilbert Retenu<br />
Fugue Charanjit S. Jutla Retenu<br />
Grøstl Lars Ramkilde Knudsen Retenu<br />
Hamsi Ozgul Kucuk Retenu<br />
JH Hongjun Wu Retenu<br />
Keccak Joan Daemen Retenu<br />
Luffa Dai Watanabe Retenu<br />
Shabal Jean-Francois Misarsky Retenu<br />
SHAvite-3 Orr Dunkelman Retenu<br />
SIMD Gaetan Leurent Retenu<br />
Skein Bruce Schneier Retenu<br />
ARIRANG Jongin Lim Eliminé<br />
AURORA Masahiro Fujita Eliminé<br />
Blender Dr. Colin Bradbury Eliminé<br />
Cheetah Dmitry Khovratovich Eliminé<br />
CHI Phillip Hawkes Eliminé<br />
CRUNCH Jacques Patarin Eliminé<br />
Dynamic SHA Xu Zijie Eliminé<br />
Dynamic SHA2 Xu Zijie Eliminé<br />
ECOH Daniel R. L. Brown Eliminé<br />
EDON-R Danilo Gligoroski Eliminé<br />
EnRUPT Sean O’Neil Eliminé<br />
ESSENCE Jason Worth Martin Eliminé<br />
FSB Matthieu Finiasz Eliminé<br />
LANE Sebastiann Indesteege Eliminé<br />
Lesamnta Hirotaka Yoshida Eliminé<br />
LUX Ivica Nikolic Eliminé<br />
MCSSHA-3 Mikhail Maslennikov Eliminé<br />
MD6 Ronald L. Rivest Eliminé<br />
NaSHA Smile Markovski Eliminé<br />
SANDstorm Rich Schroeppel Eliminé<br />
Sarmal Kerem VARICI Eliminé<br />
Sgàil Peter Maxwell Eliminé<br />
Spectral Hash Cetin Kaya Koc Eliminé<br />
SWIFFTX Daniele Micciancio Eliminé<br />
TIB3 Daniel Penazzi Eliminé<br />
Twister Michael Gorski Eliminé<br />
Vortex Michael Kounavis Eliminé<br />
Abacus Neil Sholer Cassé<br />
BOOLE Greg Rose Cassé<br />
DCH David A. Wilson Cassé<br />
Khichidi-1 M Vidyasagar Cassé<br />
MeshHash Björn Fay Cassé<br />
SHAMATA Orhun Kara Cassé<br />
StreamHash Michal Trojnara Cassé<br />
Tangle Rafael Alvarez Cassé<br />
WaMM John Washburn Cassé<br />
Waterfall Bob Hattersley Cassé<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 2/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
Le sommaire de ce rapport de 21 pages est le suivant:<br />
1 Introduction<br />
2 Evaluation Criteria and the Selection Process<br />
2.1 Acceptance of First Round Candidates<br />
2.2 Evaluation Criteria<br />
2.2.1 Security<br />
2.2.2 Cost and Performance<br />
2.2.3 Algorithm and Implementation Characteristics<br />
2.3 Selection of Second Round Candidates<br />
3 Summary of Second Round Candidates<br />
3.1 BLAKE 3.2 BLUE MIDNIGHT WISH (BMW) 3.3 CubeHash<br />
3.4 ECHO 3.5 Fugue 3.6 Grøstl 3.7 Hamsi<br />
3.8 JH 3.9 Keccak 3.10 Luffa<br />
3.11 Shabal 3.12 SHAvite 3.13 SIMD<br />
3.14 Skein<br />
4 Conclusion and Next Steps<br />
5 References<br />
POUR PLUS D’INFORMATION<br />
http://csrc.nist.gov/groups/ST/hash/sha-3/index.html<br />
http://csrc.nist.gov/groups/ST/hash/sha-3/Round1/documents/sha3_NISTIR7620.pdf<br />
CLUSIF – LA SECURITE DES APPLICATIONS WEB<br />
Le CLUSIF vent de publier un nouveau dossier technique de 20 pages sur la sécurité des<br />
applications WEB, sujet qu’il convient en effet de porter à l’attention du plus grand nombre,<br />
et en particulier auprès des prescripteurs, et des responsables métiers lesquels ne sont pas<br />
toujours des spécialistes des systèmes d’information.<br />
Le sommaire de ce dossier est le suivant:<br />
1 Introduction<br />
2 Les technologies WEB, incontournables mais porteuses de nouveaux risques<br />
Des technologies omniprésentes<br />
Des environnements exposés<br />
Des réglementations et des responsabilités<br />
Le rôle du management<br />
3 Sécurité des applications WEB, mythes et réalités<br />
Mythe 1 ‘Sans demande particulière, le développeur me fournira une solution sécurisée’<br />
Mythe 2 ‘Seuls des génies de l’informatique savent exploiter les failles des applications WEB’<br />
Mythe 3 ‘Mon site WEB est sécurisé puisqu’il est protégé par SSL’<br />
Mythe 4 ‘Je suis protégé contre les attaques, j’ai un Firewall’<br />
Mythe 5 ‘Une faille sur une application interne n’est pas importante’<br />
4 Les principales failles des applications WEB<br />
La gestion incorrecte de l’authentification, des habilitations et du contrôle d’accès<br />
Les failles de type ‘injection’<br />
Les fuites d’information<br />
5 Quelles bonnes pratiques pour mettre en œuvre une application WEB sécurisée<br />
Formation et sensibilisation<br />
Identification des besoins et appréciation des risques<br />
Conception et implémentation<br />
‘Recette’ de la sécurité<br />
6 Vérification de la sécurité d’une application WEB<br />
Pourquoi vérifier ?<br />
Comment vérifier ?<br />
Automatisation<br />
Quand vérifier la sécurité d’une application Web<br />
7 Prise en compte des développements externalisés<br />
8 Références<br />
POUR PLUS D’INFORMATION<br />
http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2009-Securite-des-applications-Web.pdf<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 3/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
ANALYSES ET COMMENTAIRES<br />
ETUDES<br />
LA PREUVE FORMELLE DE LA VALIDITE D’UN CODE<br />
Une équipe d’universitaires australiens vient d’annoncer avoir réussi à prouver formellement<br />
l’absence de toute erreur dans le code de seL4, un micronoyau sécurisé conçu pour être<br />
embarqué dans des équipements nécessitant un haut niveau de sécurité et de fiabilité. Cette<br />
avancée significative dans le domaine de la validation logicielle résulte des travaux menés par<br />
le groupe d’étude ERTOS - Trustworthy Embedded Systems – du NICTA, le centre d’excellence pour la<br />
recherche en informatique et télécommunication australien.<br />
Le micronoyau seL4, objet de cette validation, est l’une des nombreuses adaptations du micronoyau L4<br />
conçu à la fin des années 90 par un chercheur allemand. Cette nouvelle version a été conçue par le<br />
groupe d’étude ERTOS dans l’optique de répondre aux exigences de sécurité les plus élevées des critères<br />
communs, dont celle de la validation formelle de la conception requise au niveau EAL7. Une validation,<br />
engagée il y a un peu moins de cinq ans dans le cadre du projet ‘L4.Verified’, qui vient de prouver sans<br />
aucune ambiguïté que l’implémentation est conforme à la spécification donnant ainsi l’assurance que le<br />
code est exempt de tout bogue d’implémentation: variables non initialisées, blocages, débordements de<br />
buffers, erreurs mathématiques, et autres problèmes classiques de programmation.<br />
Le noyau seL4 peut être considéré comme étant le premier noyau d’usage général ayant jamais été<br />
validé, un travail de titan puisqu’il aura demandé la mobilisation de 6 personnes durant 5 ans pour vérifier<br />
un code de 7500 lignes !<br />
Verifying the kernel—known as the seL4 microkernel—involved mathematically proving the correctness of about<br />
7,500 lines of computer code in an project taking an average of six people more than five years.<br />
On imagine sans peine qu’avec une telle efficacité, la validation d’un noyau plus complexe, tel celui de<br />
Linux - quelques 12 millions de lignes de code annoncées pour la version 2.6.31 – sera complétée bien<br />
après que Linux ait disparu de la circulation. Le résultat est cependant de toute première importance si<br />
l’on considère qu’il permet de disposer désormais d’une brique fondamentale (le micronoyau) pour le<br />
fonctionnement de nombreux équipements dont la fiabilité est garantie.<br />
Développée par le Kernel Open Labs, la version OKL4 est ainsi à même d’offrir une plate-forme de<br />
virtualisation parfaitement adaptée au besoin des équipements mobiles et des systèmes d’exploitation<br />
associés dont Symbian et Android. Cette version n’a pas été validée mais gageons qu’elle sera très<br />
rapidement adaptée, le directeur technique de cette société partiellement financée par le NICTA n’étant<br />
autre que le professeur Gernot Heiser responsable du groupe d’étude ERTOS et enseignant à<br />
l’université de New South Wales, UNSW.<br />
POUR PLUS D’INFORMATION<br />
http://ertos.nicta.com.au/<br />
http://ertos.nicta.com.au/research/l4.verified/<br />
http://ertos.nicta.com.au/publications/papers/Klein_EHACDEEKNSTW_09.pdf<br />
CNRS – RETOUR D’EXPERIENCE SUR ZONECENTRAL<br />
Le numéro 5 de la revue de la Sécurité de l’Information éditée par le CNRS est entièrement<br />
consacré au retour d’expérience de la mise en place de l’outil de protection ‘Zone Central’ de la<br />
société Lyonnaise Prim’X Technologies sur les postes administratifs de la délégation régionale<br />
Midi-Pyrénées du CNRS. Ce produit est inscrit dans sa version 3.1 (V4 en distribution) depuis<br />
fin 2008 au catalogue des produits qualifiés de l’ANSSI dans la catégorie ‘Produits de protection<br />
du poste de travail’ au niveau EAL2+ (testé structurellement) en qualification ‘standard’.<br />
Il s’agit d’un logiciel de chiffrement multi-niveau permettant d’assurer la protection des données sur un<br />
poste de travail Windows mais aussi l’effacement des fichiers détruits et des zones de travail du système<br />
d’exploitation. L’expérimentation lancée il y a trois ans par le CNRS s’est déroulée en plusieurs étapes.<br />
Une évaluation préalable a tout d’abord été conduite sur quelques postes dans l’optique de valider le<br />
fonctionnement dans l’environnement cible et acquérir l’expérience nécessaire pour supporter les futurs<br />
usagers. La capacité de sauvegarde, et de restitution, de fichiers chiffrés sur des serveurs puis sur des<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 4/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
supports amovibles, DLT et DAT, a notamment été testée. Des réunions d’information ont été conduites<br />
pour informer les usagers impactés, l’objectif étant de traiter prioritairement les postes nomades, et les<br />
postes d’un service sensible, celui des partenariats et de la valorisation. Des moyens techniques d’appuis<br />
ont été mis en place pour assister les utilisateurs.<br />
L’auteur de l’article, coordinateur SSI de la délégation Midi-Pyrénées précise que le résultat de cette<br />
expérimentation est très positif, le produit étant stable, aucune incompatibilité n’ayant été constatée avec<br />
d’autres applications. La mise en œuvre a été notablement facilitée par la présence d’une infrastructure<br />
de gestion de clé rodée tant sur le plan de l’organisation et de l’exploitation que sur celui de la<br />
sensibilisation des usagers à l’usage des <strong>cert</strong>ificats X509. Le paramétrage s’est appuyé sur la distribution<br />
d’une stratégie de domaine pour les postes intégrés à un Active Directory.<br />
L’auteur fait remarquer à ce propos que le déploiement peut parfaitement être entièrement automatisé et<br />
rendu transparent pour l’utilisateur mais qu’il est cependant souhaitable de privilégier une mise en œuvre<br />
individuelle, ou quasi-individuelle, pour conserver un contact direct qui sera utilement mis à profit pour<br />
sensibiliser l’usager.<br />
POUR PLUS D’INFORMATION<br />
http://www.sg.cnrs.fr/FSD/securite-systemes/revues-pdf/si5.pdf<br />
https://extranet.dr14.cnrs.fr<br />
http://www.ssi.gouv.fr/site_rubrique52_p_20_Zone_Central_v3.1.html<br />
CAIDA - INTERNET-SCALE IP ALIAS RESOLUTION TECHNIQUES<br />
L’association CAIDA, ‘Cooperative Association for Internet Data Analysis’, vient de<br />
publier les résultats d’une très intéressante d’étude comparative des méthodes de<br />
résolutions des alias d’adresses IP.<br />
Principal sujet d’étude de cette association, la cartographie fine de l’Internet requiert de disposer d’outils<br />
permettant de découvrir non seulement les équipements actifs mais aussi les routes établies entre ceuxci,<br />
et plus largement entre deux quelconques systèmes connectés sur ce réseau. Les informations<br />
échangées entres domaines autonomes de routage, ou AS, permettent d’établir une cartographie des<br />
grands axes de circulation sans toutefois permettre d’aller plus en profondeur, chaque domaine étant libre<br />
de définir sa politique de routage interne sans obligation aucune de la publier.<br />
Ces topologies pourront cependant être découvertes en aveugle par l’identification de proche en proche<br />
des équipements en relation. La technique la plus usitée consistera à transmettre plusieurs paquets IP à<br />
l’attention d’un équipement distant situé dans le domaine étudié en augmentant à chaque envoi la valeur<br />
de la durée de vie de ce paquet, dite TTL ou Time To Live. Exprimée en nombre de sauts, le contenu de<br />
ce champ sera décrémenté par chacun des équipements de routage traversé, un message de notification<br />
ICMP étant transmis à l’émetteur par l’équipement qui verra cette valeur passer à 0. Chaque équipement<br />
prenant part à l’acheminement du paquet se révélera ainsi par l’adresse IP de l’interface par laquelle aura<br />
été émis le message de notification.<br />
Un travail de titan si l’on considère que les gros équipements de routage disposent de plusieurs dizaines<br />
d’interfaces, et que pour des raisons de sécurité <strong>cert</strong>ains équipements n’informeront pas l’émetteur de la<br />
fin de vie du paquet en cours de transport, ou refuseront tout simplement de retransmettre la requête si<br />
celle-ci apparaît utiliser le format de paquet, ou le port prévu à cet effet. Des zones d’ombre apparaissent<br />
qu’il s’agira alors de combler par d’autres méthodes de découverte. Il restera ensuite à analyser les<br />
données brutes ainsi collectées pour déterminer la topologie réelle du réseau en identifiant notamment les<br />
adresses gérées par un même équipement, une opération dénommée ‘IP alias resolution’ ou résolution<br />
des alias d’adresses IP.<br />
L’auteur du rapport, Ken Keys membre de CAIDA à l’Université Californienne de San Diego, s’est penché<br />
sur le problème en étudiant les caractéristiques comparées des méthodes de résolution les plus<br />
performantes à ce jour pour conclure à la nécessité d’utiliser une combinaison de quatre d’entres-elles.<br />
Cette conclusion s’appuie sur les résultats d’une campagne de test grandeur réelle menée via<br />
l’architecture d’analyse Archipelago (rapport N°116 – Mars 2008). Cette campagne a permis de collecter<br />
190 millions de trace ICMP en 28 jours depuis les 26 points de surveillance de ce système, et de tester les<br />
performances de l’outil ‘kapar’ (une adaptation de l’approche d’analyse des graphes ‘APAR’) et de l’outil<br />
iffinder (une approche analytique basé sur l’analyse de l’adresse source de l’équipement).<br />
Le sommaire de ce rapport d’étude de 6 pages est le suivant:<br />
1. INTRODUCTION<br />
2. TECHNIQUES<br />
2.1 Common source address<br />
2.2 Common IP ID counter: Ally<br />
2.3 Common IP ID counter: RadarGun<br />
2.4 DNS analysis<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 5/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
2.5 Simple graph analysis<br />
2.6 Graph analysis: APAR<br />
2.7 Graph analysis: kapar<br />
2.8 Graph analysis: DisCarte<br />
3. EVALUATION<br />
3.1 iffinder<br />
3.2 kapar<br />
3.3 iffinder and kapar<br />
4. CONCLUSIONS<br />
5. REFERENCES<br />
POUR PLUS D’INFORMATION<br />
http://www.caida.org/publications/papers/2009/alias_resolution/alias_resolution.pdf<br />
http://www.caida.org/tools/measurement/iffinder/<br />
CRYPTOGRAPHIE - UN WIKI SUR LES PROBLEMES COMPLEXES<br />
Ayant vue le jour dans les années 70, et rendue publique dans les années 80, la<br />
cryptographie dite ‘à clef publique’ tire partie de l’existence de fonctions<br />
mathématiques très particulières autrefois appelées ‘fonctions à trappe’.<br />
La divulgation d’une clef permettant de déchiffrer un message sans que toutefois soit implicitement dévoilée<br />
la clef ayant permis de produire ce message chiffré suppose de disposer d’une transformation<br />
mathématique permettant de différencier ces deux clefs tout en interdisant de déterminer l’une d’entre elles<br />
par la seule connaissance de l’autre.<br />
L’exemple le plus célèbre est celui du système RSA pour lequel les deux clefs sont liées par une fonction<br />
simple, un produit modulaire, et inversible sous réserve de connaitre le facteur intervenant au modulo. La<br />
connaissance de ce facteur suppose de pouvoir résoudre un problème a priori simple, la décomposition d’un<br />
nombre entier en ses facteurs premiers. Il s’agit en fait d’un problème dont la complexité croit d’autant plus<br />
rapidement que les nombres en jeu sont grands: si le produit de deux grands nombres premiers peut être<br />
effectué en temps contraint par un calculateur, il n’en va pas de même lorsqu’il s’agit de décomposer ce<br />
produit sans la connaissance de l’un des facteurs. C’est ici que se trouve la trappe, ou la brèche, permettant<br />
la création d’un système unique en ce sens qu’il différencie les clefs de chiffrement et de déchiffrement en<br />
autorisant la publication de l’une d’entres elles sans remettre en cause la sécurité du système.<br />
Cette technique est généralisable à d’autres problèmes complexes permettant l’avènement de systèmes<br />
cryptographiques alternatifs dont notamment le système Diffie-Hellman, qui basé sur le problème dit du<br />
‘logarithme discret’, a précédé le système RSA basé, lui, sur le problème dit de ‘la factorisation’. Bien<br />
des systèmes cryptographiques ont été conçus qui sont dérivés d’autres classes de problèmes complexes.<br />
Le centre Européen d’excellence en cryptographie, eCrypt, vient de mettre en ligne sous la forme d’un Wiki,<br />
un unique et fabuleux référentiel inventoriant les problèmes complexes utilisés en cryptographie – cinq<br />
familles et une catégorie neutre – et les systèmes les utilisant, soit une centaine (108 exactement) de<br />
schémas.<br />
POUR PLUS D’INFORMATION<br />
http://www.ecrypt.eu.org/wiki/index.php/Main_Page<br />
MAGAZINES<br />
ENISA - QUARTERLY REVIEW<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 6/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
Avec ce numéro s’achève le mandat du premier directeur de l’ENISA, Andrea Pirotti, qui<br />
laisse sa place mi-octobre à Udo Helmbrecht du BSI Allemand. Ce dernier aura la lourde<br />
charge de transformer une agence de plus en plus remise en cause tant sur le plan de sa<br />
localisation géographique que sur celui de sa capacité à s’imposer en tant que fédérateur.<br />
Une évolution tellement attendue que <strong>cert</strong>ains n’ont pas hésité à titrer sur l’arrivée d’un allemand à la<br />
rescousse d’une agence ‘placebo’. Un trait d’humour qui laisserait oublier la difficile situation de cette<br />
officine créé sur le tard, chargée de stimuler les coopérations et d’aider à harmoniser les politiques<br />
Européennes en matière de sécurité. Un défi conséquent dans un domaine éminemment politique pour<br />
une organisation n’ayant qu’un rôle de conseil et d’accompagnement.<br />
Dans son dernier éditorial, Andrea Pirotti dresse un rapide tableau des réalisations de l’ENISA. Il<br />
annonce que les capacités d’accueil de l’agence seront renforcées par la construction d’un nouveau<br />
bâtiment toujours situé en Crête, une infrastructure doublée d’une agence proche de l’aéroport d’Athènes<br />
afin de faciliter les réunions avec les différents acteurs... Une décision qui apparaitrait surréaliste dans<br />
toute autre organisation privée en ces temps d’économie et d’écologie.<br />
La ligne éditoriale thématique testée avec le numéro précédent (Rapport N°132 – Juillet 2009) est<br />
conservée, celle-ci ayant rencontré un fort succès. Dans ce nouveau numéro de la revue de l’ENISA, 6<br />
thèmes sont donc abordés.<br />
LA RESILIENCE ET LE PARTAGE DE L’INFORMATION<br />
Le premier article de ce thème intitulé ‘A Resilient and Secure Internet Infrastructure: a<br />
challenge for the futur’ propose un rapide tour d’horizon des problèmes liés aux limitations de<br />
l’Internet que l’auteur, responsable qualité et sécurité chez ‘.SE’, considère être un système<br />
merveilleusement bien conçu pour être rapide et extensible. Sécuriser et fiabiliser ce réseau ne peut se<br />
concevoir sans prendre en compte le protocole IPV6 et le DNS sécurisé, un choix d’évolution<br />
stratégique soutenu par l’ENISA et adopté par ‘.SE’, l’organisme en charge de la gestion des noms de<br />
domaine Suédois. L’auteur rappelle que cet organisme soutient, avec Nominet (UK), NLNet Labs<br />
(NL), SIDN (NL), SurfNET T (NL) et Kirei (SE), le projet OpenDNSSEC visant à développer un DNS<br />
sécurisé libre.<br />
Le second article, ‘Evaluating the reliability of the Internet infrastructure’, est proposé par deux<br />
membres de l’autorité de régulation Lituanienne. En 2008, cette autorité a conduit une évaluation de<br />
la fiabilité de l’infrastructure d’accès à l’Internet avec pour objectif d’identifier les risques potentiels, et<br />
les points de faiblesse. Rappelons que les infrastructures de communication de la Lituanie, tout comme<br />
celles de l’Estonie et plus récemment de la Géorgie, ont été l’objet d’attaques en déni de service ces<br />
dernières années. Les auteurs de l’article présentent les principaux résultats de cette évaluation dont<br />
l’absence de règles claires régissant les conditions d’interconnexion ou ‘peering’ des fournisseurs<br />
d’accès locaux entre eux, et à l’international. Bien que susceptible de poser des problèmes en cas<br />
d’incident, cette lacune aura non seulement facilité l’établissement de multiples points d’interconnexion<br />
à travers le pays (5 nœuds d’échange) mais aussi permis de limiter le recours au transit international<br />
renforçant indirectement la résilience de leur infrastructure. Le transit international pose par contre un<br />
problème celui-ci étant assuré par le biais d’un unique point d’échange opéré par un seul fournisseur<br />
de service. Un exercice d’alerte au niveau national devrait être organisé en 2010<br />
Le thème de la résilience et du partage de l’information se termine par la présentation de trois projets<br />
Européen d’échange d’information dans l’article ‘Three European 'Trusted Information Sharing'<br />
Projects’:<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 7/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
- le projet ‘NSIE’ (Network Information Security Exchange) conduit par l’ENISA et qui a donné lieu à la<br />
publication d’un guide récapitulatif des pratiques mises en œuvre par les différents états membres,<br />
- le projet ‘NEISAS’ (National and European Information Sharing & Alerting System) engagé par la<br />
Commission Européenne avec l’objectif d’étendre à l’Europe le principe du point de d’information et<br />
d’alerte, ou WARP, mis en œuvre au Royaume-Unis (Rapport N°64 – Novembre 2003).<br />
https://www.ms3i.eu/ms3i/presentations/introduction%20to%20NEISAS.pdf<br />
- le projet ‘MS3i’ (Messaging Standard for Sharing Security Information) lancé en 2004, financé par la<br />
Commission Européenne et qui a abouti en juin 2009 à la publication d’un rapport sur les besoins<br />
devant être pris en compte pour l’établissement d’une norme sur les échanges de confiance, telle la<br />
future norme ISO 27010 ‘Information security management for inter-sector communications’.<br />
https://www.ms3i.eu/ms3i/reports/MS3i_main_Report_v3.0.pdf<br />
LA PROTECTION DES INFRASTRUCTURES CRITIQUES<br />
Avec l’article intitulé ‘Public-Private<br />
Partnership for CIIP’, Hannu Sivonen<br />
de la ‘National Emergency Supply<br />
Agency’ Finlandaise nous fait découvrir<br />
l’organisation de la gestion de crise<br />
dans ‘le pays aux dix milles lacs’. Une<br />
organisation qui traite de toutes les<br />
facettes de l’approvisionnement à la<br />
fourniture des services dits ‘vitaux’<br />
pour la survie d’une société, de la santé<br />
à l’énergie sans oublier l’information et<br />
donc les communications et les<br />
systèmes d’information.<br />
L’auteur fait remarquer à ce propos que<br />
si la loi prévoit le financement par l’Etat<br />
des mesures préparatoires pour les<br />
opérateurs de télécommunication, rien<br />
n’est prévu pour les opérateurs de<br />
service.<br />
La NESA finance toutefois <strong>cert</strong>aines mesures conservatoires dans ce domaine. Le CERT-FI participe à<br />
cette organisation en délivrant toutes les informations requises pour anticiper ou gérer la crise dans le<br />
domaine des systèmes d’information. L’auteur annonce que la NESA devrait ouvrir d’ici 2010 un portail<br />
dit ‘PPP’, dédié à l’échange d’information entres acteurs des différents secteurs d’activité. Un outil<br />
permettant d’évaluer le niveau de maturité de l’organisation – 5 niveaux - sera mis en ligne.<br />
Le second article intitulé ‘Interdependency between Energy and Telecommunications’ est signé<br />
par David Sutton, en charge de la gestion de la continuité de service chez Telefonica O2 UK limited.<br />
Il détaille les différentes options permettant d’assurer l’approvisionnement énergétique nécessaire au<br />
bon fonctionnement des services critiques de l’infrastructure qu’il s’agisse du cœur de réseau ou de<br />
l’accès. Si la mise en place de sources d’énergie alternatives permet de palier localement à l’absence<br />
d’approvisionnement, il ne faudra pas oublier que les fournisseurs d’énergie sont eux aussi dépendant<br />
des réseaux de communication qu’ils alimentent. Un bel exemple de ce que l’on appelle une étreinte<br />
fatale, ou ‘fatal embrass’ dans le jargon.<br />
L’auteur rappelle par ailleurs que la disparition des téléphones fixes autoalimentés sur la tension<br />
batterie du central téléphonique au profit de téléphones alimentés par le secteur ne permet plus<br />
d’assurer le niveau de service auquel les usages étaient habitués. Ces derniers découvrent bien<br />
souvent à l’occasion d’une panne secteur, quand ce n’est pas suite à un problème d’accès à l’Internet,<br />
qu’ils sont dans l’incapacité d’appeler le moindre service d’urgence.<br />
Many domestic and commercial customers take the basic fixed line telephone service for granted and, as long as<br />
power can be supplied to the core network and the local serving exchange, service will continue to be delivered to the<br />
customer premises. But the telephone handset will only continue to function if it takes power from the telephone line<br />
rather than from the local electricity supply. More needs to be done in educating customers in the constraints of<br />
energy supply with respect to ICT in domestic and commercial premises.<br />
Il en va de même avec la téléphonie mobile pour laquelle nombre de composants indispensables sont<br />
soumis aux aléas d’une panne d’énergie. Il est loin le temps où l’intégralité du réseau téléphonique<br />
commuté – RTC – pouvait fonctionner en mode dégradé en s’appuyant sur les salles d’énergie<br />
présentes dans tous les centraux.<br />
LES RISQUES EMERGENTS ET FUTUR<br />
Signé par deux membres de l’ENISA et un consultant externe, l’article ‘Identification of Emerging<br />
and Future Risks in a 2011 eHealth Scenario’ aborde la thématique des risques émergents et<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 8/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
T<br />
OCTOBRE 2009<br />
futurs – EFR – par l’analyse des problèmes liés à l’utilisation des nouvelles technologies dans le secteur<br />
de la santé. Les auteurs ont travaillé sur un scénario représentatif des nouvelles approches médicales à<br />
l’étude, dont le diagnostic et la surveillance à distance, pour mettre en évidence des problématiques<br />
qui n’ont pas encore été réellement identifiées, ou qui n’ont pas leur raison d’être avec les schémas<br />
actuels. Au-delà des risques usuels liés à la sensibilité de données personnelles diffusées à des<br />
praticiens dont le patient ne sait plus rien, à la perte de contrôle qui peut s’en suivre et au risque<br />
d’utilisation à des fins non directement liées au traitement, les auteurs posent la question du risque<br />
posé par la mise à disposition au patient même de donnée qu’il ne sera peut être pas toujours à même<br />
d’interpréter correctement. Mais n’est-ce pas déjà le cas avec les dossiers ‘classiques’ qui nous sont<br />
remis à la fin d’un examen de routine qu’il s’agisse d’une simple prise de sang, d’une radiographie ou<br />
encore d’une échographie. Les auteurs n’abordent nullement le problème fondamental de tout<br />
protocole de diagnostic et de traitement, celui de l’intégrité des données transmises par les sondes et<br />
des consignes fournies en retour, ce problème n’étant semble-t-il pas dans le périmètre de l’étude.<br />
We have to consider issues relating to security, privacy, data protection and legality, as well as social,<br />
political and ethical ones. The risks listed here were deemed by the assessment team (ENISA, its<br />
Stakeholder Forum and other consulted experts) to have the greatest impact with a considerable<br />
probability of occurring. It should also be noted that the risks are highly interrelated.<br />
Ce volet se termine par le très court article ‘Drivers of Emerging and Future Threats in ICT<br />
Infrastructures’ qui présente le projet Européen FORWARD et les quatre facteurs identifiés comme<br />
étant déterminants dans l’évolution des prochaines menaces:<br />
- les nouvelles technologies,<br />
- les nouvelles applications,<br />
- les nouveaux modèles économiques,<br />
- les nouvelles dynamiques sociales et le facteur humain.<br />
LES COMPETENCES ET LES CERTIFICATIONS<br />
Après une piqûre de rappel sur le nécessaire investissement en matière de formation à la sécurité, et la<br />
tout aussi nécessaire mise en place d’équipes de réponse aux incidents, ou CERT, par tous les Etats<br />
Membres, article ‘Cyber-Security Skills - The Cost of Ignorance’, l’article ‘Penetration Testing -<br />
What's That?’ nous initie rapidement aux arcanes d’un jeu fort à la mode mais bien peu structuré, le<br />
test d’intrusion. L’usage désormais commun utilise ce terme pour désigner une multitude d’activités<br />
allant de la mesure du niveau de sécurité d’une architecture à l’audit de conformité d’une application<br />
en passant par la manipulation sociale. Une confusion de plus en plus courante dans notre société<br />
entre objectif et moyen, cause et symptôme qui, par l’usage d’un terme devenu passe-partout,<br />
favorisera les incompréhensions entre clients et prestataires de service. Il fût un temps où ce terme<br />
désignait de manière explicite, et non ambiguë, une mission visant à atteindre, en passant à travers les<br />
protections mises en place, un objectif désigné dans des conditions – délais, impact sur la cible et<br />
budget assigné - définies à partir d’une analyse de risque, les détails – ressources humaines et moyens<br />
techniques - étant laissés à l’appréciation du spécialiste. Ainsi un même objectif pouvait être atteint<br />
par l’utilisation et l’éventuelle combinaison de multiples approches, l’idée étant de se rapprocher au<br />
mieux de la méthode qu’emploierait un adversaire idéalisé: manipulation sociale, attaque techniques…<br />
Encore faut-il pouvoir exprimer les objectifs du test ce qui suppose d’avoir au préalable une bonne<br />
connaissance de la valeur des éléments protégés – les données - par le système de sécurité. Cet article<br />
permet aux auteurs de démontrer l’importance d’encadrer, non pas la pratique de cet exercice, mais la<br />
validation des compétences de ceux qui le pratiquent, à savoir, théoriquement, leur capacité à se<br />
mettre dans la peau de l’agresseur le plus au fait des méthodes d’intrusion. Au Royaume Unis, trois<br />
programmes permettent de qualifier cette compétence, et son maintien à niveau: le programme<br />
CHECK de la NTAIA (National Technical Authority for Information), le programme du CREST (Council<br />
for Registered Ethical Security) et le programme TIGER opéré par la société Qbit Limited.<br />
Le dernier article, ‘A New Qualification to Guarantee Secure Software Engineering Skills’,<br />
présente les objectifs de l’ISSECO (International Secure Software Council), une organisation sans but<br />
lucratif fondée il y a tout juste un an en Allemagne pour valoriser un système de <strong>cert</strong>ification des<br />
compétences en développement de logiciels sûrs.<br />
LA SENSIBILISATION ET LES PROBLEMES DE L’USAGER FINAL<br />
Avec son article ‘End-user Security: Misused and Misunderstood?’, Steven Furnell, enseignant<br />
de l’université de Plymouth, s’intéresse au maillon le plus faible de tout système de sécurité,<br />
l’utilisateur du système. Les deux enquêtes menées par l’université de Plymouth en 2007, puis<br />
récemment, ainsi que l’enquête conduite par Symantec en 2008, confirment la nécessité d’aller au-delà<br />
de la simple sensibilisation de l’usager aux problématiques de sécurité, et ceci quand bien même les<br />
applications et outils actuels offrent toutes les qualités nécessaires pour une acceptation et une prise<br />
en main rapide. Un constat intéressant qui pourrait expliquer l’échec relatif de <strong>cert</strong>aines campagnes de<br />
sensibilisation lesquelles insistent sur les moyens et mécanismes de protection en oubliant peut être de<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 9/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
commencer par le début, la nature des menaces et le bon usage des outils.<br />
L’article ‘Human Factors in the Dependability of IP Networks’ détaille les objectifs d’un projet de<br />
recherche menée par le gouvernement Finlandais dans l’optique d’étudier l’influence du facteur humain<br />
sur la fiabilité des réseaux IP. Une première étude engagée en 2006 a permis de définir les méthodes<br />
d’évaluation de la fiabilité. Cette étude s’est poursuivie par une seconde étude, IPLU-II, destinée à<br />
affiner l’analyse de <strong>cert</strong>ains points dont la possibilité de définir une méthode d’évaluation utilisant de<br />
critères de mesure hétérogènes. Une enquête a par ailleurs été menée auprès de 20 personnes<br />
intervenant dans l’exploitation des réseaux de télécommunication Finlandais pour mieux appréhender<br />
l’importance du facteur humain dans le maintien en condition opérationnelle d’un réseau complexe. Les<br />
résultats de cette étude devraient être publiés sur la page d’accueil de projet dans le courant du mois<br />
d’octobre.<br />
TECHNOLOGIES<br />
Deux articles nous sont proposés au titre de ce thème somme toute assez vaste.<br />
Le premier article, ‘A Secure Approach for Embedded Systems in Japan’, est rédigé par trois<br />
membres de l’IT Security Center – ISEC – de l’agence japonaise pour la promotion des technologies de<br />
l’information ou IPA. Il aborde un sujet d’importance, celui des méthodologies applicables à la<br />
sécurisation des systèmes enfouis – traduction du terme anglo-saxon ‘embedded’ – qu’il s’agisse des<br />
calculateurs embarqués dans nos véhicules ou des équipements ménagers. Les auteurs ont établi une<br />
base méthodologique constituée de principes simples applicables aux quinze étapes clefs dans le cycle<br />
de vie de ces systèmes:<br />
A. Management<br />
1. Security Rule<br />
2. Security Education<br />
3. Security Information Gathering<br />
B. Planning<br />
4. Budget<br />
C. Development<br />
5. Design<br />
6. Adoption of the Development Platform<br />
7. Software Implementation<br />
8. Approach for Outsourcing Development<br />
9. Security Evaluation Test and Debug<br />
10. User’s Guide<br />
11. Factory Production Control<br />
D. Operation<br />
12. Handling of Security Problems<br />
13. Method of Advising Users and Countermeasures<br />
14. Practical Use of Vulnerability Information<br />
E. Disposal<br />
15. Announce the Method of Equipment Disposal<br />
On pourra s’étonner du principe associé à l’étape 7 (choix et de la mise en place de l’environnement de<br />
développement) qui suggère d’utiliser des logiciels protégés contre les intrusions pour limiter la<br />
divulgation des vulnérabilités sauf à considérer que l’ensemble des autres principes aura conduit à<br />
limiter ces vulnérabilités au maximum. Et force est de constater que bien des vulnérabilités résiduelles<br />
sont mises au jour, et rendues exploitables, par l’absence de mécanismes de protection contre la rétroanalyse<br />
du code, et la présence de moyens d’accès non câblés mais actifs tels liaisons séries et<br />
interfaces de débogage JTAG. Ce n’est pas faire l’apologie de la sécurité par l’obscurité que de<br />
suggérer utiliser des logiciels protégés et de mettre en place des mécanismes de protection<br />
périphériques.<br />
Le second article, intitulé ‘tNAC - trusted Network Access Control’, nous présente le projet tNAC,<br />
engagé en 2008, qui vise à mettre à disposition une solution de contrôle d’accès réseau fiable<br />
s’appuyant sur les spécifications dites TNC (Federated Trusted Network Connect) établies par le<br />
célèbre Trusting Computing Group. Ce projet, conduit par un consortium d’universités et de sociétés<br />
allemandes s’appuiera sur les développements déjà engagés par l’université d’Hanovre (projet<br />
TNC@FHH) et sur la plateforme sécurisée Turaya réalisée dans le cadre d’un projet européen passé,<br />
le projet EMSCB (European Multilaterally Secure Computing Base). Un projet dont il conviendra de<br />
suivre l’avancement au regard des besoins croissants en matière de contrôle d’accès réseau, et du taux<br />
de présence du module TPM dans les parcs informatiques actuels.<br />
POUR PLUS D’INFORMATION<br />
http://www.enisa.europa.eu/publications/eqr/issues/eqr-q3-2009-vol.-5-no.-3/at_download/issue<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 10/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
METHODOLOGIES ET STANDARDS<br />
RECOMMANDATIONS<br />
ANSSI – CERTIFICATION CSPN DU LOGICIEL VCS-TOOAL<br />
L’ANSSI vient d’annoncer la <strong>cert</strong>ification CSPN de la version 1.1 du logiciel VCS-TOOAL édité par<br />
la société Mediscs. Il s’agit d’une application portable embarquée sur un mini CD permettant<br />
d’automatiser l’accès à un site Internet sécurisé. Toutes les opérations requises (installation du<br />
<strong>cert</strong>ificat, lancement de la navigation, authentification et effacement du <strong>cert</strong>ificat) sont rendues<br />
transparentes à l’usager.<br />
Rappelons que la procédure dite de ‘Certification de Sécurité de Premier Niveau’, ou CSPN, permet<br />
d’obtenir un label au terme d’une expertise moins formelle que celle des Critères Communs, ou CC, et<br />
dont la charge est limitée à 25 homme.jour. La présentation de la CSPN précise ainsi que les travaux<br />
d’évaluation ont pour objectifs:<br />
- de vérifier que le produit est conforme à ses spécifications de sécurité,<br />
- de coter les mécanismes de façon théorique, de recenser les vulnérabilités connues de produits de sa catégorie,<br />
- de soumettre le produit à des tests visant à contourner ses fonctions de sécurité.<br />
Cinq produits sont désormais <strong>cert</strong>ifiés CSPN:<br />
Produit Cat Date Commanditaire CESTI Vers. actuelle<br />
VSC-TOOAL v1.1 6 15/10/09 Mediscs AQL<br />
Netfilter Linux v2.6.27 - IPtables v1.4.2 3 31/08/09 SGDN OPPIDA v1.4.5<br />
TrueCrypt V6.0a 9 01/12/08 SGDN SOGETI v6.2a<br />
Blancco Data Cleaner+ V4.8 4 12/11/08 Blancco France AMOSSYS v4.9<br />
TRANGO Hypervisor V1.5.61 / OMAP 2430 11 11/09/08 Trango Virtual Proc. AQL Acquis VMwAre<br />
Catégories : 1- détection d’intrusions 2- anti-virus, protection malware 3- firewall<br />
4- effacement de données 5- administration, supervision 6- identification, authent., contrôle accès<br />
7- communication sécurisée 8- messagerie sécurisée 9- stockage sécurisé<br />
10- matériel et logiciel embarqué 11- Autre<br />
POUR PLUS D’INFORMATION<br />
http://www.ssi.gouv.fr/site_article136.html<br />
- Annonce de la <strong>cert</strong>ification<br />
http://www.ssi.gouv.fr/site_rubrique54.html<br />
- Catalogue CSPN<br />
ECRYPT – ESTREAM PORTFOLIO: MISE A JOUR ANNUELLE<br />
Le réseau d’excellence Européen ‘eCrypt II’ vient de publier la mise à jour annuelle de son<br />
portefeuille d’algorithmes de chiffrement.<br />
En avril 2008, le projet eSTREAM coordonné par le réseau d’excellence établissait une liste d’algorithmes<br />
de chiffrement symétrique prometteurs, et par conséquent susceptibles d’être un jour standardisés dans<br />
une implémentation purement logicielle (profil N°1) ou matérielle (profil N°2).<br />
Profil N°1 - Logiciel<br />
Profil N°2 - Matériel<br />
HC-128<br />
Grain v1<br />
Rabbit<br />
Mickey v2<br />
Salsa20/12 Trivium<br />
Sosemanuk F-FCSR-H<br />
Cette liste est régulièrement révisée pour tenir compte des avancées dans le domaine de la cryptanalyse.<br />
Ainsi, en septembre 2008, l’un des algorithmes du second profil était retiré de la liste après l’annonce<br />
d’une cryptanalyse réussi contre celui-ci.<br />
Aucun résultat n’a été publié depuis qui puisse remettre en cause la liste établie malgré de nouvelles<br />
analyses tierce de la majorité des candidats des deux profils. L’algorithme ‘Rabbit’, le seul algorithme<br />
ayant été breveté, a été passé dans le domaine public et peut désormais être librement utilisé. La<br />
dernière version de l’implémentation CyaSSL, une pile SSL embarquable, intègre ainsi cet algorithme<br />
ainsi que l’algorithme ‘HC-128’.<br />
Le sommaire de cette note de 10 pages est le suivant:<br />
1 The eSTREAM Portfolio 2009 Annual Update<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 11/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
1.1 Introduction<br />
1.2 Cryptanalytic Results<br />
1.3 Implementation Results<br />
1.4 Other Developments<br />
POUR PLUS D’INFORMATION<br />
http://www.ecrypt.eu.org/documents/D.SYM.3-v1.1.pdf<br />
http://en.wikipedia.org/wiki/ESTREAM<br />
http://www.yassl.com/<br />
- Mise à jour<br />
- Tout sur eStream<br />
- Les piles yaSSL et CyaSSL<br />
NIST - SP800-127 'GUIDE TO SECURITY FOR WIMAX TECHNOLOGIES'<br />
Le guide SP800-127 ‘Guide to Security for WiMAX technologies’ a été publié le mois<br />
dernier pour relecture et commentaires.<br />
Le WiMAX (IEEE802-16) est de ces technologies qui évoluent constamment sans jamais avoir réellement<br />
fait l’objet d’un déploiement à grande échelle dans l’une ou l’autre des versions normalisées<br />
contrairement à la technologie WiFI (IEEE802-11) implémentée dans toutes ses déclinaisons. Et de fait,<br />
en moins de 10 ans, cette technologie aura subi une mutation l’amenant à finalement concurrencer les<br />
systèmes de communication dits ‘cellulaires’ quand elle n’était à l’origine qu’une version moderne des<br />
faisceaux hertziens. Nous passerons sous silence les problèmes corolaires dont ceux liés à l’étendue de la<br />
gamme des fréquences utilisables, de 2 à 66Ghz.<br />
Le guide de sécurisation pour les<br />
technologies WiMAX, qui bien d’être publié<br />
par le NIST pour relecture sous la référence<br />
SP800-127, rappelle dès l’introduction la<br />
relative complexité de ce standard conçu à<br />
l’origine pour fournir une connectivité<br />
numérique de type point à point (1999) puis<br />
point à multipoints (2001) à des stations<br />
fixes pour finalement s’orienter vers une<br />
logique de fourniture d’accès haut débit à<br />
des équipements mobiles (2005). Nous<br />
recommandons ainsi, si ce n’est la lecture<br />
de l’intégralité du document, a minima celle<br />
du paragraphe §2.3 ‘Evolution of the IEEE<br />
802.16 standard’ particulièrement instructif.<br />
Ce guide de sécurisation ne traite que des<br />
menaces directement liées au support de<br />
transmission utilisé, lequel est par sa nature<br />
particulièrement sensible à toutes sortes d’attaques, du déni de service à l’interception du signal, voire<br />
des données. Il passe ainsi en revue les mécanismes de protection prévus par le normalisateur en<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 12/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
insistant toutefois sur l’existence de vulnérabilités résiduelles inhérentes à la technologie dont, en<br />
particulier, la sensibilité au brouillage et aux interférences. Ceci est particulièrement vrai quand la station<br />
de base est dans la ligne de vue directe – LOS ou Line Of Sight – d’un agresseur potentiel. Rappelons que<br />
les puissances d’émission ici exploitables au regard des obligations légales restent relativement faibles, 5<br />
watts en puissance isotrope rayonnée équivalente (donc au niveau de l’aérien), au regard de la puissance<br />
accessible à un agresseur déterminé à atteindre à la qualité de service offerte.<br />
Le sommaire de ce guide de 46 pages est le suivant:<br />
1. Introduction<br />
2. Overview of WiMAX Technology<br />
2.1 Fundamental WiMAX Concepts<br />
2.2 Operating Topologies<br />
2.2.1 Point-to-Point (P2P)<br />
2.2.2 Point-to-Multipoint (PMP)<br />
2.2.3 Multi-Hop Relay<br />
2.2.4 Mobile<br />
2.3 Evolution of the IEEE 802.16 Standard<br />
3. WiMAX Security Features<br />
3.1 Security Associations<br />
3.2 Authentication and Authorization<br />
3.2.1 IEEE 802.16-2004 Authentication and Authorization<br />
3.2.2 IEEE 802.16e-2005 and 802.16-2009 Authentication and Authorization<br />
3.3 Encryption Key Establishment<br />
3.4 Data Confidentiality<br />
3.5 IEEE 802.16j-2009 Multi-Hop Relay Security Architecture<br />
4. WiMAX Vulnerabilities, Threats, and Countermeasures<br />
4.1 Vulnerabilities<br />
4.2 Threats<br />
4.3 Countermeasures<br />
4.3.1 Management Countermeasures<br />
4.3.2 Operational Countermeasures<br />
4.3.3 Technical Countermeasures<br />
4.4 Vulnerabilities, Threats, and Countermeasures Summary Table<br />
POUR PLUS D’INFORMATION<br />
http://csrc.nist.gov/publications/drafts/800-127/draft-sp800-127.pdf<br />
NIST - IR7628 'SMART GRID CYBER SECURITY STRATEGY AND REQUIREMENTS'<br />
Le NIST vient de publier le document IR-7628 ‘Smart Grid Cyber Security Strategy And<br />
Requirements’ pour relecture et commentaire.<br />
Ce document résulte du travail d’un groupe de réflexion constitué par le NIST pour traiter la<br />
problématique de la sécurisation des systèmes existants, et futurs, de gestion et de distribution de<br />
l’énergie électrique, systèmes ici désignés par le terme de Smart Grid, ou Grille Intelligente. Comme<br />
dans bien d’autres domaines, le secteur de la distribution électrique a très fortement bénéficié de l’apport<br />
de l’informatisation dans toutes ses activités, qu’il s’agisse de l’optimisation de l’acheminement sur les<br />
réseaux de grand transport et d’interconnexion, de la gestion de la répartition vers les centres de<br />
distribution ou encore de la gestion des besoins et de la consommation du client final. Les technologies<br />
numériques sont désormais omniprésentes quand il y a moins de trente ans, la conduite et la surveillance<br />
étaient encore opérées à la main par des équipes spécialisées, éventuellement secondées par quelques<br />
calculateurs eux-mêmes interconnectés par des liaisons spécialisées. Les tableaux bardés d’indicateurs<br />
analogiques des centres de dispatching d’alors ont désormais laissé place à des murs d’écrans sur<br />
lesquels défilent en temps réel toutes les données requises pour assurer la bonne régulation technique,<br />
mais aussi économique, de réseaux électriques interconnectés à l’échelle d’un continent.<br />
Cette mutation ne peut qu’aller en se poursuivant pour intégrer à cette intelligence globale de la gestion<br />
les deux extrémités de la chaîne: les fournisseurs d’énergie et les consommateurs, ces derniers pouvant<br />
d’ailleurs maintenant prétendre appartenir aux deux catégories. Les systèmes de gestion associés<br />
permettront d’optimiser le routage et la distribution de l’énergie électrique en fonction de l’offre, de la<br />
demande mais aussi d’une multitude d’autres critères déterminés en temps réel, comme cela est déjà le<br />
cas dans les réseaux numériques sur lesquels ces systèmes s’appuient.<br />
La prédominance de l’informatique, et des technologies numériques, dans le transport et la distribution<br />
impose d’intégrer les risques spécifiques à ces technologies avec un niveau de priorité d’autant plus<br />
important que l’usage va désormais à l’intégration de technologies communes disponibles sur étagères, et<br />
à l’utilisation de réseaux non spécialisés s’appuyant bien souvent sur l’Internet. La sécurité est ici, encore<br />
plus qu’ailleurs, un tout, et doit à ce titre être directement intégrée dans l’architecture de ces systèmes.<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 13/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
Modèle d’échange d’informations au sein d’une grille intelligente établi par le NIST<br />
Le plan de modernisation du réseau américain établi par département de l’énergie – DoE – impose la<br />
prise en compte des risques liés à la composante informatique dans l’objectif de garantir la mise en place<br />
d’une infrastructure de fourniture d’énergie résiliente. Ces risques, et la stratégie de protection optimale,<br />
ont été étudiés par un groupe ad hoc dit ‘Smart Grid Cyber Security Coordination Task Group’ piloté<br />
par le NIST et constitué de plus de 200 volontaires provenant des secteurs privés et public, de<br />
l’enseignement et de la recherche.<br />
Les premiers résultats des travaux de ce groupe viennent d’être publiés dans le rapport IR-7628 ‘Smart<br />
Grid Cyber Security Strategy and Requirements’: un modèle d’une grille intelligente a été établi qui<br />
met en évidence les acteurs et les flux d’échange d’informations. Quinze catégories ont été définies qui<br />
permettent de classifier les composants d’une grille: système back office, système temps réel à forte<br />
contrainte, système B2B… Les exigences DIC – Disponibilité, Intégrité et Confidentialité – applicables à<br />
ces catégories ont ensuite été spécifiées. Les interfaces logiques entre les différents acteurs sont enfin<br />
inventoriées pour les six domaines fonctionnels considérés comme prioritaires: mesures (AMI), gestion<br />
(DGM), accès (DR), requêtes (I2G), stockage (ES) et transport (ET). Chacune de ces interfaces peut<br />
alors être associée à l’une des quinze catégories.<br />
Identification des interfaces de mesure (AMI) Identification des interfaces de gestion (DGM)<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 14/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
A ce niveau d’avancement des réflexions, les résultats publiés sont <strong>cert</strong>es intéressants mais encore<br />
difficilement exploitables. L’annexe B, ‘Crosswalk Of Cyber Security Documents’, propose un tableau<br />
de synthèse mettant en regard les exigences issues de différents documents normatifs américains dont<br />
les guides NIST SP800-82 'Guide to Industrial Control Systems (ICS) Security' , NIST SP800-53r3<br />
'Recommended Security Controls for Federal Information Systems', les recommancations NERC CIP ou<br />
encore la norme ANSI ISA 99-2.<br />
Le sommaire de ce rapport de 236 pages est le suivant:<br />
1 Cyber Security Risk Management Framework And Strategy<br />
1.1 Overview<br />
1.2 Cyber Security and the Electric Sector<br />
1.3 Scope, Risks, and Definitions<br />
1.4 Smart Grid Cyber Security Strategy<br />
1.5 Time Line and Deliverables<br />
2 Privacy And The Smart Grid<br />
2.1 High-Level Smart Grid Consumer-to-Utility Privacy Impact Assessment (PIA) Report<br />
2.2 Summary of PIA Findings<br />
2.3 Purpose of a High-Level PIA<br />
2.4 NIST Smart Grid Description<br />
2.5 Privacy Principles and Relationship to the Smart Grid<br />
2.6 Compliance<br />
3 Logical Interface Analysis<br />
3.1 Categorization of the Logical Interfaces<br />
3.2 Impact Levels<br />
3.3 Logical Interface Category Definitions<br />
3.4 Advanced Metering Infrastructure Categorization of Interfaces<br />
3.5 Distributed Grid Management Categorization of Interfaces<br />
3.6 Demand Response Categorization of Interfaces<br />
3.7 I2G Demand Response Categorization of Interfaces<br />
3.8 Electric Storage Categorization of Interfaces<br />
3.9 Electric Transportation Categorization of Interfaces<br />
3.10 Wide-Area Situational Awareness Categorization of Interfaces<br />
3.11 All Interfaces by Category<br />
4 AMI Security Requirements<br />
4.1 AMI Recommended Requirements<br />
DHS-2.8 System and Communication Protection<br />
DHS-2.9 Information and Document Management<br />
DHS-2.10 System Development and Maintenance<br />
DHS-2.12 Incident Response<br />
DHS-2.14 System and Information Integrity<br />
DHS-2.15 Access Control<br />
DHS-2.16 Audit and Accountability 11<br />
Appendix A: Key Power System Use Cases For Security Requirements<br />
Appendix B: Crosswalk Of Cyber Security Documents<br />
Appendix C: NIST CSCTG Vulnerability Classes<br />
Appendix D: Bottom Up Security Analysis Of The Smart Grid<br />
Appendix E: Membership Lists<br />
Appendix F: Acronyms<br />
Hasard de l’actualité mais aussi éclatante démonstration de la criticité de ces infrastructures, le système<br />
de gestion du réseau de distribution électrique opéré en Australie par Integral Energy a été atteint par<br />
un virus. Celui-ci a infecté plus de 1000 systèmes Windows y compris <strong>cert</strong>ains des systèmes des salles de<br />
contrôle a priori et fort heureusement sans grandes conséquences sur la distribution.<br />
POUR PLUS D’INFORMATION<br />
http://csrc.nist.gov/publications/drafts/nistir-7628/draft-nistir-7628.pdf<br />
http://www.upi.com/Energy_Resources/2009/10/02/Computer-virus-in-Australian-power-grid/UPI-65111254514968/<br />
ANSSI – CATALOGUE DES PRODUITS QUALIFIES – MISE A JOUR<br />
La création de l’ANSSI, qui se substitue à la DCSSI, a donné lieu à un profond remaniement du<br />
site WEB, lequel nous apparaît être bien plus accessible. Le catalogue des produits qualifiés est<br />
ainsi désormais présenté sur une unique page rendant sa lecture, et l’identification des nouveaux<br />
produits, plus aisées notamment par la mention désormais systématique du numéro de version<br />
des produits. Notre tableau de synthèse pourrait bien à terme devenir inutile !<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 15/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
Ce catalogue a été mis à jour à l’occasion de sa refonte. Les produits ID One ePass de la société<br />
Oberthur Technologies entrent au catalogue dans la catégorie ‘Titres d’identité électroniques’ avec une<br />
<strong>cert</strong>ification EAL4+ et une qualification ‘renforcée’. Les autres produits déjà <strong>cert</strong>ifiés dans cette catégorie<br />
(Gemalto eTravel et SAGEM Morpho) passent aussi à la qualification ‘renforcée’.<br />
Editeur Produit Certification Qualification Cat.<br />
ARKOON Fast Firewall v3.0/11 EAL2+ 11/04 Standard 12/04 3<br />
Security Crypto Box v6.0 EAL4+ élevé 05/04 Standard 07/04 5 & 6<br />
BULL Trustway PCI EAL4+ élevé 11/04 Standard 01/05 6 & 7<br />
TrustWay VPN v3.01.06 EAL2+ 09/04 Standard 09/04 2<br />
TrustWay VPN Line EAL2+ 04/09 Standard 04/09 2<br />
CdC Fast Signature v1.1 EAL2+ 12/08 Standard 12/08 7<br />
DICTAO Adsignerweb v3.1.800 EAL3+ 04/06 Standard 05/06 7<br />
Validation Server v4.0.6 EAL3+ 09/07 Standard 09/07 7<br />
Digimedia Scrutalys EAL3+ visé - En cours - 7<br />
ERCOM SecPhone EAL2+ 12/05 Standard 12/05 6 & 9<br />
Exaprotect ExaProtect Sec. Manag. V2.7.3.5 EAL2+ 11/08 Standard 12/08 1<br />
FT Applatoo EAL2+ 04/05 Standard 05/05 7<br />
GEMALTO ePassport Sealys v1.1 EAL4+ 12/08 Renforcé 08/09 8 M<br />
eTravel EAC v1.0 EAL4+ 12/08 Renforcé 08/09 8 M<br />
Keynectis Sequoia EAL4+ visé - En cours - 4<br />
NETASQ NETASQ IPS v5 EAL2+ 03/05 Standard 03/05 2 & 3<br />
IPS Firewall 8.0.1.1 EAL3+ 07/09 Standard 03/05 2 & 3<br />
Oberthur Tec. ID One ePASS v2.1 EAL4+ 08/09 Renforcé 07/09 8 N<br />
ID One ePass 64 v2.0 EAL4+ 05/08 Renforcé 08/09 8 N<br />
PrimX ZoneCentral v3.1 EAL2+ 12/08 Standard 12/08 5<br />
ZED! EAL3+ visé - En cours - 5<br />
SAGEM Carte Morpho-Citiz32 sur Atmel EAL4+ Standard 02/08 6<br />
Carte Morpho-Citiz32 sur NXP EAL4+ Standard 02/08 6<br />
Morpho ePass V3 EAL4+ 07/08 Renforcé 08/09 8 M<br />
Morpho ePass V1.1.0 EAL4+ 07/09 Renforcé 09/09 8 N<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 16/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
Smart Quantum SQDefender EAL3+ visé 09/08 En cours - 10<br />
THALES Mistral v4.5.2.2 EAL3+ 05/05 Standard 06/05 2<br />
Mistral 2 v4.6.1 EAL3+ 03/08 Standard 03/08 2<br />
Mistral 3 v4.6.2 EAL3+ 07/08 Standard 09/08 2<br />
Catégories : 1- Administration de la sécurité 4- IGC 7- Signatures et Preuves<br />
2- Chiffrement IP 5- Protection du Poste de Travail 8- Titres d’identité électroniques<br />
3- Firewall 6- Ressources Cryptographiques 9- Voix sécurisée<br />
10- Chiffrement de liens<br />
L’hyperviseur ‘PolyXene’ développé par Bertin Technologies dans le cadre d’un contrat avec la DGA<br />
(devenue Direction Générale de l’Armement) n’apparaît pas au catalogue. Celui-ci a été <strong>cert</strong>ifié dans sa<br />
version 1.1 au niveau EAL5+ fin septembre. Pour mémoire, ce niveau d’assurance requiert que la cible de<br />
sécurité évaluée ait été conçue de façon semi-formelle.<br />
POUR PLUS D’INFORMATION<br />
http://www.ssi.gouv.fr/site_rubrique52.html<br />
http://www.ssi.gouv.fr/site_article125.html<br />
- Catalogue<br />
- Polyxene<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 17/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
STANDARDS<br />
DRAFT-IETF-6MAN-IANA-ROUTING-HEADER-00<br />
Cette proposition de standard est probablement la plus courte que nous ayons eu à commenter avec<br />
seulement 2 pages, introduction et références documentaires comprises. Elle vient en complément du<br />
RFC2460 ‘Internet Protocol, Version 6’ pour préciser que l’allocation des valeurs pouvant être<br />
transportées dans le champ ‘Routing Type’ présent dans l’extension de routage du protocole IPV6 se<br />
fera sous la responsabilité du IANA.<br />
Cette extension est définie en page 11 du RFC2640<br />
comme offrant un moyen pour la source de lister un<br />
ou plusieurs nœuds intermédiaires qui devront être<br />
traversés par les paquets avant d’arriver à<br />
destination. Le champ ‘Routing Header’ permet de<br />
spécifier une variante du mode original, dit ’type 0’.<br />
La proposition d’amendement indique qu’à ce jour deux types alternatifs ont été réservés (types 253 et<br />
254) pour des expérimentations par le RFC4727 ‘Experimental Values in IPv4, IPv6, ICMPv4,<br />
ICMPv6, UDP, and TCP Headers’.<br />
La publication de cet addenda est l’occasion de rappeler l’imminence de l’épuisement des blocs d’adresses<br />
du protocole IP V4, les analyses les plus raisonnables fixant cette échéance au début de l’année 2011.<br />
Certains spécialistes considèrent que cette ressource devenue rare pourrait très bien faire l’objet d’un<br />
marché spécialisé d’achat et de revente d’adresses. Pour éviter d’en arriver à ces extrémités, la mise en<br />
place d’un plan de migration, ou à minima d’analyse d’impact, doit être inscrit dans la liste des actions<br />
devant être prioritairement menées sur l’année 2010.<br />
La très intéressante présentation ‘Transition to IPv6 on the Internet: Threats and Mitigation<br />
Techniques’ d’Eric Vyncke (Cisco) effectuée dans le cadre de la conférence BRUCON09 permet de mieux<br />
appréhender les enjeux et les difficultés à venir. Le support de présentation contient notamment une mise<br />
en image de l’évolution des allocations IP V4, et donc de la raréfaction des adresses libres depuis janvier<br />
2000. L’allocation des blocs d’adresses à une période données y est présentée par une carte prenant la<br />
forme d’un tableau de 256 cases (16 colonnes par 16 rangées) correspondant aux 256 premiers octets<br />
d’une adresse IP.<br />
Ces cases sont organisées selon une astucieuse convention proposée par Randall Munroe en 2006<br />
permettant de représenter l’allocation géographique et le ‘poids’ de chaque bloc. Ce poids n’est en effet<br />
pas identique pour chaque bloc, le plan d’adressage IP V4 définissant historiquement cinq classes:<br />
- classe A constituée de 128 réseaux d’un peu plus de 16 millions d’adresses,<br />
- classe B constituée de 16284 réseaux de 65536 adresses,<br />
- classe C constituée d’un peu plus de 2 millions de réseaux de 256 adresses,<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 18/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
- classe D réservée aux groupes de multicast (en violet dans les tableaux),<br />
- classe E réservée à l’expérimentation.<br />
Nos lecteurs intéressés par la lecture de ce support au format PDF devront s’armer de patience, le<br />
chargement des pages présentant cette évolution prenant un temps <strong>cert</strong>ain pour ne pas dire un <strong>cert</strong>ain<br />
temps. Nous nous sommes en conséquence autorisés à extraire les 13 cartes pour les présenter sur une<br />
seule page, et par colonne afin de mettre en évidence la disparition inexorable des blocs libres.<br />
Janvier 2000 Janvier 2004 Janvier 2008<br />
Janvier 2001 Janvier 2005 Janvier 2009<br />
Janvier 2002 janvier 2006 aujourd’hui<br />
Janvier 2003 Janvier 2007 Janvier 2010<br />
Janvier 2011<br />
Le sommaire de guide de 2 pages est le suivant:<br />
1. Introduction<br />
2. IANA Considerations<br />
3. Security Considerations<br />
4. References<br />
Appendix A. Changes from RFC2460<br />
POUR PLUS D’INFORMATION<br />
ftp://ftp.nordu.net/internet-drafts/draft-ietf-6man-iana-routing-header-00.txt<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 19/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
TABLEAUX DE SYNTHESE<br />
CONFERENCES<br />
BRUCON 2009<br />
L’édition 2009 de la conférence BRUCON, consacrée à la sécurité et au hacking, s’est tenue<br />
les 18 et 19 septembre à Bruxelles. Les actes de cette édition sont désormais disponibles en<br />
ligne.<br />
Dispelling the myths and discussing the facts Global Cyber-Warfare<br />
A new web attack vector: Script Fragmentation<br />
All Your Packets Are Belong to Us - Attacking Backbone Technologies<br />
Update on the Belgian Information Security Initiative (part1 & part2)<br />
Botnets, Ransomware, Malware, and Stuff!<br />
Building Hackerspaces Everywhere<br />
How to prepare, coordinate and conduct a cyber attack<br />
Introducing the National CERT.be<br />
Knowing Me Knowing You (The dangers of social networks)<br />
Malicious Markup - I thought you were my friend - cycle 3<br />
Open Source Information Gathering<br />
Rage Against The Kiosk<br />
Red and Tiger Team<br />
Social engineering for penetration testers<br />
SQL Injection - how far does the rabbit hole go?<br />
The Belgian Beer Lovers Guide to Cloud Security<br />
Transition to IPv6 on the Internet: Threats and Mitigation Techniques<br />
Trusted Cryptography<br />
POUR PLUS D’INFORMATION<br />
http://www.brucon.org/index.php/Presentations<br />
J.E.Street<br />
S.Chenette<br />
D.Mende, R.Klose<br />
JL.Allard, A.De Greve<br />
J.Wolf<br />
Astera<br />
E.Filiol<br />
L.Ferette<br />
B.Honan<br />
M.Heiderich<br />
C.Gates<br />
P.J.Craig<br />
C.Nickerson<br />
S.Conheady<br />
J.Clarke<br />
C.Balding<br />
E.Vyncke<br />
V.Rijmen<br />
CHES 2009<br />
La conférence CHES 2009 – ‘Cryptographic Hardware and Embedded Systems’ – a eu lieu les<br />
7, 8 et 9 septembre dernier à Lausanne. Les communications – pour la plupart très techniques -<br />
sont désormais accessibles en ligne sur le site. Nous recommandons cependant la lecture des<br />
deux communications suivantes: 'An Efficient Method for Random Delay Generation in Embedded<br />
Software' de Jean-Sébastien Coron et Ilya Kizhvatov qui détaille une astucieuse approche permettant de<br />
masquer <strong>cert</strong>aines spécificités observables dans l’exécution d’une séquence par l’insertion de délais<br />
aléatoires et ‘The state-of-the-art in Semiconductor Reverse Engineering at Chipworks’, par Randy<br />
Torrance, qui démontre que l’enfouissement de fonctionnalités dans les équipements, et plus précisément<br />
dans le silicium ne permet plus d’assurer la protection ou la confidentialité de ces fonctionnalités.<br />
Nos lecteurs les plus courageux pourront continuer par la lecture de l’intéressante communication ‘A<br />
Design Methodology for a DPA-Resistant Cryptographic LSI with RSL Techniques’ proposée par<br />
une équipe de chercheurs de Mishubishi Electric qui proposent de remplacer la logique classique d’un<br />
circuit à large intégration par une logique à ‘basculement aléatoire’, Random Switching Logic ou RSL,<br />
laquelle offre une meilleur résistance aux attaques par analyse de la consommation ou attaques ‘DPA’.<br />
Invited Talks<br />
Crypto Engineering: Some History and Some Case Studies<br />
The State-of-the-Art in IC Reverse Engineering<br />
Unclonable Functions and Secure Processors<br />
Benchmarking of Cryptographic Hardware<br />
Benchmarking of Cryptographic Hardware<br />
ECRYPT Benchmarking of Cryptographic Systems<br />
Post Layout Results are Required<br />
Reproducing and benchmarking FPGA designs<br />
DPA Contest<br />
C.Paar<br />
R.Torrance<br />
S.Devadas<br />
K.Gaj<br />
DJ. Bernstein<br />
FK.Gürkaynak<br />
S.Drimer<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 20/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
-<br />
DPA Contest 2008 - 2009, Less than 50 traces allow to recover the key<br />
Overview of the 2008-2009 'DPA contest'<br />
Hardware Trojan and Trusted ICs<br />
Lightweight Hardware Trojans through Side-Channel Engineering<br />
MERO: A Statistical Approach for Hardware Trojan Detection<br />
New Ciphers and Efficient Implementations<br />
Elliptic Curve Point Scalar Multiplication Combining Yao's Algorithm and Double Bases<br />
KATAN & KTANTAN - A Family of Small and Efficient Hardware-Oriented Block Ciphers<br />
Runtime Programmable and Parallel ECC Coprocessor Architecture<br />
Pairing-Based Cryptography<br />
Designing an ASIP for Cryptographic Pairings over Barreto-Naehrig Curves<br />
Faster Fp-arithmetic for Cryptographic Pairings on Barreto-Naehrig Curves<br />
Hardware Accelerator for Tate Pairing in Char. 3 Based on Karatsuba-Ofman Multipliers<br />
Side Channel Analysis of Secret Key Cryptosystems<br />
A New Side-Channel Attack on RSA Prime Generation<br />
Algebraic Side-Channel Attacks on the AES: Why Time also Matters in DPA<br />
Differential Cluster Analysis<br />
First-Order Side-Channel Attacks on the Permutation Tables Countermeasure<br />
Known-Plaintext-Only Attack on RSA-CRT with Montgomery Multiplication<br />
Practical Electromagnetic Template Attack on HMAC<br />
Side Channel and Fault Analysis, Countermeasures<br />
A Design Flow and Evaluation Framework for DPA-resistant Instruction Set Extensions<br />
A Design Methodology for a DPA-Resistant Cryptographic LSI with RSL Techniques<br />
An Efficient Method for Random Delay Generation in Embedded Software<br />
Differential Fault Analysis on DES Middle Rounds<br />
Fault Attacks on RSA Signatures with Partially Unknown Messages<br />
Higher-order Masking and Shuffling for Software Implementations of Block Ciphers<br />
Software Implementations<br />
Accelerating AES with Vector Permute Instructions<br />
Faster and Timing-Attack Resistant AES-GCM<br />
Implementation of Multivariate PKCs on Modern x86 CPUs<br />
MicroEliece: McEliece for Embedded Devices<br />
Theoretical Aspects<br />
Mutual Information Analysis: How, When and Why?<br />
On Tamper-Resistance from a Theoretical Viewpoint<br />
TRNGs and Device Identification<br />
CDs Have Fingerprints Too<br />
Low-Overhead Implementation of a Soft-Decision Helper Data Algorithm for SRAM PUFs<br />
The Frequency Injection Attack on Ring-Oscillator-Based TRNG<br />
POUR PLUS D’INFORMATION<br />
http://www.chesworkshop.org/ches2009/program2009.html<br />
C.Clavier<br />
S.Guilley & all<br />
L.Lin & all<br />
RS.Chakraborty & all<br />
N.Méloni, A.Hasan<br />
C.De Cannière & all<br />
P.Schaumont & all<br />
D. Kammler & all<br />
J.Fan & all<br />
J.L.Beuchat & all<br />
T.Finke & all<br />
M.Renauld & all<br />
L.Batina & all<br />
E.Prouff, R.McEvoy<br />
M.Hlaváč<br />
P.A.Fouque & all<br />
D.Regazzoni & all<br />
M.Saeki & all<br />
J.S.Coron, Kizhvatov<br />
M.Rivain<br />
JS.Coron & all<br />
M.Rivain & all<br />
M.Hamburg<br />
E.Käsper, P.Schwabe<br />
A.Inn-Tung & all<br />
T.Eisenbarth & all<br />
Veyrat-Charvillon & all<br />
P.Mateus, S.Vaudenay<br />
Hammouri & all<br />
R.Maes & all<br />
AT.Markettos & all<br />
VB2009 - GENEVA<br />
L’édition 2009 de la conférence ‘Virus Bulletin’, consacrée aux codes malveillants et aux<br />
moyens de défense et de lutte contre ces nuisances, s’est tenue du 23 au 25 septembre<br />
dernier à Genève.<br />
Présentations Sociétales<br />
Cyber-insurance: a financial perspective to incident response<br />
Malware on a mission<br />
Profiling hackers: real data, real experiences, wrong myths<br />
I am not a numero! Assessing global security threat levels<br />
Anti-Malware Testing Standards Oragnization (AMTSO): the status right now<br />
Gimme all your money!<br />
Spam and legislation<br />
When Web 2.0 sneezes, everyone gets sick<br />
Hitting the 'up-to-date' bull's eye<br />
Volume of threat: the AV update deployment bottleneck<br />
ANUBIS - ANalysing Unknown BinarieS - the automatic way<br />
Virtual machines for real malware capture and analysis<br />
Présentations Techniques<br />
Challenges in kernel-mode memory scanning<br />
Pascal Lointier<br />
Amir Fouda<br />
Raoul Chiesa<br />
Bryan Lu<br />
Righard Zwienenberg<br />
Bronnikova, Volodina<br />
Gudkova, Nikishin<br />
Stefan Tanase<br />
Steven Ginn<br />
Robert McArdle<br />
Thomas Mandl & all<br />
Martin Overton<br />
A.Kapoor, R.Mathur<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 21/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
PE-Probe: leveraging packer detection to detect malicious portable executables<br />
I can't go back to yesterday, because I was a different person then<br />
Tales from cloud nine<br />
Detecting malicious documents with combined static and dynamic analysis<br />
A fractal approach to social network spam detection<br />
Reputation: a new chapter in malware protection<br />
Firefox malware - when browsers attack<br />
Présentations de la dernière minute<br />
Brazil: land of plentiful bankers<br />
iPhone v3 malware vector<br />
The real face of Koobface<br />
Twarfing: malicious tweets<br />
WebStalker: detection of malicious pages through monitoring web browser behaviour<br />
Connecting the AV industry<br />
Autres présentations<br />
You can teach a new user old tricks ... old users learn too<br />
Fragmented distribution attack<br />
POUR PLUS D’INFORMATION<br />
http://www.virusbtn.com/conference/vb2009/slides/index<br />
Mudassar Farooq<br />
Chun Feng<br />
Mihai Chiriac<br />
Carsten Willems<br />
A. Catalin Cosoi<br />
Vijay Seshadri<br />
C.Wüest, E.Florio<br />
Dmitry Bestuzhev<br />
Marius van Oers<br />
Ivan Macalintal<br />
C.Raiu, M.Swimmer<br />
Minseong Kim<br />
Igor Muttik<br />
Randy Abrams<br />
Anoirel Issa<br />
RAID2009<br />
Le 12 ième International Symposium on Recent Advances in Intrusion<br />
Detection – RAID – a eu lieu les 23, 24 et 25 septembre à St Malo.<br />
Les actes de cette conférence sont disponibles en ligne.<br />
Anomaly and Specification-Based Approaches<br />
Fighting Malware<br />
Opening talk<br />
Opening talk<br />
Panacea: Automating Attack Classification for Anomaly-based NIDS<br />
Protecting a Moving Target: Addressing Web Application Concept Drift<br />
Adaptive Anomaly Detection via Self-Calibration and Dynamic Updating<br />
Runtime Monitoring and Dynamic Reconfiguration for Intrusion Detection Systems<br />
Malware Detection and Prevention<br />
Malware Behavioral Detection by Attribute-Automata using Abstraction<br />
Automatic Generation of String Signatures for Malware Detection<br />
PE-miner: Mining Structural Information to Detect Malicious Executables in Real-Time<br />
Toward Revealing Kernel Malware Behavior in Virtual Execution Environments<br />
Exploiting Temporal Persistence to Detect Covert Botnet Channels<br />
Network and Host Intrusion Detection and Prevention<br />
Automatically Adapting a Trained Anomaly Detector to Software Patches<br />
Towards Generating High Coverage Vulnerability-based Signatures<br />
Automated Behavioral Fingerprinting<br />
Intrusion Detection for Mobile Devices<br />
SMS-Watchdog: Profiling Social Behaviors of SMS Users for Anomaly Detection<br />
Keystroke-based User Identification on Smart Phones<br />
VirusMeter: Preventing Your Cellphone from Spies<br />
When Science Meets Security<br />
High-performance Intrusion Detection<br />
Regular Expression Matching on Graphics Hardware for Intrusion Detection<br />
Multi-Byte Regular Expression Matching with Speculation<br />
POUR PLUS D’INFORMATION<br />
http://www.rennes.supelec.fr/RAID2009/program.html<br />
Luis Corron<br />
Ludovic Mé<br />
Engin Kirda<br />
D.Bolzoni & all<br />
F.Maggi & all<br />
G.Cretu-Ciocarlie<br />
M.Rehak & all<br />
H.Debar & all<br />
S.Schneider<br />
Z.Shafiq & all<br />
C.Xuan & all<br />
J.Chandrashekar<br />
P.Li & all<br />
J.Caballero & all<br />
J.François<br />
Guanhua Yan & all<br />
S.Zahid<br />
L.Liu & all<br />
R.Maxion<br />
G.Vasiliadis & all<br />
D.Luchaup & all<br />
HITB2009<br />
Les actes de la conférence technique HITBSec2009 – Hack In The Box - qui s’est<br />
tenue du 5 au 8 octobre à Kuala Lumpur, Malaisie, ont été mis en ligne.<br />
Nous recommandons à ceux qui ne l’auraient pas déjà lue la présentation intitulée ‘Defeating Software<br />
Protection with Metasm’. Celle-ci détaille les spécificités de l’excellent désassembleur (et plus encore)<br />
METASM, un très sérieux concurrent du fabuleux outil IDA, du moins dans le domaine de l’analyse des<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 22/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
codes obscurcis.<br />
Les addicts du téléphone BlackBerry pourront lire avec intérêt la présentation ‘Bugs and Kisses:<br />
Spying on BlackBerry Users for Fun’ qui propose une intéressante synthèse des problèmes inhérents à<br />
la complexité du Blackberry. Relativement bien protégé en ce qui concerne les attaques externes, cette<br />
merveille de technologie se revèle être assez vulnérable de l’intérieur. Les auteurs ont développé deux<br />
modules applicatifs intéressants: ‘Bugs’, un spyware qui collecte les mails échangés et les retransmet<br />
vers une adresse tierce, et ‘Kisses’, un outil permettant de lister les applications cachées telle ‘Bugs’.<br />
Deux modules à charger sur le site de l’auteur qui précise qu’il vaut mieux le contacter avant d’activer<br />
‘Bugs’ !<br />
APRS/HAM Radio<br />
MARES<br />
Attacking Interoperability<br />
M.Dowd<br />
Browser Ghosting Attacks: Haunting Browsers with Acrobat & Flash<br />
P.Theriault<br />
Bugs and Kisses: Spying on BlackBerry Users for Fun<br />
S.Gunasekera<br />
Building a Blind TCP/IP Hijacking Tool<br />
A.Kouzemtchenko<br />
Building and Using an Automated Malware Analysis Pipeline<br />
W.Brown<br />
Clobbering the Cloud<br />
H.Meer<br />
Defeating Software Protection with Metasm<br />
A.Gazet, Y.Guillot<br />
Detecting Computer Intrusions<br />
S.Anson<br />
eKimono: A Malware Scanner for Virtual Machines<br />
N.Anh Quynh<br />
Freeing Sisyphus: Declaratively Addressing Web Security Issues<br />
L.Adamski<br />
Hacking from the Restroom<br />
B.Goncalves<br />
Hardware is the New Software<br />
J.Gand<br />
Having fun with ATMs & HSMs<br />
D.Petropoulos<br />
How Low will Malware Go?<br />
N.Herath<br />
How to Own the World – One Desktop at a Time<br />
S.Shah<br />
Lock Picking Lab – Focus on ASEAN Locks<br />
Deviant Olam<br />
Making Software Dumber<br />
T.Ormandy<br />
Modern Day Robin Hoods?<br />
R.Gonggrijp<br />
Offensive Cloud Computing with Hadoop and Backtrack<br />
J.Lundy<br />
PDF Origami Strikes Back<br />
Aumaitre, Raynal & all<br />
Security In-Depth for Linux Software<br />
C.Evans, J.Tinnes<br />
Side Channel Analysis on Embedded Systems<br />
J.De Haas<br />
Sniff Keystrokes With Lasers/Voltmeters<br />
A.Barisani, D.Bianco<br />
The Art of Network Forensics<br />
M.Mudin, L.Chin Sheng<br />
The Bad Guys are Winning: So Now What?<br />
E.Skoudis<br />
POUR PLUS D’INFORMATION<br />
http://conference.hackinthebox.org/hitbsecconf2009kl/materials/<br />
SOURCE2009 - BARCELONE<br />
Les actes de l’édition Européenne de la conférence Source, consacrée aux bonnes<br />
pratiques de sécurité, sont pour la plupart disponibles en ligne.<br />
Security & Technology<br />
Consumer B Gone - Shopping Cart Antitheft System Gone Wrong<br />
Expanding the Control Over Operating System From the Database<br />
Telco 2.0 : Security of Next-Generation Telecom Services<br />
What's New With Xprobe<br />
Security & Business<br />
A Look at Security Projects and Spending in the Current Recession<br />
Knowing Me, Knowing You<br />
Scare them into compliance - How fear & fines motivate organizations<br />
Software Assurance with SAMM<br />
The Cloud Computing Threat Vector<br />
Technology<br />
REIL: Using Platform-Independent Automated Deobfuscation<br />
State Of Malware: Explosion Of The Axis Of Evil<br />
Triaging Bugs With Dynamic Dataflow Analysis<br />
Windows Secure Kernel Development<br />
Business<br />
Keystroke Dynamics As The Basis For Secure Authentication<br />
Tactical Information Gathering<br />
The Future Application Security Landscape<br />
Transacting Online: What Might Be Good Enough And What Isn’t<br />
Philippe Langlois<br />
Bernardo Damele & all<br />
Nico Fischbach<br />
Fyodor Yarochkin<br />
Dov Yoran<br />
Brian Honan<br />
Erin Jacobs<br />
Matt Bartoldus<br />
Jim Reavis<br />
C.Ketterer, S.Porst<br />
P.Silberman, E.Carrera<br />
Julio Auto<br />
Fermin Serna<br />
Dieter Bartmann<br />
Christian Martorella<br />
Charles Henderson<br />
Michael Baentsch<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 23/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
POUR PLUS D’INFORMATION<br />
http://www.sourceconference.com/index.php/source-barcelona-2009/schedule<br />
GUIDES<br />
NIST – ETAT DES GUIDES DE LA SERIE SPECIALE 800<br />
Le NIST publie la version définitive du guide SP800-70R1 ‘National Checklist Program<br />
for IT Products - Guidelines for Checklist Users and Developers’ ainsi qu’une<br />
version pour commentaire de la deuxième révision du guide SP800-78-2 ‘Cryptographic<br />
Algorithms and Key Sizes for Personal Identification Verification’.<br />
SP800-124 Guidelines on Cell Phone and PDA Security [F] 11/08<br />
SP800-123 Guide to General Server Security [F] 07/08<br />
SP800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information [R] 01/09<br />
SP800-121 Guide to Bluetooth Security [F] 09/08<br />
SP800-120 EAP Methods used in Wireless Network Access Authentication [F] 09/09<br />
SP800-118 Guide to Enterprise Password Management [R] 04/09<br />
SP800-117 Guide to Adopting and Using the Security Content Automation Protocol [R] 05/09<br />
SP800-116 Recommendation for the Use of PIV Credentials in Physical Access Control Systems [F] 11/08<br />
SP800-115 Technical Guide to Information Security Testing [F] 09/08<br />
SP800-114 User’s Guide to Securing External Devices for Telework and Remote Access [F] 11/07<br />
SP800-113 Guide to SSL VPNs [F] 07/08<br />
SP800-111 Guide to Storage Encryption Technologies for End User Devices [R] 11/07<br />
SP800-110 Information System Security Reference Data Model [R] 09/07<br />
SP800-108 Recommendation for Key Derivation Using Pseudorandom Functions [F] 11/08<br />
SP800-107 Recommendation for Using Approved Hash Algorithms [F] 02/09<br />
SP800-106 Randomized Hashing Digital Signatures [F] 02/09<br />
SP800-104 A Scheme for PIV Visual Card Topography [F] 06/07<br />
SP800-103 An Ontology of Identity Credentials, Part I: Background and Formulation [R] 09/06<br />
SP800-102 Recommendation for Digital Signature Timeliness [F] 09/09<br />
SP800-101 Guidelines on Cell Phone Forensics [F] 05/07<br />
SP800-100 Information Security Handbook: A Guide for Managers [F] 03/07<br />
SP800-98 Guidance for Securing Radio Frequency Identification (RFID) Systems [F] 04/07<br />
SP800-97 Guide to IEEE 802.11i: Robust Security Networks [F] 02/07<br />
SP800-96 PIV Card / Reader Interoperability Guidelines [R] 09/06<br />
SP800-95 Guide to Secure Web Services [F] 08/07<br />
SP800-94 Guide to Intrusion Detection and Prevention (IDP) Systems [F] 02/07<br />
SP800-92 Guide to Computer Security Log Management [F] 09/06<br />
SP800-90 Random Number Generation Using Deterministic Random Bit Generators [F] 03/07<br />
SP800-89 Recommendation for Obtaining Assurances for Digital Signature Applications [F] 11/06<br />
SP800-88 Guidelines for Media Sanitization [F] 09/06<br />
SP800-87r1 Codes for the Identification of Federal and Federally-Assisted Organizations [F] 04/08<br />
SP800-86 Computer, Network Data Analysis: Forensic Techniques to Incident Response [F] 08/06<br />
SP800-85A1 PIV Card Application and Middleware Interface Test Guidelines [F] 03/09<br />
SP800-85B1 PIV Middleware and PIV Card Application Conformance Test Guidelines [R] 09/09<br />
SP800-85B PIV Middleware and PIV Card Application Conformance Test Guidelines [F] 07/06<br />
SP800-84 Guide to Single-Organization IT Exercises [F] 09/06<br />
SP800-83 Guide to Malware Incident Prevention and Handling [F] 11/05<br />
SP800-82 Guide to Industrial Control Systems (ICS) Security [R] 09/08<br />
SP800-81r1 Secure Domain Name System (DNS) Deployment Guide [R] 08/09<br />
SP800-81 Secure Domain Name System (DNS) Deployment Guide [F] 05/06<br />
SP800-80 Guide for Developing Performance Metrics for Information Security [R] 05/06<br />
SP800-79r1 Guidelines for Certification & Accreditation of PIV Card Issuing Organizations [F] 06/08<br />
SP800-78-2 Cryptographic Algorithms and Key Sizes for Personal Identity Verification [R] 10/09<br />
SP800-78r1 Cryptographic Algorithms and Key Sizes for Personal Identity Verification [F] 08/07<br />
SP800-77 Guide to Ipsec VPNs [F] 12/05<br />
SP800-76r1 Biometric Data Specification for Personal Identity Verification [F] 01/07<br />
SP800-73r3 Interfaces to Personal Identity Verification [R] 08/09<br />
SP800-73r2 Interfaces to Personal Identity Verification [F] 09/08<br />
SP800-72 Guidelines on PDA Forensics [F] 11/04<br />
SP800-70r1 NCP for IT Products - Guidelines for Checklist Users and Developers [F] 09/09<br />
SP800-70 The NIST Security Configuration Checklists Program [F] 05/05<br />
SP800-69 Guidance for Securing Microsoft Windows XP Home Edition [F] 08/06<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 24/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
SP800-68r1 Guidance for Securing Microsoft Windows XP Systems for IT Professionals [F] 07/08<br />
SP800-67 Recommendation for the Triple Data Encryption Algorithm Block Cipher [F] 06/08<br />
SP800-66r1 An Introductory Resource Guide for Implementing the HIPAA Security Rule [F] 10/08<br />
SP800-65r1 Integrating IT Security into the Capital Planning and Investment Control Process [R] 07/09<br />
SP800-65 Integrating IT Security into the Capital Planning and Investment Control Process [F] 01/05<br />
SP800-64r2 Security Considerations in the Information System Development Life Cycle [F] 10/08<br />
SP800-63r1 Electronic Authentication Guidelines [R] 12/08<br />
SP800-61r1 Computer Security Incident Handling Guide [F] 03/08<br />
SP800-60r1 Guide for Mapping Types of Information & IS to Security Categories [F] 08/08<br />
SP800-59 Guideline for Identifying an Information System as a National Security System [F] 08/03<br />
SP800-58 Security Considerations for Voice Over IP Systems [F] 03/05<br />
SP800-57p1 Recommendation for Key Management, 1: General Guideline [F] 03/07<br />
SP800-57p2 Recommendation for Key Management, 2: Best Practices [F] 08/05<br />
SP800-57p3 Recommendation for Key Management, 3: Application-Specific Key Management [D] 10/08<br />
SP800-56A Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography [F] 03/07<br />
SP800-56B Pair-Wise Key Establishment Using Integer Factorization Cryptography [F] 09/09<br />
SP800-55r1 Security Metrics Guide for Information Technology Systems [F] 08/08<br />
SP800-54 Border Gateway Protocol Security [F] 07/07<br />
SP800-53r3 Recommended Security Controls for Federal Information Systems [F] 08/09<br />
SP800-53r2 Recommended Security Controls for Federal Information Systems [F] 12/07<br />
SP800-53A Guide for Assessing the Security Controls in Federal Information Systems [F] 06/08<br />
SP800-52 Guidelines on the Selection and Use of Transport Layer Security [F] 06/05<br />
SP800-51 Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme [F] 09/02<br />
SP800-50 Building an Information Technology Security Awareness & Training Program [F] 03/03<br />
SP800-49 Federal S/MIME V3 Client Profile [F] 11/02<br />
SP800-48r1 Guide to Securing Legacy IEEE 802.11 Wireless Networks [F] 08/08<br />
SP800-47 Security Guide for Interconnecting Information Technology Systems [F] 08/02<br />
SP800-46r1 Guide to Enterprise Telework and Remote Access Security [F] 06/09<br />
SP800-46 Security for Telecommuting and Broadband Communications [F] 08/02<br />
SP800-45V2 Guide On Electronic Mail Security [F] 02/07<br />
SP800-44V2 Guidelines on Securing Public Web Servers [F] 09/07<br />
SP800-43 System Administration Guidance for Windows00 [F] 11/02<br />
SP800-42 Guidelines on Network Security testing [F] 10/03<br />
SP800-41r1 Guidelines on Firewalls and Firewall Policy [F] 09/09<br />
SP800-41 Guidelines on Firewalls and Firewall Policy [F] 01/02<br />
SP800-40-2 Creating a Patch and Vulnerability Management Program [F] 11/05<br />
SP800-39 Managing Risk from Information Systems: An Organizational Perspective [R] 04/08<br />
SP800-38E Recommendation for Block Cipher Modes of Operation – XTS-AES [F] 08/09<br />
SP800-38D Recommendation for Block Cipher Modes of Operation – GCM [F] 11/07<br />
SP800-38C Recommendation for Block Cipher Modes of Operation – CCM [F] 05/04<br />
SP800-38B Recommendation for Block Cipher Modes of Operation – RMAC [F] 05/05<br />
SP800-38A Recommendation for Block Cipher Modes of Operation – Method and Techniques [F] 12/01<br />
SP800-37r1 Guidelines for the Security C&A of Federal Information Technology Systems [R] 08/08<br />
SP800-37 Guidelines for the Security C&A of Federal Information Technology Systems [F] 04/04<br />
SP800-36 Guide to IT Security Services [F] 10/03<br />
SP800-35 Guide to Selecting IT Security Products [F] 10/03<br />
SP800-34r1 Contingency Planning Guide for Information Technology Systems [R] 10/09<br />
SP800-34 Contingency Planning Guide for Information Technology Systems [F] 06/02<br />
SP800-33 Underlying Technical Models for Information Technology Security [F] 12/01<br />
SP800-32 Introduction to Public Key Technology and the Federal PKI Infrastructure [F] 02/01<br />
SP800-31 Intrusion Detection Systems [F] 11/01<br />
SP800-30 http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf [F] 01/04<br />
SP800-29 Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2 [F] 10/01<br />
SP800-28v2 Guidelines on Active Content and Mobile Code [F] 03/08<br />
SP800-27A Engineering Principles for Information Technology Security – Rev A [F] 06/04<br />
SP800-26r1 Guide for Inform. Security Program Assessments & System Reporting Form [R] 08/05<br />
SP800-26 Security Self-Assessment Guide for Information Technology Systems [F] 11/01<br />
SP800-25 Federal Agency Use of PK Technology for Digital Signatures and Authentication [F] 10/00<br />
SP800-24 Finding Holes in Your PBX Before Someone Else Does [F] 08/00<br />
SP800-23 Guidelines to Federal Organizations on Security Assurance [F] 08/00<br />
SP800-22r1 Statistical Test Suite for Random and Pseudorandom Number Generators [F] 08/08<br />
SP800-21 Guideline for Implementing Cryptography in the Federal Government [F] 12/05<br />
SP800-16r1 Information Security Training Requirements: A Role & Performance Based Model [R] 03/09<br />
SP800-12 An Introduction to Computer Security: The NIST Handbook [F] 10/95<br />
[F] Finalisé<br />
[R] Relecture<br />
POUR PLUS D’INFORMATION<br />
http://csrc.nist.gov/publications/PubsSPs.html<br />
- Catalogue des publications<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 25/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
DISA – GUIDES ET CHECK LISTES DE SECURISATION<br />
La DISA a procédé à la mise à jour du guide Citrix Xen et des listes Citrix Xen, MS<br />
SQL, Oracle, ESX, UNIX, Windows, Blackberry et Mobile messaging.<br />
[13 Mise(s) à jour, 0 Nouveau(x) Document(s)] Guide (STIG) Check Liste<br />
APPLICATIONS<br />
Applications Sécurité et Développement 2.1 24/08/08 2.1.5 26/06/09<br />
Services 1.1 17/01/06 1.1.1 21/09/06<br />
Microsoft Exchange 2003 1.1 17/09/09 1.1 17/09/09<br />
ESM 1.1 05/06/06 1.1.3 10/04/07<br />
ERP 1.1 10/04/07 1.1.1 10/04/07<br />
Database Générique 8.1 19/10/07 8.1.2 28/08/09<br />
Oracle 8.1.5 23/10/09 M<br />
MS SQL Server 2005 8.1.3 23/10/09 M<br />
ENVIRONNEMENTS<br />
Access Control 2.2 18/12/08<br />
Directory Service 1.1 10/03/06 1.1.5 28/08/09<br />
Collaboration 1.1 28/03/07 1.1 28/03/07<br />
Desktop 3.1 09/03/07 3.1.11 26/06/09<br />
Enclave Périmètre 4.2 31/03/08 4.2 31/03/08<br />
.NET 1.2.3 18/02/09<br />
Personal Computer Clients Voix, Vidéo et Collaboration 1.1 26/06/08 1.1.1 15/08/08<br />
Secure Remote Computing 1.2 10/08/05<br />
Instant Messaging 1.2 15/02/08 1.2.5 15/04/09<br />
Biométrie 1.3 10/11/05 2.1.1 17/10/07<br />
VoIP 2.2 21/04/06 2.2.4 12/08/08<br />
Vidéo Téléconférence 1.1 08/01/08 1.1.2 06/11/08<br />
PERIPHERIQUES<br />
Sharing peripheral across the network 1.1 29/07/05<br />
- Multi-Function Device (MFD) and Printer Checklist 1.1.3 09/04/09<br />
- Keyboard, Video, and Mouse (KVM) Switch Checklist 1.1.3 19/12/08<br />
- Storage Area Network (SAN) Checklist 1.1.4 26/06/09<br />
- Universal Serial Bus (USB) Checklist 1.1.3 19/12/08<br />
RESEAUX<br />
Network Liste de contôle générique 7.1 25/10/07 7.1.10 28/08/09<br />
Cisco 6.1 02/12/05<br />
Juniper 6.4 02/12/05<br />
IP WAN Générique 2.3 12/08/04<br />
Wireless Liste de contôle générique 6.1 06/08/09 6.1 23/10/09 M<br />
BlackBerry 5.5 23/10/09 M<br />
Apriva 5.2.2 15/04/09<br />
Motorola 5.2.3 15/04/09<br />
Windows 5.2.4 15/04/09<br />
Wireless LAN Security Framework 2.1 31/10/05<br />
LAN Site Survey 1.1 31/10/05<br />
LAN Secure Remote Access 1.1 31/10/05<br />
Mobile Computing 1.1 31/10/05<br />
SERVICES<br />
DNS Générique 4.1 17/10/07 4.1.7 28/08/09<br />
Web Servers Générique 6.1 11/12/06 6.1.7 15/04/09<br />
IIS 6.1.11 26/06/09<br />
Netscape/Sun 6.1.6 26/06/09<br />
Apache 6.1.11 26/06/09<br />
TomCAT 6.1.5 14/04/09<br />
WebLogic 6.1.4 14/04/09<br />
SYSTEMES<br />
OS/390 & z/OS Générique 6.1.1 06/08/09 5.2.7 17/01/08<br />
Logical Partition 2.2 04/03/05 2.1.4 04/06<br />
RACF 6.1.2 28/08/09 6.1.2 28/08/09<br />
ACF2 6.1.2 28/08/09 6.1.2 28/08/09<br />
TSS 6.1.2 28/08/09 6.1.2 28/08/09<br />
MacOS/X 1.1 15/06/04 1.1.3 28/04/06<br />
TANDEM 2.2 04/03/05 2.1.2 17/04/06<br />
UNISYS 7.2 28/08/06 7.2 24/11/06<br />
UNIX 5.1 04/04/06 5.2 23/10/09 M<br />
VM IBM 2.2 04/03/05 2.2.1 04/06<br />
SUN Solaris 2.6 à 2.9 - 20/01/04<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 26/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
RAY 4 1.1.1 17/04/09 1.1.1 17/04/09<br />
OPEN VMS 2.2.3 17/04/06<br />
Windows NT 3.1 26/12/02 4.1.21 28/07/08<br />
2000 6.1.14 23/10/09 M<br />
XP 1.8 12/01/03 6.1.14 23/10/09 M<br />
Vista<br />
6.1.14 23/10/09 M<br />
2003 6.1.14 23/10/09 M<br />
2008 6.1.7 23/10/09 M<br />
Addendum 2000/XP/Vista/2003 6.1 21/05/07<br />
VMWare ESX 1.1.0 28/04/08 1.4.0 15/10/09 M<br />
Citrix XENApp 1.1.2 15/10/09 1.1.2 15/10/09 M<br />
AUTRE<br />
Best Practice Security Générique 2.1 29/01/07<br />
POUR PLUS D’INFORMATION<br />
http://iase.disa.mil/stigs/checklist/index.html<br />
http://measurablesecurity.mitre.org/about/index.html<br />
MAGAZINES<br />
ENISA - QUARTERLY REVIEW<br />
Le troisième numéro de l’année 2009 de la revue de l’ENISA a été publié début octobre. Il<br />
aborde cinq thèmes dont :<br />
- la résilience et le partage de l’information,<br />
- la protection des infrastructures critiques,<br />
- les risques émergents et futurs,<br />
- les compétences et les <strong>cert</strong>ifications,<br />
- la sensibilisation et les problèmes de l’usager final.<br />
Au cœur des préoccupations de l’ENISA, le premier sujet a été abordé dans plusieurs numéros de cette<br />
revue, dont les deux numéros spéciaux 2008-Q1-V4N1 et 2009-Q1-V5N1.<br />
Le sommaire de ce numéro de 24 pages est reproduit ci-dessous:<br />
A Letter from the Executive Director<br />
A Word from the Editor<br />
A Word from the Experts<br />
Resilience and Information Sharing<br />
A Resilient and Secure Internet Infrastructure<br />
Evaluating the reliability of the Internet infrastructure<br />
Three European 'Trusted Information Sharing' Projects<br />
Critical Information Infrastructure Protection<br />
Public-Private Partnership for CIIP - Case Finland<br />
Interdependency between Energy and Telecommunications<br />
Emerging and Future Risks<br />
Identification of Emerging and Future Risks in a 2011 eHealth Scenario<br />
Drivers of Emerging and Future Threats in ICT Infrastructures<br />
Skills and Certifications<br />
Cyber-Security Skills - The Cost of Ignorance<br />
Penetration Testing - What's That?<br />
A New Qualification to Guarantee Secure Software Engineering Skills<br />
Awareness and End-User Issues<br />
End-user Security: Misused and Misunderstood?<br />
Human Factors in the Dependability of IP Networks<br />
Technologies<br />
A Secure Approach for Embedded Systems in Japan<br />
tNAC - trusted Network Access Control<br />
POUR PLUS D’INFORMATION<br />
http://www.enisa.europa.eu/publications/eqr/issues/eqr-q3-2009-vol.-5-no.-3/at_download/issue<br />
INTERNET<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 27/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
LES DECISIONS DE L’OMPI<br />
L’Organisation Mondiale de la Propriété Intellectuelle – OMPI ou WIPO – est chargée<br />
de l’arbitrage et de la résolution des litiges relatifs aux noms de domaine. Parmi tous<br />
les litiges jugés, en voici quelques uns concernant l’usage abusif de marques célèbres<br />
en France.<br />
Nous recommandons la lecture de l’arbitrage de l’affaire D2009-1001 dans laquelle interviennent le<br />
requérant (la holding bancaire ‘HSBC’) et trois tiers, le nom de domaine ayant été revendu durant la<br />
tentative de conciliation à l’amiable. Ajoutons à cela un dépôt de plainte auprès du FBI par l’un des<br />
propriétaires du nom de domaine disputé contre l’une des filiales du requérant accusée d’avoir attaqué<br />
son serveur, et la suggestion faite proposer une somme plus conséquente pour le rachat du domaine ou<br />
d’aller devant l’OMPI. Une démarche que le plaignant a engagée et qui lui a permis de récupérer le nom<br />
de domaine sans bourse délier.<br />
Nous conseillons par ailleurs la lecture de l’article ‘Le Conseil d'Etat rejette un référé contre la charte<br />
de nommage du .FR’ publié par le site ‘JuridicOnline’ lequel mets en lumière <strong>cert</strong>aines défaillances de<br />
la procédure de résolution PREDEC de l’AFNIC, inspirée de la procédure UDRP mise en œuvre par<br />
l’OMPI. Est notamment remis en cause le respect du droit de la défense. Et de fait, la lecture de <strong>cert</strong>ains<br />
jugements du WIPO laisse au béotien du droit que nous sommes l’impression que les droits, et la parole<br />
de la défense, passe au second plan, du fait probablement d’une procédure très encadrée et directive. Il<br />
faut cependant admettre, à la décharge de l’arbitrage, que la très grande majorité des affaires traitées<br />
portent sur des abus manifestes de ‘mauvaise foi’ ou ‘Bad Faith’.<br />
Et pour finir, nos lecteurs pourront admirer l’arbitrage D2009-1117 sur le domaine ‘ciscoblog.org’<br />
entièrement rédigé dans la langue de Confucius.<br />
DMA009-0002 danone.ma Compagnie Gervais Danone 25/09<br />
DMX2009-0012 westerndigital.com.mx Western Digital Technologies 27/09<br />
D2009-1021 nestle-cereales.com Société des Produits Nestlé 22/09<br />
D2009-1001 hsbcinternational.com HSBC Holding, plc. 28/09<br />
D2009-1136 leguidemichelin.com CG des Ets Michelin 06/10<br />
D2009-1051 anonymousmastercard.com<br />
mastercardoffshore.com<br />
mastercardsoffshore.com<br />
offshorebankmastercard.com<br />
offshoremastercardaccount.com<br />
platinummastercardaccount.com<br />
MasterCard International Inc. 04/10<br />
D2009-1134 walkman.net Sony Kabushiki Kaisha 12/09<br />
D2009-1158 principadodemonaco.com Principality of Monaco 07/09<br />
D2009-1117 ciscoblog.org Cisco Technology 15/10<br />
D2009-1173 velo-sncf.com SNCF 16/10<br />
D2009-1141 blackberryu.com Research In Motion Limited 15/10<br />
POUR PLUS D’INFORMATION<br />
http://www.wipo.int/rss/index.xml?col=dnddocs<br />
http://www.wipo.int/freepublications/fr/arbitration/779/wipo_pub_779.pdf<br />
- Dernières décisions<br />
- Procédure de règlement des litiges<br />
STANDARDS<br />
IETF – LES RFC TRAITANT DIRECTEMENT DE LA SECURITE<br />
Thème Num Date Etat Titre<br />
AAA 5637 09/09 Inf Authentication, Authorization, and Accounting (AAA) Goals for Mobile IPv6<br />
DNSSEC 5702 10/09 Pst Use of SHA-2 Algorithms with RSA in DNSKEY and RRSIG Resource Records for DNSSEC<br />
IPSEC 5660 10/09 Pst IPsec Channels: Connection Latching<br />
OSPF 5709 10/09 Pst OSPFv2 HMAC-SHA Cryptographic Authentication<br />
IETF – LES RFC LIES A LA SECURITE<br />
Thème Num Date Etat Titre<br />
SYSLOG 5674 10/09 Pst Alarms in Syslog<br />
SYSLOG 5675 10/09 Pst Mapping Simple Network Management Protocol (SNMP) Notifications to SYSLOG Messages<br />
SYSLOG 5676 10/09 Pst Definitions of Managed Objects for Mapping SYSLOG Messages to SNMP Notifications<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 28/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
IETF – LES NOUVEAUX DRAFTS TRAITANT DE LA SECURITE<br />
Thème Nom du Draft Date Titre<br />
6LOW draft-struik-6lowapp-security-considerations-00 20/10 Sec. Arch. Design Consider. for Low-Power Wireless Sensor Nets<br />
ALTO draft-wang-alto-privacy-load-analysis-00 19/10 Analysis for ALTO privacy and load issues<br />
BCP draft-magnusson-secure-practice-00 13/10 A Security Practitioner's view on Internet Protocols<br />
CGA draft-cheneau-csi-cga-pk-agility-00 12/10 Support for Multiple Signature Algorithms in CGAs<br />
draft-cheneau-csi-ecc-sig-agility-00<br />
12/10 ECC public key & signature support in CGA and in SEND protocol<br />
draft-cheneau-csi-send-sig-agility-00<br />
12/10 Signature Algorithm Agility in the SEND Protocol<br />
DHCP draft-ietf-csi-dhcpv6-cga-ps-00 12/10 DHCPv6 and CGA Interaction: Problem Statement<br />
DNS draft-ietf-dnsext-dnssec-registry-fixes-00 14/10 DNSSEC DNSKEY IANA Registry Algorithm Status Addition<br />
EAP draft-urien-kiennert-emu-bio-00 15/10 EAP BIO<br />
draft-mccann-session-policy-fram…-using-eap-00 19/10 Session Policy Framework using EAP<br />
ECC draft-turner-ecprivatekey-00 19/10 Elliptic Curve Private Key Structure<br />
GRE draft-mip4-gre-key-extension-00 14/10 GRE Key Extension for Mobile IPv4<br />
GSS API draft-yu-kitten-api-wishlist-00 19/10 Desired changes to the GSS-API<br />
HIP draft-ponomarev-hip-ecc-00 19/10 Additional Key Algorithms for Host Identity Protocol<br />
IBAKE draft-cakulev-ibake-00 19/10 IBAKE: Identity-Based Authenticated Key Agreement<br />
IPV4 draft-perkins-mip4-authreqd-00 12/10 Authentication Mandate for All Registration Reply Messages<br />
IPV6 draft-kohno-ipv6-prefixlen-p2p-00 19/10 /127 IPv6 Prefix Length on P2P Links Not Considered Harmful<br />
draft-vyncke-advanced-ipv6-security-00<br />
19/10 Advanced Security for IPv6 CPE<br />
IPSEC draft-nagayama-ipsecme-ipsec-with-qkd-00 19/10 IKE for IPsec with QKD<br />
LDAP draft-chu-ldap-kdc-schema-00 15/10 An LDAP Schema for Kerberos KDC Information<br />
LISP draft-saucez-lisp-security-00 20/10 Notes on LISP Security Threats and Requirements<br />
MIF draft-ko-mif-threat-analysis-00 19/10 Preliminary MIF Threat Analysis<br />
MIKEY draft-cakulev-mikey-ibake-00 14/10 MIKEY-IBAKE: Identity-Based MIKEY<br />
draft-mattsson-mikey-ticket-00<br />
19/10 MIKEY-TICKET: An Additional MIKEY<br />
MPLS draft-daley-mpsec-label-ts-00 18/10 MPLS Label Traffic Selectors for Internet Key Exchange Version 2<br />
MPTCP draft-bagnulo-mptcp-threat-00 18/10 Threat Analysis for Multi-addressed/Multi-path TCP<br />
OAUTH draft-beck-oauth-sip-eval-00 19/10 Evaluating OAUTH's suitability for SIP authentication<br />
SAAG draft-polk-saag-rtg-auth-keytable-00 19/10 Routing Authentication using a DB of Long-Lived Crypto. Keys<br />
SRTP draft-lennox-avt-srtp-encrypted-ext…-00 19/10 Encryption of Header Extensions in SRTP<br />
SYSLOG draft-ietf-syslog-dtls-00 14/10 DTLS Transport Mapping for Syslog<br />
TCP draft-touch-tcp-ao-nat-00 19/10 A TCP Authentication Option NAT Extension<br />
TLS draft-pettersen-tls-ext-multiple-ocsp-00 16/10 Adding Multiple TLS Certificate Status Extension requests<br />
UDT draft-d-sec-udt-00 29/09 Security Requirements for UDT<br />
IETF – LES MISES A JOUR DE DRAFTS TRAITANT DE LA SECURITE<br />
Thème Nom du Draft Date Titre<br />
AAA draft-wu-dime-pmip6-lr-01 26/10 AAA Support for PMIP6 mobility entities Locating<br />
ASYMMET draft-turner-asymmetrickeyformat-02 20/10 Asymmetric Key Packages<br />
BGP draft-francois-limited-scope-specifics-01 26/10 Threat to BGP Policies limited-scope more specific prefix injection<br />
CGA draft-jiang-csi-cga-config-dhcpv6-01 25/10 Configuring CGA using DHCPv6<br />
CMS draft-housley-cms-content-constraints-extn-02 20/10 CMS Content Constraints Extension<br />
DHCP draft-sakane-dhc-dhcpv6-kdc-option-05 26/10 Kerberos Option for DHCPv6<br />
DNSSEC draft-ietf-dnsext-dnssec-gost-01 18/10 GOST signature algo. in DNSKEY & RRSIG RRs for DNSSEC<br />
draft-crocker-dnssec-algo-signal-04<br />
14/10 Signaling Cryptographic Algorithm Understanding in DNSSEC<br />
draft-morris-dnsop-dnssec-key-timing-01 15/10 DNSSEC Key Timing Considerations<br />
DPS draft-ljunggren-dps-framework-01 20/10 DNSSEC Signing Policy & Practice Statement Framework<br />
DSSC draft-ietf-ltans-dssc-12 30/09 DSSC<br />
DTNRG draft-irtf-dtnrg-bundle-security-09 22/10 Bundle Security Protocol Specification<br />
EAP draft-ietf-emu-chbind-04 22/10 Channel Binding Support for EAP Methods<br />
draft-ietf-hokey-key-mgm-10<br />
26/10 Distribution of EAP based keys for handover<br />
ECC draft-mcgrew-fundamental-ecc-01 26/10 Fundamental Elliptic Curve Cryptography Algorithms<br />
EMU draft-harkins-emu-eap-pwd-12 22/10 EAP Authentication Using Only A Password<br />
GEOPRIV draft-ietf-geopriv-arch-01 26/10 Architecture for Location & Location Privacy in Internet Apps.<br />
HIP draft-ietf-hip-<strong>cert</strong>-02 26/10 HIP Certificates<br />
HTTP draft-ietf-httpbis-p7-auth-08 26/10 HTTP/1.1, part 7: Authentication<br />
IPSEC draft-eronen-ipsec-ikev2-eap-auth-07 20/10 An Extension for EAP-Only Authentication in IKEv2<br />
draft-daley-mpsec-traffic-sel-ps-01<br />
25/10 Guidelines for Multiprotocol Traffic Selector Bindings in IPsec<br />
IPV6 draft-blake-ipv6-flow-label-nonce-02 26/10 Use of the IPv6 Flow Label as a Transport-Layer Nonce<br />
draft-hain-ipv6-fwrh-02<br />
25/10 IPv6 Firewall Routing Header<br />
KERB draft-ietf-krb-wg-preauth-framework-15 26/10 A Generalized Framework for Kerberos Pre-Authentication<br />
draft-ietf-krb-wg-cross-problem-statement-05 15/10 Problem statement on the cross-realm operation of Kerberos<br />
draft-ietf-krb-wg-kdc-model-06 19/10 An information model for Kerberos version 5<br />
KEYPROV draft-ietf-keyprov-symmetrickeyformat-06 20/10 Symmetric Key Package Content Type<br />
draft-ietf-keyprov-pskc-04<br />
23/10 Portable Symmetric Key Container (PSKC)<br />
MIKEY draft-seokung-msec-mikey-seed-04 29/09 IANA Registry Update for the SEED Cipher Alg. Support in MIKEY<br />
MIPSHOP draft-haddad-mipshop-netflood-defense-03 20/10 Using 'Symbiotic Relationship' to Repel Network Flooding Attack<br />
MIPV6 draft-ietf-mext-firewall-admin-02 26/10 Guidelines for firewall administrators regarding MIPv6 traffic<br />
draft-ietf-mext-firewall-vendor-02<br />
26/10 Guidelines for firewall vendors regarding MIPv6 traffic<br />
draft-patil-mext-mip6issueswithipsec-02<br />
26/10 Problems with IPsec as the security protocol for Mobile IPv6<br />
draft-korhonen-mext-mip6-altsec-02<br />
13/10 Security architecture for Mobile IPv6 using TLS<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 29/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009<br />
draft-laganier-mext-dsmipv6-ipsec-01<br />
26/10 (Dual Stack) Mobile IPv6 Implementation with unmodified IPsec<br />
MPLS draft-ietf-mpls-mpls-and-gmpls-security-…-07 25/10 Security Framework for MPLS and GMPLS Networks<br />
NAT draft-gont-behave-nat-security-03 27/10 Security implications of Network Address Translators (NATs)<br />
OPSEC draft-ietf-opsec-routing-protocols-crypto-iss…-01 19/10 Cryptographic Protection Methods for Routing Protocols<br />
P2PSIP draft-matuszewski-p2psip-security-overview-01 10/10 P2PSIP Security Overview and Risk Analysis<br />
PIM draft-ietf-pim-sm-linklocal-09 26/10 Authentication and Confidentiality in PIM-SM Link-local Messages<br />
PKIX draft-ietf-pkix-cmp-transport-protocols-07 26/10 Internet X.509 PKI -- Transport Protocols for CMP<br />
draft-ietf-pkix-ta-format-04<br />
15/10 Trust Anchor Format<br />
draft-ietf-pkix-tamp-04<br />
23/10 Trust Anchor Management Protocol (TAMP)<br />
draft-ietf-pkix-authorityclearanceconstraints-03 20/10 Clearance Attribute & Authority Clearance Constraints Cert. Ext.<br />
RADIUS draft-aboba-radext-wlan-12 25/10 RADIUS Attributes for IEEE 802 Networks<br />
draft-ietf-radext-design-09<br />
12/10 RADIUS Design Guidelines<br />
draft-ietf-radext-status-server-05<br />
12/10 Use of Status-Server Packets in the RADIUS Protocol<br />
draft-ietf-radext-tcp-transport-04<br />
12/10 RADIUS Over TCP<br />
RMT draft-ietf-rmt-sec-discussion-04 20/10 Security and Reliable Multicast Transport Protocols<br />
draft-ietf-rmt-simple-auth-for-alc-norm-02 26/10 Simple Authentication Schemes for the ALC and NORM Protocols<br />
RTP draft-ietf-avt-srtp-big-aes-02 25/10 The use of AES-192 and AES-256 in Secure RTP<br />
draft-perkins-avt-srtp-vbr-audio-02<br />
26/10 Guidelines for the use of Variable Bit Rate Audio with Secure RTP<br />
SASL draft-ietf-sasl-scram-10 12/10 Salted Challenge Response SASL and GSS-API Mechanism<br />
SEND draft-ietf-csi-hash-threat-04 15/10 SEND Hash Threat Analysis<br />
draft-ietf-csi-sndp-prob-03<br />
18/10 Securing Neighbor Discovery Proxy Problem Statement<br />
draft-ietf-csi-send-<strong>cert</strong>-01<br />
26/10 Certificate profile and <strong>cert</strong>ificate management for SEND<br />
SIDR draft-ietf-sidr-cp-07 21/10 Certificate Policy (CP) for the Resource PKI (RPKI)<br />
draft-ietf-sidr-arch-09<br />
26/10 An Infrastructure to Support Secure Internet Routing<br />
SIP draft-ietf-sip-eku-08 20/10 Using Extended Key Usage (EKU) for SIP X.509 Certificates<br />
SNMP draft-ietf-isms-dtls-tm-01 23/10 Transport Layer Security Transport Model for SNMP<br />
SRTP draft-mcgrew-srtp-ekt-06 26/10 Encrypted Key Transport for Secure RTP<br />
draft-naslund-srtp-saf-03<br />
26/10 The Use of the SRTP in Store-and-Forward Applications<br />
TCP draft-ietf-tcpm-tcp-auth-opt-08 28/10 The TCP Authentication Option<br />
draft-ietf-tcpm-tcp-ao-crypto-01<br />
28/10 Cryptographic Algorithms for TCP's Authentication Option<br />
TLS draft-housley-tls-authz-extns-09 14/10 Transport Layer Security (TLS) Authorization Extensions<br />
draft-solinas-tls-additional-prf-input-01<br />
24/10 Additional PRF Inputs for TLS<br />
draft-ietf-tls-rfc4366-bis-06<br />
26/10 Transport Layer Security (TLS) Extensions: Extension Definitions<br />
draft-ietf-tsvwg-dtls-for-sctp-02<br />
25/10 Datagram TLS for Stream Control Transmission Protocol<br />
USING draft-wallace-using-ta-constraints-01 15/10 Trust Anchor Constraints During Certification Path Processing<br />
V6OPS draft-ietf-v6ops-cpe-simple-security-08 19/10 Simple Security Capabilities in Customer Premises Equipment<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 30/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique