Veille Technologique Sécurité - cert devoteam

Veille Technologique Sécurité
Rapport Mensuel N°135
OCTOBRE 2009
Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et
publiquement accessibles: listes de diffusion, newsgroups, sites Web, ...
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la
précision ou de la qualité de l'information. Les URL associées à certains thèmes sont validées à la date de la rédaction du
document.
Dans ce numéro:
La sécurité des réseaux d’énergie
La sécurité du WiMAX
La revue de l’ENISA
La cryptographie et les problèmes complexes
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.
CONNECTING BUSINESS & T ECHNOLOGY
DEVOTEAM – BU Sécurité
Pour tous renseignements:
1, rue GALVANI Offre de veille http://www.devoteam.fr/
91300 Massy Palaiseau Informations vts-info@veille.apogee-com.fr
©DEVOTEAM Solutions - Tous droits réservés

OCTOBRE 2009
Au sommaire de ce rapport…
ACTUALITES SECURITE
NIST – UN RAPPORT SUR LES RESULTATS DU PREMIER TOUR DE LA COMPETITION SHA-3 2
CLUSIF – SECURITE DES APPLICATIONS WEB 3
ANALYSES ET COMMENTAIRES
ETUDES
LA PREUVE FORMELLE DE LA VALIDITE D’UN CODE 4
CNRS – RETOUR D’EXPERIENCE SUR ZONECENTRAL 4
CAIDA - INTERNET-SCALE IP ALIAS RESOLUTION TECHNIQUES 5
CRYPTOGRAPHIE - UN WIKI SUR LES PROBLEMES COMPLEXES 6
MAGAZINES
ENISA - QUARTERLY REVIEW 6
la résilience et le partage de l’information 7
La protection des infrastructures critiques 8
Les risques émergents et futur 8
Les compétences et les certifications 9
La sensibilisation et les problèmes de l’usager final 9
Technologies 10
METHODOLOGIES ET STANDARDS
RECOMMANDATIONS
ANSSI – CERTIFICATION CSPN DU LOGICIEL VCS-TOOAL 11
ECRYPT – ESTREAM PORTFOLIO: MISE A JOUR ANNUELLE 11
NIST - SP800-127 'GUIDE TO SECURITY FOR WIMAX TECHNOLOGIES' 12
NIST - IR7628 'SMART GRID CYBER SECURITY STRATEGY AND REQUIREMENTS' 13
ANSSI – CATALOGUE DES PRODUITS QUALIFIES – MISE A JOUR 15
STANDARDS
DRAFT-IETF-6MAN-IANA-ROUTING-HEADER-00 18
TABLEAUX DE SYNTHESE
CONFERENCES
BRUCON 2009 20
CHES 2009 20
VB2009 - GENEVA 21
RAID2009 22
HITB2009 22
SOURCE2009 - BARCELONE 23
GUIDES
NIST – ETAT DES GUIDES DE LA SERIE SPECIALE 800 24
DISA – GUIDES ET CHECK LISTES DE SECURISATION 26
MAGAZINES
ENISA - QUARTERLY REVIEW 27
INTERNET
LES DECISIONS DE L’OMPI 28
STANDARDS
IETF – LES RFC TRAITANT DIRECTEMENT DE LA SECURITE 28
IETF – LES RFC LIES A LA SECURITE 28
IETF – LES NOUVEAUX DRAFTS TRAITANT DE LA SECURITE 29
IETF – LES MISES A JOUR DE DRAFTS TRAITANT DE LA SECURITE 29
Veille Technologique Sécurité N°135
Page i
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
Le mot du rédacteur
Les mois de septembre et d’octobre auront vu fleurir les conférences consacrées aux
mille et une facettes de la sécurité des systèmes d’information. Nos lecteurs
trouveront donc en fin de rapport une liste des communications présentées dans le
cadre de six grandes conférences dont les actes sont disponibles en ligne.
Le mois d’octobre aura aussi été celui du lancement de plusieurs campagnes de
Phishing ciblant directement la population Française dont l’une, très audacieuse, prend
prétexte du remboursement d’un crédit d’impôt par le Trésor Public pour embobiner le
citoyen trop crédule. Quand l’on voit le succès des campagnes de Phishing ordinaires
prétextant d’une vérification des informations de connexion par exemple, on imagine
sans peine celui qu’aura une telle campagne s’agissant de récupérer monnaie
sonnante et trébuchante, et auprès du Trésor Public s’il vous plait! Du grand art s’il
n’était encore diverses fautes d’orthographe.
http://www.secuser.com/phishing/2009/091001-impots.htm
Deux autres campagnes de phishing similaires ont eu lieu ces derniers temps, l’une
portant sur le paiement d’un dû par les Caisses d’Allocations Familiales et l’autre
prétextant d’une erreur de prélèvement par l’opérateur Orange.
http://www.secuser.com/phishing/2009/091004-caf.htm
http://www.secuser.com/phishing/2009/090824-orange.htm
On notera enfin l’annonce de l’AFNIC informant de la suppression, le 2 novembre
prochain, de près de 1000 noms de domaine en ‘.fr’ ayant été indûment enregistrés
par la société KLTE Ltd. Cette décision vient clore un conflit vieux de quatre ans.
L’AFNIC publie sur son site la liste des noms concernés qui deviennent de fait
réenregistrables, du moins pour ceux qui respecteraient la charte de nommage.
http://www.afnic.fr/doc/ref/juridique/noms-bloques-klte
BERTRAND VELLE
Veille Technologique Sécurité N°135 Page 1/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
ACTUALITES SECURITE
NIST – UN RAPPORT SUR LES RESULTATS DU PREMIER TOUR DE LA COMPETITION SHA-3
La découverte en 2005 d’une vulnérabilité dans l’algorithme de condensation SHA-1
conduisait l’organisme de normalisation américain - le NIST - à recommander son abandon
au profit d’un autre algorithme, dit SHA-2. Ce dernier était normalisé sous la forme de quatre modes
opératoires travaillant sur différentes tailles de bloc de données: SHA-224, SHA-256, SHA-384 et SHA-
512.
En 2007, la réévaluation de la norme FIPS
180-2 ‘Secure Hash Standard’ et des 4
modes opératoires du SHA-2, confirmait son
applicabilité jusqu’en 2012, année de la
prochaine réévaluation.
Le NIST avait toutefois déjà décidé de
préparer l’avenir en engageant, dès 2006,
une campagne destinée à spécifier un
remplaçant en tenant compte des avancées
en matière de cryptographie mais aussi de
cryptanalyse.
La marge de temps dégagée par cette
décision a pu être mise à profit pour mener
une campagne de sélection et d’analyse des
algorithmes existants, ou en cours de
développement, et ceci à travers le monde.
Le NIST a retenu le principe d’une mise en
compétition de ces algorithmes, ce principe
ayant donné d’excellents résultats en 2001
dans le cadre de la sélection d’AES, le
successeur de l’algorithme normalisé de
chiffrement DES.
L’année 2007 aura été consacrée à la
spécification des conditions régissant cette
compétition dont les principes de sélection
et les critères d’évaluation. La clôture de la
période de soumission – 1 er novembre 2008
– marque le début du premier tour de la
compétition. Sur les 64 algorithmes qui ont
initialement proposés, 51 ont été étudiés,
commentés, améliorés durant les premiers
mois de l’année, pour aboutir à l’annonce,
le 24 juillet dernier, de la sélection des 14
candidats qui s’affronteront dans un second
tour.
Le rapport que vient de publier le NIST
détaille les conditions dans lesquelles s’est
déroulé ce premier tour de la compétition
en se focalisation sur les raisons ayant
conduit à retenir tel ou tel algorithme pour
le second tour.
Aucune justification n’est hélas fournie sur
le rejet des autres algorithmes hormis le fait
que certains d’entres-eux aient été, entre
temps, cassés ou ne répondaient pas aux
exigences initiales d’acceptation dont celles
d’être compatible avec les quatre tailles de
blocs du SHA-2: 224, 256, 384 et 512 bits.
Soumissions Concepteur Status
BLAKE Jean-Philippe Aumasson Retenu
BlueMidnight Wish Svein Johan Knapskog Retenu
CubeHash D. J. Bernstein Retenu
ECHO Henri Gilbert Retenu
Fugue Charanjit S. Jutla Retenu
Grøstl Lars Ramkilde Knudsen Retenu
Hamsi Ozgul Kucuk Retenu
JH Hongjun Wu Retenu
Keccak Joan Daemen Retenu
Luffa Dai Watanabe Retenu
Shabal Jean-Francois Misarsky Retenu
SHAvite-3 Orr Dunkelman Retenu
SIMD Gaetan Leurent Retenu
Skein Bruce Schneier Retenu
ARIRANG Jongin Lim Eliminé
AURORA Masahiro Fujita Eliminé
Blender Dr. Colin Bradbury Eliminé
Cheetah Dmitry Khovratovich Eliminé
CHI Phillip Hawkes Eliminé
CRUNCH Jacques Patarin Eliminé
Dynamic SHA Xu Zijie Eliminé
Dynamic SHA2 Xu Zijie Eliminé
ECOH Daniel R. L. Brown Eliminé
EDON-R Danilo Gligoroski Eliminé
EnRUPT Sean O’Neil Eliminé
ESSENCE Jason Worth Martin Eliminé
FSB Matthieu Finiasz Eliminé
LANE Sebastiann Indesteege Eliminé
Lesamnta Hirotaka Yoshida Eliminé
LUX Ivica Nikolic Eliminé
MCSSHA-3 Mikhail Maslennikov Eliminé
MD6 Ronald L. Rivest Eliminé
NaSHA Smile Markovski Eliminé
SANDstorm Rich Schroeppel Eliminé
Sarmal Kerem VARICI Eliminé
Sgàil Peter Maxwell Eliminé
Spectral Hash Cetin Kaya Koc Eliminé
SWIFFTX Daniele Micciancio Eliminé
TIB3 Daniel Penazzi Eliminé
Twister Michael Gorski Eliminé
Vortex Michael Kounavis Eliminé
Abacus Neil Sholer Cassé
BOOLE Greg Rose Cassé
DCH David A. Wilson Cassé
Khichidi-1 M Vidyasagar Cassé
MeshHash Björn Fay Cassé
SHAMATA Orhun Kara Cassé
StreamHash Michal Trojnara Cassé
Tangle Rafael Alvarez Cassé
WaMM John Washburn Cassé
Waterfall Bob Hattersley Cassé
Veille Technologique Sécurité N°135 Page 2/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
Le sommaire de ce rapport de 21 pages est le suivant:
1 Introduction
2 Evaluation Criteria and the Selection Process
2.1 Acceptance of First Round Candidates
2.2 Evaluation Criteria
2.2.1 Security
2.2.2 Cost and Performance
2.2.3 Algorithm and Implementation Characteristics
2.3 Selection of Second Round Candidates
3 Summary of Second Round Candidates
3.1 BLAKE 3.2 BLUE MIDNIGHT WISH (BMW) 3.3 CubeHash
3.4 ECHO 3.5 Fugue 3.6 Grøstl 3.7 Hamsi
3.8 JH 3.9 Keccak 3.10 Luffa
3.11 Shabal 3.12 SHAvite 3.13 SIMD
3.14 Skein
4 Conclusion and Next Steps
5 References
POUR PLUS D’INFORMATION
http://csrc.nist.gov/groups/ST/hash/sha-3/index.html
http://csrc.nist.gov/groups/ST/hash/sha-3/Round1/documents/sha3_NISTIR7620.pdf
CLUSIF – LA SECURITE DES APPLICATIONS WEB
Le CLUSIF vent de publier un nouveau dossier technique de 20 pages sur la sécurité des
applications WEB, sujet qu’il convient en effet de porter à l’attention du plus grand nombre,
et en particulier auprès des prescripteurs, et des responsables métiers lesquels ne sont pas
toujours des spécialistes des systèmes d’information.
Le sommaire de ce dossier est le suivant:
1 Introduction
2 Les technologies WEB, incontournables mais porteuses de nouveaux risques
Des technologies omniprésentes
Des environnements exposés
Des réglementations et des responsabilités
Le rôle du management
3 Sécurité des applications WEB, mythes et réalités
Mythe 1 ‘Sans demande particulière, le développeur me fournira une solution sécurisée’
Mythe 2 ‘Seuls des génies de l’informatique savent exploiter les failles des applications WEB’
Mythe 3 ‘Mon site WEB est sécurisé puisqu’il est protégé par SSL’
Mythe 4 ‘Je suis protégé contre les attaques, j’ai un Firewall’
Mythe 5 ‘Une faille sur une application interne n’est pas importante’
4 Les principales failles des applications WEB
La gestion incorrecte de l’authentification, des habilitations et du contrôle d’accès
Les failles de type ‘injection’
Les fuites d’information
5 Quelles bonnes pratiques pour mettre en œuvre une application WEB sécurisée
Formation et sensibilisation
Identification des besoins et appréciation des risques
Conception et implémentation
‘Recette’ de la sécurité
6 Vérification de la sécurité d’une application WEB
Pourquoi vérifier ?
Comment vérifier ?
Automatisation
Quand vérifier la sécurité d’une application Web
7 Prise en compte des développements externalisés
8 Références
POUR PLUS D’INFORMATION
http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2009-Securite-des-applications-Web.pdf
Veille Technologique Sécurité N°135 Page 3/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
ANALYSES ET COMMENTAIRES
ETUDES
LA PREUVE FORMELLE DE LA VALIDITE D’UN CODE
Une équipe d’universitaires australiens vient d’annoncer avoir réussi à prouver formellement
l’absence de toute erreur dans le code de seL4, un micronoyau sécurisé conçu pour être
embarqué dans des équipements nécessitant un haut niveau de sécurité et de fiabilité. Cette
avancée significative dans le domaine de la validation logicielle résulte des travaux menés par
le groupe d’étude ERTOS - Trustworthy Embedded Systems – du NICTA, le centre d’excellence pour la
recherche en informatique et télécommunication australien.
Le micronoyau seL4, objet de cette validation, est l’une des nombreuses adaptations du micronoyau L4
conçu à la fin des années 90 par un chercheur allemand. Cette nouvelle version a été conçue par le
groupe d’étude ERTOS dans l’optique de répondre aux exigences de sécurité les plus élevées des critères
communs, dont celle de la validation formelle de la conception requise au niveau EAL7. Une validation,
engagée il y a un peu moins de cinq ans dans le cadre du projet ‘L4.Verified’, qui vient de prouver sans
aucune ambiguïté que l’implémentation est conforme à la spécification donnant ainsi l’assurance que le
code est exempt de tout bogue d’implémentation: variables non initialisées, blocages, débordements de
buffers, erreurs mathématiques, et autres problèmes classiques de programmation.
Le noyau seL4 peut être considéré comme étant le premier noyau d’usage général ayant jamais été
validé, un travail de titan puisqu’il aura demandé la mobilisation de 6 personnes durant 5 ans pour vérifier
un code de 7500 lignes !
Verifying the kernel—known as the seL4 microkernel—involved mathematically proving the correctness of about
7,500 lines of computer code in an project taking an average of six people more than five years.
On imagine sans peine qu’avec une telle efficacité, la validation d’un noyau plus complexe, tel celui de
Linux - quelques 12 millions de lignes de code annoncées pour la version 2.6.31 – sera complétée bien
après que Linux ait disparu de la circulation. Le résultat est cependant de toute première importance si
l’on considère qu’il permet de disposer désormais d’une brique fondamentale (le micronoyau) pour le
fonctionnement de nombreux équipements dont la fiabilité est garantie.
Développée par le Kernel Open Labs, la version OKL4 est ainsi à même d’offrir une plate-forme de
virtualisation parfaitement adaptée au besoin des équipements mobiles et des systèmes d’exploitation
associés dont Symbian et Android. Cette version n’a pas été validée mais gageons qu’elle sera très
rapidement adaptée, le directeur technique de cette société partiellement financée par le NICTA n’étant
autre que le professeur Gernot Heiser responsable du groupe d’étude ERTOS et enseignant à
l’université de New South Wales, UNSW.
POUR PLUS D’INFORMATION
http://ertos.nicta.com.au/
http://ertos.nicta.com.au/research/l4.verified/
http://ertos.nicta.com.au/publications/papers/Klein_EHACDEEKNSTW_09.pdf
CNRS – RETOUR D’EXPERIENCE SUR ZONECENTRAL
Le numéro 5 de la revue de la Sécurité de l’Information éditée par le CNRS est entièrement
consacré au retour d’expérience de la mise en place de l’outil de protection ‘Zone Central’ de la
société Lyonnaise Prim’X Technologies sur les postes administratifs de la délégation régionale
Midi-Pyrénées du CNRS. Ce produit est inscrit dans sa version 3.1 (V4 en distribution) depuis
fin 2008 au catalogue des produits qualifiés de l’ANSSI dans la catégorie ‘Produits de protection
du poste de travail’ au niveau EAL2+ (testé structurellement) en qualification ‘standard’.
Il s’agit d’un logiciel de chiffrement multi-niveau permettant d’assurer la protection des données sur un
poste de travail Windows mais aussi l’effacement des fichiers détruits et des zones de travail du système
d’exploitation. L’expérimentation lancée il y a trois ans par le CNRS s’est déroulée en plusieurs étapes.
Une évaluation préalable a tout d’abord été conduite sur quelques postes dans l’optique de valider le
fonctionnement dans l’environnement cible et acquérir l’expérience nécessaire pour supporter les futurs
usagers. La capacité de sauvegarde, et de restitution, de fichiers chiffrés sur des serveurs puis sur des
Veille Technologique Sécurité N°135 Page 4/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
supports amovibles, DLT et DAT, a notamment été testée. Des réunions d’information ont été conduites
pour informer les usagers impactés, l’objectif étant de traiter prioritairement les postes nomades, et les
postes d’un service sensible, celui des partenariats et de la valorisation. Des moyens techniques d’appuis
ont été mis en place pour assister les utilisateurs.
L’auteur de l’article, coordinateur SSI de la délégation Midi-Pyrénées précise que le résultat de cette
expérimentation est très positif, le produit étant stable, aucune incompatibilité n’ayant été constatée avec
d’autres applications. La mise en œuvre a été notablement facilitée par la présence d’une infrastructure
de gestion de clé rodée tant sur le plan de l’organisation et de l’exploitation que sur celui de la
sensibilisation des usagers à l’usage des certificats X509. Le paramétrage s’est appuyé sur la distribution
d’une stratégie de domaine pour les postes intégrés à un Active Directory.
L’auteur fait remarquer à ce propos que le déploiement peut parfaitement être entièrement automatisé et
rendu transparent pour l’utilisateur mais qu’il est cependant souhaitable de privilégier une mise en œuvre
individuelle, ou quasi-individuelle, pour conserver un contact direct qui sera utilement mis à profit pour
sensibiliser l’usager.
POUR PLUS D’INFORMATION
http://www.sg.cnrs.fr/FSD/securite-systemes/revues-pdf/si5.pdf
https://extranet.dr14.cnrs.fr
http://www.ssi.gouv.fr/site_rubrique52_p_20_Zone_Central_v3.1.html
CAIDA - INTERNET-SCALE IP ALIAS RESOLUTION TECHNIQUES
L’association CAIDA, ‘Cooperative Association for Internet Data Analysis’, vient de
publier les résultats d’une très intéressante d’étude comparative des méthodes de
résolutions des alias d’adresses IP.
Principal sujet d’étude de cette association, la cartographie fine de l’Internet requiert de disposer d’outils
permettant de découvrir non seulement les équipements actifs mais aussi les routes établies entre ceuxci,
et plus largement entre deux quelconques systèmes connectés sur ce réseau. Les informations
échangées entres domaines autonomes de routage, ou AS, permettent d’établir une cartographie des
grands axes de circulation sans toutefois permettre d’aller plus en profondeur, chaque domaine étant libre
de définir sa politique de routage interne sans obligation aucune de la publier.
Ces topologies pourront cependant être découvertes en aveugle par l’identification de proche en proche
des équipements en relation. La technique la plus usitée consistera à transmettre plusieurs paquets IP à
l’attention d’un équipement distant situé dans le domaine étudié en augmentant à chaque envoi la valeur
de la durée de vie de ce paquet, dite TTL ou Time To Live. Exprimée en nombre de sauts, le contenu de
ce champ sera décrémenté par chacun des équipements de routage traversé, un message de notification
ICMP étant transmis à l’émetteur par l’équipement qui verra cette valeur passer à 0. Chaque équipement
prenant part à l’acheminement du paquet se révélera ainsi par l’adresse IP de l’interface par laquelle aura
été émis le message de notification.
Un travail de titan si l’on considère que les gros équipements de routage disposent de plusieurs dizaines
d’interfaces, et que pour des raisons de sécurité certains équipements n’informeront pas l’émetteur de la
fin de vie du paquet en cours de transport, ou refuseront tout simplement de retransmettre la requête si
celle-ci apparaît utiliser le format de paquet, ou le port prévu à cet effet. Des zones d’ombre apparaissent
qu’il s’agira alors de combler par d’autres méthodes de découverte. Il restera ensuite à analyser les
données brutes ainsi collectées pour déterminer la topologie réelle du réseau en identifiant notamment les
adresses gérées par un même équipement, une opération dénommée ‘IP alias resolution’ ou résolution
des alias d’adresses IP.
L’auteur du rapport, Ken Keys membre de CAIDA à l’Université Californienne de San Diego, s’est penché
sur le problème en étudiant les caractéristiques comparées des méthodes de résolution les plus
performantes à ce jour pour conclure à la nécessité d’utiliser une combinaison de quatre d’entres-elles.
Cette conclusion s’appuie sur les résultats d’une campagne de test grandeur réelle menée via
l’architecture d’analyse Archipelago (rapport N°116 – Mars 2008). Cette campagne a permis de collecter
190 millions de trace ICMP en 28 jours depuis les 26 points de surveillance de ce système, et de tester les
performances de l’outil ‘kapar’ (une adaptation de l’approche d’analyse des graphes ‘APAR’) et de l’outil
iffinder (une approche analytique basé sur l’analyse de l’adresse source de l’équipement).
Le sommaire de ce rapport d’étude de 6 pages est le suivant:
1. INTRODUCTION
2. TECHNIQUES
2.1 Common source address
2.2 Common IP ID counter: Ally
2.3 Common IP ID counter: RadarGun
2.4 DNS analysis
Veille Technologique Sécurité N°135 Page 5/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
2.5 Simple graph analysis
2.6 Graph analysis: APAR
2.7 Graph analysis: kapar
2.8 Graph analysis: DisCarte
3. EVALUATION
3.1 iffinder
3.2 kapar
3.3 iffinder and kapar
4. CONCLUSIONS
5. REFERENCES
POUR PLUS D’INFORMATION
http://www.caida.org/publications/papers/2009/alias_resolution/alias_resolution.pdf
http://www.caida.org/tools/measurement/iffinder/
CRYPTOGRAPHIE - UN WIKI SUR LES PROBLEMES COMPLEXES
Ayant vue le jour dans les années 70, et rendue publique dans les années 80, la
cryptographie dite ‘à clef publique’ tire partie de l’existence de fonctions
mathématiques très particulières autrefois appelées ‘fonctions à trappe’.
La divulgation d’une clef permettant de déchiffrer un message sans que toutefois soit implicitement dévoilée
la clef ayant permis de produire ce message chiffré suppose de disposer d’une transformation
mathématique permettant de différencier ces deux clefs tout en interdisant de déterminer l’une d’entre elles
par la seule connaissance de l’autre.
L’exemple le plus célèbre est celui du système RSA pour lequel les deux clefs sont liées par une fonction
simple, un produit modulaire, et inversible sous réserve de connaitre le facteur intervenant au modulo. La
connaissance de ce facteur suppose de pouvoir résoudre un problème a priori simple, la décomposition d’un
nombre entier en ses facteurs premiers. Il s’agit en fait d’un problème dont la complexité croit d’autant plus
rapidement que les nombres en jeu sont grands: si le produit de deux grands nombres premiers peut être
effectué en temps contraint par un calculateur, il n’en va pas de même lorsqu’il s’agit de décomposer ce
produit sans la connaissance de l’un des facteurs. C’est ici que se trouve la trappe, ou la brèche, permettant
la création d’un système unique en ce sens qu’il différencie les clefs de chiffrement et de déchiffrement en
autorisant la publication de l’une d’entres elles sans remettre en cause la sécurité du système.
Cette technique est généralisable à d’autres problèmes complexes permettant l’avènement de systèmes
cryptographiques alternatifs dont notamment le système Diffie-Hellman, qui basé sur le problème dit du
‘logarithme discret’, a précédé le système RSA basé, lui, sur le problème dit de ‘la factorisation’. Bien
des systèmes cryptographiques ont été conçus qui sont dérivés d’autres classes de problèmes complexes.
Le centre Européen d’excellence en cryptographie, eCrypt, vient de mettre en ligne sous la forme d’un Wiki,
un unique et fabuleux référentiel inventoriant les problèmes complexes utilisés en cryptographie – cinq
familles et une catégorie neutre – et les systèmes les utilisant, soit une centaine (108 exactement) de
schémas.
POUR PLUS D’INFORMATION
http://www.ecrypt.eu.org/wiki/index.php/Main_Page
MAGAZINES
ENISA - QUARTERLY REVIEW
Veille Technologique Sécurité N°135 Page 6/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
Avec ce numéro s’achève le mandat du premier directeur de l’ENISA, Andrea Pirotti, qui
laisse sa place mi-octobre à Udo Helmbrecht du BSI Allemand. Ce dernier aura la lourde
charge de transformer une agence de plus en plus remise en cause tant sur le plan de sa
localisation géographique que sur celui de sa capacité à s’imposer en tant que fédérateur.
Une évolution tellement attendue que certains n’ont pas hésité à titrer sur l’arrivée d’un allemand à la
rescousse d’une agence ‘placebo’. Un trait d’humour qui laisserait oublier la difficile situation de cette
officine créé sur le tard, chargée de stimuler les coopérations et d’aider à harmoniser les politiques
Européennes en matière de sécurité. Un défi conséquent dans un domaine éminemment politique pour
une organisation n’ayant qu’un rôle de conseil et d’accompagnement.
Dans son dernier éditorial, Andrea Pirotti dresse un rapide tableau des réalisations de l’ENISA. Il
annonce que les capacités d’accueil de l’agence seront renforcées par la construction d’un nouveau
bâtiment toujours situé en Crête, une infrastructure doublée d’une agence proche de l’aéroport d’Athènes
afin de faciliter les réunions avec les différents acteurs... Une décision qui apparaitrait surréaliste dans
toute autre organisation privée en ces temps d’économie et d’écologie.
La ligne éditoriale thématique testée avec le numéro précédent (Rapport N°132 – Juillet 2009) est
conservée, celle-ci ayant rencontré un fort succès. Dans ce nouveau numéro de la revue de l’ENISA, 6
thèmes sont donc abordés.
LA RESILIENCE ET LE PARTAGE DE L’INFORMATION
Le premier article de ce thème intitulé ‘A Resilient and Secure Internet Infrastructure: a
challenge for the futur’ propose un rapide tour d’horizon des problèmes liés aux limitations de
l’Internet que l’auteur, responsable qualité et sécurité chez ‘.SE’, considère être un système
merveilleusement bien conçu pour être rapide et extensible. Sécuriser et fiabiliser ce réseau ne peut se
concevoir sans prendre en compte le protocole IPV6 et le DNS sécurisé, un choix d’évolution
stratégique soutenu par l’ENISA et adopté par ‘.SE’, l’organisme en charge de la gestion des noms de
domaine Suédois. L’auteur rappelle que cet organisme soutient, avec Nominet (UK), NLNet Labs
(NL), SIDN (NL), SurfNET T (NL) et Kirei (SE), le projet OpenDNSSEC visant à développer un DNS
sécurisé libre.
Le second article, ‘Evaluating the reliability of the Internet infrastructure’, est proposé par deux
membres de l’autorité de régulation Lituanienne. En 2008, cette autorité a conduit une évaluation de
la fiabilité de l’infrastructure d’accès à l’Internet avec pour objectif d’identifier les risques potentiels, et
les points de faiblesse. Rappelons que les infrastructures de communication de la Lituanie, tout comme
celles de l’Estonie et plus récemment de la Géorgie, ont été l’objet d’attaques en déni de service ces
dernières années. Les auteurs de l’article présentent les principaux résultats de cette évaluation dont
l’absence de règles claires régissant les conditions d’interconnexion ou ‘peering’ des fournisseurs
d’accès locaux entre eux, et à l’international. Bien que susceptible de poser des problèmes en cas
d’incident, cette lacune aura non seulement facilité l’établissement de multiples points d’interconnexion
à travers le pays (5 nœuds d’échange) mais aussi permis de limiter le recours au transit international
renforçant indirectement la résilience de leur infrastructure. Le transit international pose par contre un
problème celui-ci étant assuré par le biais d’un unique point d’échange opéré par un seul fournisseur
de service. Un exercice d’alerte au niveau national devrait être organisé en 2010
Le thème de la résilience et du partage de l’information se termine par la présentation de trois projets
Européen d’échange d’information dans l’article ‘Three European 'Trusted Information Sharing'
Projects’:
Veille Technologique Sécurité N°135 Page 7/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
- le projet ‘NSIE’ (Network Information Security Exchange) conduit par l’ENISA et qui a donné lieu à la
publication d’un guide récapitulatif des pratiques mises en œuvre par les différents états membres,
- le projet ‘NEISAS’ (National and European Information Sharing & Alerting System) engagé par la
Commission Européenne avec l’objectif d’étendre à l’Europe le principe du point de d’information et
d’alerte, ou WARP, mis en œuvre au Royaume-Unis (Rapport N°64 – Novembre 2003).
https://www.ms3i.eu/ms3i/presentations/introduction%20to%20NEISAS.pdf
- le projet ‘MS3i’ (Messaging Standard for Sharing Security Information) lancé en 2004, financé par la
Commission Européenne et qui a abouti en juin 2009 à la publication d’un rapport sur les besoins
devant être pris en compte pour l’établissement d’une norme sur les échanges de confiance, telle la
future norme ISO 27010 ‘Information security management for inter-sector communications’.
https://www.ms3i.eu/ms3i/reports/MS3i_main_Report_v3.0.pdf
LA PROTECTION DES INFRASTRUCTURES CRITIQUES
Avec l’article intitulé ‘Public-Private
Partnership for CIIP’, Hannu Sivonen
de la ‘National Emergency Supply
Agency’ Finlandaise nous fait découvrir
l’organisation de la gestion de crise
dans ‘le pays aux dix milles lacs’. Une
organisation qui traite de toutes les
facettes de l’approvisionnement à la
fourniture des services dits ‘vitaux’
pour la survie d’une société, de la santé
à l’énergie sans oublier l’information et
donc les communications et les
systèmes d’information.
L’auteur fait remarquer à ce propos que
si la loi prévoit le financement par l’Etat
des mesures préparatoires pour les
opérateurs de télécommunication, rien
n’est prévu pour les opérateurs de
service.
La NESA finance toutefois certaines mesures conservatoires dans ce domaine. Le CERT-FI participe à
cette organisation en délivrant toutes les informations requises pour anticiper ou gérer la crise dans le
domaine des systèmes d’information. L’auteur annonce que la NESA devrait ouvrir d’ici 2010 un portail
dit ‘PPP’, dédié à l’échange d’information entres acteurs des différents secteurs d’activité. Un outil
permettant d’évaluer le niveau de maturité de l’organisation – 5 niveaux - sera mis en ligne.
Le second article intitulé ‘Interdependency between Energy and Telecommunications’ est signé
par David Sutton, en charge de la gestion de la continuité de service chez Telefonica O2 UK limited.
Il détaille les différentes options permettant d’assurer l’approvisionnement énergétique nécessaire au
bon fonctionnement des services critiques de l’infrastructure qu’il s’agisse du cœur de réseau ou de
l’accès. Si la mise en place de sources d’énergie alternatives permet de palier localement à l’absence
d’approvisionnement, il ne faudra pas oublier que les fournisseurs d’énergie sont eux aussi dépendant
des réseaux de communication qu’ils alimentent. Un bel exemple de ce que l’on appelle une étreinte
fatale, ou ‘fatal embrass’ dans le jargon.
L’auteur rappelle par ailleurs que la disparition des téléphones fixes autoalimentés sur la tension
batterie du central téléphonique au profit de téléphones alimentés par le secteur ne permet plus
d’assurer le niveau de service auquel les usages étaient habitués. Ces derniers découvrent bien
souvent à l’occasion d’une panne secteur, quand ce n’est pas suite à un problème d’accès à l’Internet,
qu’ils sont dans l’incapacité d’appeler le moindre service d’urgence.
Many domestic and commercial customers take the basic fixed line telephone service for granted and, as long as
power can be supplied to the core network and the local serving exchange, service will continue to be delivered to the
customer premises. But the telephone handset will only continue to function if it takes power from the telephone line
rather than from the local electricity supply. More needs to be done in educating customers in the constraints of
energy supply with respect to ICT in domestic and commercial premises.
Il en va de même avec la téléphonie mobile pour laquelle nombre de composants indispensables sont
soumis aux aléas d’une panne d’énergie. Il est loin le temps où l’intégralité du réseau téléphonique
commuté – RTC – pouvait fonctionner en mode dégradé en s’appuyant sur les salles d’énergie
présentes dans tous les centraux.
LES RISQUES EMERGENTS ET FUTUR
Signé par deux membres de l’ENISA et un consultant externe, l’article ‘Identification of Emerging
and Future Risks in a 2011 eHealth Scenario’ aborde la thématique des risques émergents et
Veille Technologique Sécurité N°135 Page 8/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

T
OCTOBRE 2009
futurs – EFR – par l’analyse des problèmes liés à l’utilisation des nouvelles technologies dans le secteur
de la santé. Les auteurs ont travaillé sur un scénario représentatif des nouvelles approches médicales à
l’étude, dont le diagnostic et la surveillance à distance, pour mettre en évidence des problématiques
qui n’ont pas encore été réellement identifiées, ou qui n’ont pas leur raison d’être avec les schémas
actuels. Au-delà des risques usuels liés à la sensibilité de données personnelles diffusées à des
praticiens dont le patient ne sait plus rien, à la perte de contrôle qui peut s’en suivre et au risque
d’utilisation à des fins non directement liées au traitement, les auteurs posent la question du risque
posé par la mise à disposition au patient même de donnée qu’il ne sera peut être pas toujours à même
d’interpréter correctement. Mais n’est-ce pas déjà le cas avec les dossiers ‘classiques’ qui nous sont
remis à la fin d’un examen de routine qu’il s’agisse d’une simple prise de sang, d’une radiographie ou
encore d’une échographie. Les auteurs n’abordent nullement le problème fondamental de tout
protocole de diagnostic et de traitement, celui de l’intégrité des données transmises par les sondes et
des consignes fournies en retour, ce problème n’étant semble-t-il pas dans le périmètre de l’étude.
We have to consider issues relating to security, privacy, data protection and legality, as well as social,
political and ethical ones. The risks listed here were deemed by the assessment team (ENISA, its
Stakeholder Forum and other consulted experts) to have the greatest impact with a considerable
probability of occurring. It should also be noted that the risks are highly interrelated.
Ce volet se termine par le très court article ‘Drivers of Emerging and Future Threats in ICT
Infrastructures’ qui présente le projet Européen FORWARD et les quatre facteurs identifiés comme
étant déterminants dans l’évolution des prochaines menaces:
- les nouvelles technologies,
- les nouvelles applications,
- les nouveaux modèles économiques,
- les nouvelles dynamiques sociales et le facteur humain.
LES COMPETENCES ET LES CERTIFICATIONS
Après une piqûre de rappel sur le nécessaire investissement en matière de formation à la sécurité, et la
tout aussi nécessaire mise en place d’équipes de réponse aux incidents, ou CERT, par tous les Etats
Membres, article ‘Cyber-Security Skills - The Cost of Ignorance’, l’article ‘Penetration Testing -
What's That?’ nous initie rapidement aux arcanes d’un jeu fort à la mode mais bien peu structuré, le
test d’intrusion. L’usage désormais commun utilise ce terme pour désigner une multitude d’activités
allant de la mesure du niveau de sécurité d’une architecture à l’audit de conformité d’une application
en passant par la manipulation sociale. Une confusion de plus en plus courante dans notre société
entre objectif et moyen, cause et symptôme qui, par l’usage d’un terme devenu passe-partout,
favorisera les incompréhensions entre clients et prestataires de service. Il fût un temps où ce terme
désignait de manière explicite, et non ambiguë, une mission visant à atteindre, en passant à travers les
protections mises en place, un objectif désigné dans des conditions – délais, impact sur la cible et
budget assigné - définies à partir d’une analyse de risque, les détails – ressources humaines et moyens
techniques - étant laissés à l’appréciation du spécialiste. Ainsi un même objectif pouvait être atteint
par l’utilisation et l’éventuelle combinaison de multiples approches, l’idée étant de se rapprocher au
mieux de la méthode qu’emploierait un adversaire idéalisé: manipulation sociale, attaque techniques…
Encore faut-il pouvoir exprimer les objectifs du test ce qui suppose d’avoir au préalable une bonne
connaissance de la valeur des éléments protégés – les données - par le système de sécurité. Cet article
permet aux auteurs de démontrer l’importance d’encadrer, non pas la pratique de cet exercice, mais la
validation des compétences de ceux qui le pratiquent, à savoir, théoriquement, leur capacité à se
mettre dans la peau de l’agresseur le plus au fait des méthodes d’intrusion. Au Royaume Unis, trois
programmes permettent de qualifier cette compétence, et son maintien à niveau: le programme
CHECK de la NTAIA (National Technical Authority for Information), le programme du CREST (Council
for Registered Ethical Security) et le programme TIGER opéré par la société Qbit Limited.
Le dernier article, ‘A New Qualification to Guarantee Secure Software Engineering Skills’,
présente les objectifs de l’ISSECO (International Secure Software Council), une organisation sans but
lucratif fondée il y a tout juste un an en Allemagne pour valoriser un système de certification des
compétences en développement de logiciels sûrs.
LA SENSIBILISATION ET LES PROBLEMES DE L’USAGER FINAL
Avec son article ‘End-user Security: Misused and Misunderstood?’, Steven Furnell, enseignant
de l’université de Plymouth, s’intéresse au maillon le plus faible de tout système de sécurité,
l’utilisateur du système. Les deux enquêtes menées par l’université de Plymouth en 2007, puis
récemment, ainsi que l’enquête conduite par Symantec en 2008, confirment la nécessité d’aller au-delà
de la simple sensibilisation de l’usager aux problématiques de sécurité, et ceci quand bien même les
applications et outils actuels offrent toutes les qualités nécessaires pour une acceptation et une prise
en main rapide. Un constat intéressant qui pourrait expliquer l’échec relatif de certaines campagnes de
sensibilisation lesquelles insistent sur les moyens et mécanismes de protection en oubliant peut être de
Veille Technologique Sécurité N°135 Page 9/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
commencer par le début, la nature des menaces et le bon usage des outils.
L’article ‘Human Factors in the Dependability of IP Networks’ détaille les objectifs d’un projet de
recherche menée par le gouvernement Finlandais dans l’optique d’étudier l’influence du facteur humain
sur la fiabilité des réseaux IP. Une première étude engagée en 2006 a permis de définir les méthodes
d’évaluation de la fiabilité. Cette étude s’est poursuivie par une seconde étude, IPLU-II, destinée à
affiner l’analyse de certains points dont la possibilité de définir une méthode d’évaluation utilisant de
critères de mesure hétérogènes. Une enquête a par ailleurs été menée auprès de 20 personnes
intervenant dans l’exploitation des réseaux de télécommunication Finlandais pour mieux appréhender
l’importance du facteur humain dans le maintien en condition opérationnelle d’un réseau complexe. Les
résultats de cette étude devraient être publiés sur la page d’accueil de projet dans le courant du mois
d’octobre.
TECHNOLOGIES
Deux articles nous sont proposés au titre de ce thème somme toute assez vaste.
Le premier article, ‘A Secure Approach for Embedded Systems in Japan’, est rédigé par trois
membres de l’IT Security Center – ISEC – de l’agence japonaise pour la promotion des technologies de
l’information ou IPA. Il aborde un sujet d’importance, celui des méthodologies applicables à la
sécurisation des systèmes enfouis – traduction du terme anglo-saxon ‘embedded’ – qu’il s’agisse des
calculateurs embarqués dans nos véhicules ou des équipements ménagers. Les auteurs ont établi une
base méthodologique constituée de principes simples applicables aux quinze étapes clefs dans le cycle
de vie de ces systèmes:
A. Management
1. Security Rule
2. Security Education
3. Security Information Gathering
B. Planning
4. Budget
C. Development
5. Design
6. Adoption of the Development Platform
7. Software Implementation
8. Approach for Outsourcing Development
9. Security Evaluation Test and Debug
10. User’s Guide
11. Factory Production Control
D. Operation
12. Handling of Security Problems
13. Method of Advising Users and Countermeasures
14. Practical Use of Vulnerability Information
E. Disposal
15. Announce the Method of Equipment Disposal
On pourra s’étonner du principe associé à l’étape 7 (choix et de la mise en place de l’environnement de
développement) qui suggère d’utiliser des logiciels protégés contre les intrusions pour limiter la
divulgation des vulnérabilités sauf à considérer que l’ensemble des autres principes aura conduit à
limiter ces vulnérabilités au maximum. Et force est de constater que bien des vulnérabilités résiduelles
sont mises au jour, et rendues exploitables, par l’absence de mécanismes de protection contre la rétroanalyse
du code, et la présence de moyens d’accès non câblés mais actifs tels liaisons séries et
interfaces de débogage JTAG. Ce n’est pas faire l’apologie de la sécurité par l’obscurité que de
suggérer utiliser des logiciels protégés et de mettre en place des mécanismes de protection
périphériques.
Le second article, intitulé ‘tNAC - trusted Network Access Control’, nous présente le projet tNAC,
engagé en 2008, qui vise à mettre à disposition une solution de contrôle d’accès réseau fiable
s’appuyant sur les spécifications dites TNC (Federated Trusted Network Connect) établies par le
célèbre Trusting Computing Group. Ce projet, conduit par un consortium d’universités et de sociétés
allemandes s’appuiera sur les développements déjà engagés par l’université d’Hanovre (projet
TNC@FHH) et sur la plateforme sécurisée Turaya réalisée dans le cadre d’un projet européen passé,
le projet EMSCB (European Multilaterally Secure Computing Base). Un projet dont il conviendra de
suivre l’avancement au regard des besoins croissants en matière de contrôle d’accès réseau, et du taux
de présence du module TPM dans les parcs informatiques actuels.
POUR PLUS D’INFORMATION
http://www.enisa.europa.eu/publications/eqr/issues/eqr-q3-2009-vol.-5-no.-3/at_download/issue
Veille Technologique Sécurité N°135 Page 10/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
METHODOLOGIES ET STANDARDS
RECOMMANDATIONS
ANSSI – CERTIFICATION CSPN DU LOGICIEL VCS-TOOAL
L’ANSSI vient d’annoncer la certification CSPN de la version 1.1 du logiciel VCS-TOOAL édité par
la société Mediscs. Il s’agit d’une application portable embarquée sur un mini CD permettant
d’automatiser l’accès à un site Internet sécurisé. Toutes les opérations requises (installation du
certificat, lancement de la navigation, authentification et effacement du certificat) sont rendues
transparentes à l’usager.
Rappelons que la procédure dite de ‘Certification de Sécurité de Premier Niveau’, ou CSPN, permet
d’obtenir un label au terme d’une expertise moins formelle que celle des Critères Communs, ou CC, et
dont la charge est limitée à 25 homme.jour. La présentation de la CSPN précise ainsi que les travaux
d’évaluation ont pour objectifs:
- de vérifier que le produit est conforme à ses spécifications de sécurité,
- de coter les mécanismes de façon théorique, de recenser les vulnérabilités connues de produits de sa catégorie,
- de soumettre le produit à des tests visant à contourner ses fonctions de sécurité.
Cinq produits sont désormais certifiés CSPN:
Produit Cat Date Commanditaire CESTI Vers. actuelle
VSC-TOOAL v1.1 6 15/10/09 Mediscs AQL
Netfilter Linux v2.6.27 - IPtables v1.4.2 3 31/08/09 SGDN OPPIDA v1.4.5
TrueCrypt V6.0a 9 01/12/08 SGDN SOGETI v6.2a
Blancco Data Cleaner+ V4.8 4 12/11/08 Blancco France AMOSSYS v4.9
TRANGO Hypervisor V1.5.61 / OMAP 2430 11 11/09/08 Trango Virtual Proc. AQL Acquis VMwAre
Catégories : 1- détection d’intrusions 2- anti-virus, protection malware 3- firewall
4- effacement de données 5- administration, supervision 6- identification, authent., contrôle accès
7- communication sécurisée 8- messagerie sécurisée 9- stockage sécurisé
10- matériel et logiciel embarqué 11- Autre
POUR PLUS D’INFORMATION
http://www.ssi.gouv.fr/site_article136.html
- Annonce de la certification
http://www.ssi.gouv.fr/site_rubrique54.html
- Catalogue CSPN
ECRYPT – ESTREAM PORTFOLIO: MISE A JOUR ANNUELLE
Le réseau d’excellence Européen ‘eCrypt II’ vient de publier la mise à jour annuelle de son
portefeuille d’algorithmes de chiffrement.
En avril 2008, le projet eSTREAM coordonné par le réseau d’excellence établissait une liste d’algorithmes
de chiffrement symétrique prometteurs, et par conséquent susceptibles d’être un jour standardisés dans
une implémentation purement logicielle (profil N°1) ou matérielle (profil N°2).
Profil N°1 - Logiciel
Profil N°2 - Matériel
HC-128
Grain v1
Rabbit
Mickey v2
Salsa20/12 Trivium
Sosemanuk F-FCSR-H
Cette liste est régulièrement révisée pour tenir compte des avancées dans le domaine de la cryptanalyse.
Ainsi, en septembre 2008, l’un des algorithmes du second profil était retiré de la liste après l’annonce
d’une cryptanalyse réussi contre celui-ci.
Aucun résultat n’a été publié depuis qui puisse remettre en cause la liste établie malgré de nouvelles
analyses tierce de la majorité des candidats des deux profils. L’algorithme ‘Rabbit’, le seul algorithme
ayant été breveté, a été passé dans le domaine public et peut désormais être librement utilisé. La
dernière version de l’implémentation CyaSSL, une pile SSL embarquable, intègre ainsi cet algorithme
ainsi que l’algorithme ‘HC-128’.
Le sommaire de cette note de 10 pages est le suivant:
1 The eSTREAM Portfolio 2009 Annual Update
Veille Technologique Sécurité N°135 Page 11/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
1.1 Introduction
1.2 Cryptanalytic Results
1.3 Implementation Results
1.4 Other Developments
POUR PLUS D’INFORMATION
http://www.ecrypt.eu.org/documents/D.SYM.3-v1.1.pdf
http://en.wikipedia.org/wiki/ESTREAM
http://www.yassl.com/
- Mise à jour
- Tout sur eStream
- Les piles yaSSL et CyaSSL
NIST - SP800-127 'GUIDE TO SECURITY FOR WIMAX TECHNOLOGIES'
Le guide SP800-127 ‘Guide to Security for WiMAX technologies’ a été publié le mois
dernier pour relecture et commentaires.
Le WiMAX (IEEE802-16) est de ces technologies qui évoluent constamment sans jamais avoir réellement
fait l’objet d’un déploiement à grande échelle dans l’une ou l’autre des versions normalisées
contrairement à la technologie WiFI (IEEE802-11) implémentée dans toutes ses déclinaisons. Et de fait,
en moins de 10 ans, cette technologie aura subi une mutation l’amenant à finalement concurrencer les
systèmes de communication dits ‘cellulaires’ quand elle n’était à l’origine qu’une version moderne des
faisceaux hertziens. Nous passerons sous silence les problèmes corolaires dont ceux liés à l’étendue de la
gamme des fréquences utilisables, de 2 à 66Ghz.
Le guide de sécurisation pour les
technologies WiMAX, qui bien d’être publié
par le NIST pour relecture sous la référence
SP800-127, rappelle dès l’introduction la
relative complexité de ce standard conçu à
l’origine pour fournir une connectivité
numérique de type point à point (1999) puis
point à multipoints (2001) à des stations
fixes pour finalement s’orienter vers une
logique de fourniture d’accès haut débit à
des équipements mobiles (2005). Nous
recommandons ainsi, si ce n’est la lecture
de l’intégralité du document, a minima celle
du paragraphe §2.3 ‘Evolution of the IEEE
802.16 standard’ particulièrement instructif.
Ce guide de sécurisation ne traite que des
menaces directement liées au support de
transmission utilisé, lequel est par sa nature
particulièrement sensible à toutes sortes d’attaques, du déni de service à l’interception du signal, voire
des données. Il passe ainsi en revue les mécanismes de protection prévus par le normalisateur en
Veille Technologique Sécurité N°135 Page 12/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
insistant toutefois sur l’existence de vulnérabilités résiduelles inhérentes à la technologie dont, en
particulier, la sensibilité au brouillage et aux interférences. Ceci est particulièrement vrai quand la station
de base est dans la ligne de vue directe – LOS ou Line Of Sight – d’un agresseur potentiel. Rappelons que
les puissances d’émission ici exploitables au regard des obligations légales restent relativement faibles, 5
watts en puissance isotrope rayonnée équivalente (donc au niveau de l’aérien), au regard de la puissance
accessible à un agresseur déterminé à atteindre à la qualité de service offerte.
Le sommaire de ce guide de 46 pages est le suivant:
1. Introduction
2. Overview of WiMAX Technology
2.1 Fundamental WiMAX Concepts
2.2 Operating Topologies
2.2.1 Point-to-Point (P2P)
2.2.2 Point-to-Multipoint (PMP)
2.2.3 Multi-Hop Relay
2.2.4 Mobile
2.3 Evolution of the IEEE 802.16 Standard
3. WiMAX Security Features
3.1 Security Associations
3.2 Authentication and Authorization
3.2.1 IEEE 802.16-2004 Authentication and Authorization
3.2.2 IEEE 802.16e-2005 and 802.16-2009 Authentication and Authorization
3.3 Encryption Key Establishment
3.4 Data Confidentiality
3.5 IEEE 802.16j-2009 Multi-Hop Relay Security Architecture
4. WiMAX Vulnerabilities, Threats, and Countermeasures
4.1 Vulnerabilities
4.2 Threats
4.3 Countermeasures
4.3.1 Management Countermeasures
4.3.2 Operational Countermeasures
4.3.3 Technical Countermeasures
4.4 Vulnerabilities, Threats, and Countermeasures Summary Table
POUR PLUS D’INFORMATION
http://csrc.nist.gov/publications/drafts/800-127/draft-sp800-127.pdf
NIST - IR7628 'SMART GRID CYBER SECURITY STRATEGY AND REQUIREMENTS'
Le NIST vient de publier le document IR-7628 ‘Smart Grid Cyber Security Strategy And
Requirements’ pour relecture et commentaire.
Ce document résulte du travail d’un groupe de réflexion constitué par le NIST pour traiter la
problématique de la sécurisation des systèmes existants, et futurs, de gestion et de distribution de
l’énergie électrique, systèmes ici désignés par le terme de Smart Grid, ou Grille Intelligente. Comme
dans bien d’autres domaines, le secteur de la distribution électrique a très fortement bénéficié de l’apport
de l’informatisation dans toutes ses activités, qu’il s’agisse de l’optimisation de l’acheminement sur les
réseaux de grand transport et d’interconnexion, de la gestion de la répartition vers les centres de
distribution ou encore de la gestion des besoins et de la consommation du client final. Les technologies
numériques sont désormais omniprésentes quand il y a moins de trente ans, la conduite et la surveillance
étaient encore opérées à la main par des équipes spécialisées, éventuellement secondées par quelques
calculateurs eux-mêmes interconnectés par des liaisons spécialisées. Les tableaux bardés d’indicateurs
analogiques des centres de dispatching d’alors ont désormais laissé place à des murs d’écrans sur
lesquels défilent en temps réel toutes les données requises pour assurer la bonne régulation technique,
mais aussi économique, de réseaux électriques interconnectés à l’échelle d’un continent.
Cette mutation ne peut qu’aller en se poursuivant pour intégrer à cette intelligence globale de la gestion
les deux extrémités de la chaîne: les fournisseurs d’énergie et les consommateurs, ces derniers pouvant
d’ailleurs maintenant prétendre appartenir aux deux catégories. Les systèmes de gestion associés
permettront d’optimiser le routage et la distribution de l’énergie électrique en fonction de l’offre, de la
demande mais aussi d’une multitude d’autres critères déterminés en temps réel, comme cela est déjà le
cas dans les réseaux numériques sur lesquels ces systèmes s’appuient.
La prédominance de l’informatique, et des technologies numériques, dans le transport et la distribution
impose d’intégrer les risques spécifiques à ces technologies avec un niveau de priorité d’autant plus
important que l’usage va désormais à l’intégration de technologies communes disponibles sur étagères, et
à l’utilisation de réseaux non spécialisés s’appuyant bien souvent sur l’Internet. La sécurité est ici, encore
plus qu’ailleurs, un tout, et doit à ce titre être directement intégrée dans l’architecture de ces systèmes.
Veille Technologique Sécurité N°135 Page 13/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
Modèle d’échange d’informations au sein d’une grille intelligente établi par le NIST
Le plan de modernisation du réseau américain établi par département de l’énergie – DoE – impose la
prise en compte des risques liés à la composante informatique dans l’objectif de garantir la mise en place
d’une infrastructure de fourniture d’énergie résiliente. Ces risques, et la stratégie de protection optimale,
ont été étudiés par un groupe ad hoc dit ‘Smart Grid Cyber Security Coordination Task Group’ piloté
par le NIST et constitué de plus de 200 volontaires provenant des secteurs privés et public, de
l’enseignement et de la recherche.
Les premiers résultats des travaux de ce groupe viennent d’être publiés dans le rapport IR-7628 ‘Smart
Grid Cyber Security Strategy and Requirements’: un modèle d’une grille intelligente a été établi qui
met en évidence les acteurs et les flux d’échange d’informations. Quinze catégories ont été définies qui
permettent de classifier les composants d’une grille: système back office, système temps réel à forte
contrainte, système B2B… Les exigences DIC – Disponibilité, Intégrité et Confidentialité – applicables à
ces catégories ont ensuite été spécifiées. Les interfaces logiques entre les différents acteurs sont enfin
inventoriées pour les six domaines fonctionnels considérés comme prioritaires: mesures (AMI), gestion
(DGM), accès (DR), requêtes (I2G), stockage (ES) et transport (ET). Chacune de ces interfaces peut
alors être associée à l’une des quinze catégories.
Identification des interfaces de mesure (AMI) Identification des interfaces de gestion (DGM)
Veille Technologique Sécurité N°135 Page 14/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
A ce niveau d’avancement des réflexions, les résultats publiés sont certes intéressants mais encore
difficilement exploitables. L’annexe B, ‘Crosswalk Of Cyber Security Documents’, propose un tableau
de synthèse mettant en regard les exigences issues de différents documents normatifs américains dont
les guides NIST SP800-82 'Guide to Industrial Control Systems (ICS) Security' , NIST SP800-53r3
'Recommended Security Controls for Federal Information Systems', les recommancations NERC CIP ou
encore la norme ANSI ISA 99-2.
Le sommaire de ce rapport de 236 pages est le suivant:
1 Cyber Security Risk Management Framework And Strategy
1.1 Overview
1.2 Cyber Security and the Electric Sector
1.3 Scope, Risks, and Definitions
1.4 Smart Grid Cyber Security Strategy
1.5 Time Line and Deliverables
2 Privacy And The Smart Grid
2.1 High-Level Smart Grid Consumer-to-Utility Privacy Impact Assessment (PIA) Report
2.2 Summary of PIA Findings
2.3 Purpose of a High-Level PIA
2.4 NIST Smart Grid Description
2.5 Privacy Principles and Relationship to the Smart Grid
2.6 Compliance
3 Logical Interface Analysis
3.1 Categorization of the Logical Interfaces
3.2 Impact Levels
3.3 Logical Interface Category Definitions
3.4 Advanced Metering Infrastructure Categorization of Interfaces
3.5 Distributed Grid Management Categorization of Interfaces
3.6 Demand Response Categorization of Interfaces
3.7 I2G Demand Response Categorization of Interfaces
3.8 Electric Storage Categorization of Interfaces
3.9 Electric Transportation Categorization of Interfaces
3.10 Wide-Area Situational Awareness Categorization of Interfaces
3.11 All Interfaces by Category
4 AMI Security Requirements
4.1 AMI Recommended Requirements
DHS-2.8 System and Communication Protection
DHS-2.9 Information and Document Management
DHS-2.10 System Development and Maintenance
DHS-2.12 Incident Response
DHS-2.14 System and Information Integrity
DHS-2.15 Access Control
DHS-2.16 Audit and Accountability 11
Appendix A: Key Power System Use Cases For Security Requirements
Appendix B: Crosswalk Of Cyber Security Documents
Appendix C: NIST CSCTG Vulnerability Classes
Appendix D: Bottom Up Security Analysis Of The Smart Grid
Appendix E: Membership Lists
Appendix F: Acronyms
Hasard de l’actualité mais aussi éclatante démonstration de la criticité de ces infrastructures, le système
de gestion du réseau de distribution électrique opéré en Australie par Integral Energy a été atteint par
un virus. Celui-ci a infecté plus de 1000 systèmes Windows y compris certains des systèmes des salles de
contrôle a priori et fort heureusement sans grandes conséquences sur la distribution.
POUR PLUS D’INFORMATION
http://csrc.nist.gov/publications/drafts/nistir-7628/draft-nistir-7628.pdf
http://www.upi.com/Energy_Resources/2009/10/02/Computer-virus-in-Australian-power-grid/UPI-65111254514968/
ANSSI – CATALOGUE DES PRODUITS QUALIFIES – MISE A JOUR
La création de l’ANSSI, qui se substitue à la DCSSI, a donné lieu à un profond remaniement du
site WEB, lequel nous apparaît être bien plus accessible. Le catalogue des produits qualifiés est
ainsi désormais présenté sur une unique page rendant sa lecture, et l’identification des nouveaux
produits, plus aisées notamment par la mention désormais systématique du numéro de version
des produits. Notre tableau de synthèse pourrait bien à terme devenir inutile !
Veille Technologique Sécurité N°135 Page 15/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
Ce catalogue a été mis à jour à l’occasion de sa refonte. Les produits ID One ePass de la société
Oberthur Technologies entrent au catalogue dans la catégorie ‘Titres d’identité électroniques’ avec une
certification EAL4+ et une qualification ‘renforcée’. Les autres produits déjà certifiés dans cette catégorie
(Gemalto eTravel et SAGEM Morpho) passent aussi à la qualification ‘renforcée’.
Editeur Produit Certification Qualification Cat.
ARKOON Fast Firewall v3.0/11 EAL2+ 11/04 Standard 12/04 3
Security Crypto Box v6.0 EAL4+ élevé 05/04 Standard 07/04 5 & 6
BULL Trustway PCI EAL4+ élevé 11/04 Standard 01/05 6 & 7
TrustWay VPN v3.01.06 EAL2+ 09/04 Standard 09/04 2
TrustWay VPN Line EAL2+ 04/09 Standard 04/09 2
CdC Fast Signature v1.1 EAL2+ 12/08 Standard 12/08 7
DICTAO Adsignerweb v3.1.800 EAL3+ 04/06 Standard 05/06 7
Validation Server v4.0.6 EAL3+ 09/07 Standard 09/07 7
Digimedia Scrutalys EAL3+ visé - En cours - 7
ERCOM SecPhone EAL2+ 12/05 Standard 12/05 6 & 9
Exaprotect ExaProtect Sec. Manag. V2.7.3.5 EAL2+ 11/08 Standard 12/08 1
FT Applatoo EAL2+ 04/05 Standard 05/05 7
GEMALTO ePassport Sealys v1.1 EAL4+ 12/08 Renforcé 08/09 8 M
eTravel EAC v1.0 EAL4+ 12/08 Renforcé 08/09 8 M
Keynectis Sequoia EAL4+ visé - En cours - 4
NETASQ NETASQ IPS v5 EAL2+ 03/05 Standard 03/05 2 & 3
IPS Firewall 8.0.1.1 EAL3+ 07/09 Standard 03/05 2 & 3
Oberthur Tec. ID One ePASS v2.1 EAL4+ 08/09 Renforcé 07/09 8 N
ID One ePass 64 v2.0 EAL4+ 05/08 Renforcé 08/09 8 N
PrimX ZoneCentral v3.1 EAL2+ 12/08 Standard 12/08 5
ZED! EAL3+ visé - En cours - 5
SAGEM Carte Morpho-Citiz32 sur Atmel EAL4+ Standard 02/08 6
Carte Morpho-Citiz32 sur NXP EAL4+ Standard 02/08 6
Morpho ePass V3 EAL4+ 07/08 Renforcé 08/09 8 M
Morpho ePass V1.1.0 EAL4+ 07/09 Renforcé 09/09 8 N
Veille Technologique Sécurité N°135 Page 16/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
Smart Quantum SQDefender EAL3+ visé 09/08 En cours - 10
THALES Mistral v4.5.2.2 EAL3+ 05/05 Standard 06/05 2
Mistral 2 v4.6.1 EAL3+ 03/08 Standard 03/08 2
Mistral 3 v4.6.2 EAL3+ 07/08 Standard 09/08 2
Catégories : 1- Administration de la sécurité 4- IGC 7- Signatures et Preuves
2- Chiffrement IP 5- Protection du Poste de Travail 8- Titres d’identité électroniques
3- Firewall 6- Ressources Cryptographiques 9- Voix sécurisée
10- Chiffrement de liens
L’hyperviseur ‘PolyXene’ développé par Bertin Technologies dans le cadre d’un contrat avec la DGA
(devenue Direction Générale de l’Armement) n’apparaît pas au catalogue. Celui-ci a été certifié dans sa
version 1.1 au niveau EAL5+ fin septembre. Pour mémoire, ce niveau d’assurance requiert que la cible de
sécurité évaluée ait été conçue de façon semi-formelle.
POUR PLUS D’INFORMATION
http://www.ssi.gouv.fr/site_rubrique52.html
http://www.ssi.gouv.fr/site_article125.html
- Catalogue
- Polyxene
Veille Technologique Sécurité N°135 Page 17/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
STANDARDS
DRAFT-IETF-6MAN-IANA-ROUTING-HEADER-00
Cette proposition de standard est probablement la plus courte que nous ayons eu à commenter avec
seulement 2 pages, introduction et références documentaires comprises. Elle vient en complément du
RFC2460 ‘Internet Protocol, Version 6’ pour préciser que l’allocation des valeurs pouvant être
transportées dans le champ ‘Routing Type’ présent dans l’extension de routage du protocole IPV6 se
fera sous la responsabilité du IANA.
Cette extension est définie en page 11 du RFC2640
comme offrant un moyen pour la source de lister un
ou plusieurs nœuds intermédiaires qui devront être
traversés par les paquets avant d’arriver à
destination. Le champ ‘Routing Header’ permet de
spécifier une variante du mode original, dit ’type 0’.
La proposition d’amendement indique qu’à ce jour deux types alternatifs ont été réservés (types 253 et
254) pour des expérimentations par le RFC4727 ‘Experimental Values in IPv4, IPv6, ICMPv4,
ICMPv6, UDP, and TCP Headers’.
La publication de cet addenda est l’occasion de rappeler l’imminence de l’épuisement des blocs d’adresses
du protocole IP V4, les analyses les plus raisonnables fixant cette échéance au début de l’année 2011.
Certains spécialistes considèrent que cette ressource devenue rare pourrait très bien faire l’objet d’un
marché spécialisé d’achat et de revente d’adresses. Pour éviter d’en arriver à ces extrémités, la mise en
place d’un plan de migration, ou à minima d’analyse d’impact, doit être inscrit dans la liste des actions
devant être prioritairement menées sur l’année 2010.
La très intéressante présentation ‘Transition to IPv6 on the Internet: Threats and Mitigation
Techniques’ d’Eric Vyncke (Cisco) effectuée dans le cadre de la conférence BRUCON09 permet de mieux
appréhender les enjeux et les difficultés à venir. Le support de présentation contient notamment une mise
en image de l’évolution des allocations IP V4, et donc de la raréfaction des adresses libres depuis janvier
2000. L’allocation des blocs d’adresses à une période données y est présentée par une carte prenant la
forme d’un tableau de 256 cases (16 colonnes par 16 rangées) correspondant aux 256 premiers octets
d’une adresse IP.
Ces cases sont organisées selon une astucieuse convention proposée par Randall Munroe en 2006
permettant de représenter l’allocation géographique et le ‘poids’ de chaque bloc. Ce poids n’est en effet
pas identique pour chaque bloc, le plan d’adressage IP V4 définissant historiquement cinq classes:
- classe A constituée de 128 réseaux d’un peu plus de 16 millions d’adresses,
- classe B constituée de 16284 réseaux de 65536 adresses,
- classe C constituée d’un peu plus de 2 millions de réseaux de 256 adresses,
Veille Technologique Sécurité N°135 Page 18/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
- classe D réservée aux groupes de multicast (en violet dans les tableaux),
- classe E réservée à l’expérimentation.
Nos lecteurs intéressés par la lecture de ce support au format PDF devront s’armer de patience, le
chargement des pages présentant cette évolution prenant un temps certain pour ne pas dire un certain
temps. Nous nous sommes en conséquence autorisés à extraire les 13 cartes pour les présenter sur une
seule page, et par colonne afin de mettre en évidence la disparition inexorable des blocs libres.
Janvier 2000 Janvier 2004 Janvier 2008
Janvier 2001 Janvier 2005 Janvier 2009
Janvier 2002 janvier 2006 aujourd’hui
Janvier 2003 Janvier 2007 Janvier 2010
Janvier 2011
Le sommaire de guide de 2 pages est le suivant:
1. Introduction
2. IANA Considerations
3. Security Considerations
4. References
Appendix A. Changes from RFC2460
POUR PLUS D’INFORMATION
ftp://ftp.nordu.net/internet-drafts/draft-ietf-6man-iana-routing-header-00.txt
Veille Technologique Sécurité N°135 Page 19/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
TABLEAUX DE SYNTHESE
CONFERENCES
BRUCON 2009
L’édition 2009 de la conférence BRUCON, consacrée à la sécurité et au hacking, s’est tenue
les 18 et 19 septembre à Bruxelles. Les actes de cette édition sont désormais disponibles en
ligne.
Dispelling the myths and discussing the facts Global Cyber-Warfare
A new web attack vector: Script Fragmentation
All Your Packets Are Belong to Us - Attacking Backbone Technologies
Update on the Belgian Information Security Initiative (part1 & part2)
Botnets, Ransomware, Malware, and Stuff!
Building Hackerspaces Everywhere
How to prepare, coordinate and conduct a cyber attack
Introducing the National CERT.be
Knowing Me Knowing You (The dangers of social networks)
Malicious Markup - I thought you were my friend - cycle 3
Open Source Information Gathering
Rage Against The Kiosk
Red and Tiger Team
Social engineering for penetration testers
SQL Injection - how far does the rabbit hole go?
The Belgian Beer Lovers Guide to Cloud Security
Transition to IPv6 on the Internet: Threats and Mitigation Techniques
Trusted Cryptography
POUR PLUS D’INFORMATION
http://www.brucon.org/index.php/Presentations
J.E.Street
S.Chenette
D.Mende, R.Klose
JL.Allard, A.De Greve
J.Wolf
Astera
E.Filiol
L.Ferette
B.Honan
M.Heiderich
C.Gates
P.J.Craig
C.Nickerson
S.Conheady
J.Clarke
C.Balding
E.Vyncke
V.Rijmen
CHES 2009
La conférence CHES 2009 – ‘Cryptographic Hardware and Embedded Systems’ – a eu lieu les
7, 8 et 9 septembre dernier à Lausanne. Les communications – pour la plupart très techniques -
sont désormais accessibles en ligne sur le site. Nous recommandons cependant la lecture des
deux communications suivantes: 'An Efficient Method for Random Delay Generation in Embedded
Software' de Jean-Sébastien Coron et Ilya Kizhvatov qui détaille une astucieuse approche permettant de
masquer certaines spécificités observables dans l’exécution d’une séquence par l’insertion de délais
aléatoires et ‘The state-of-the-art in Semiconductor Reverse Engineering at Chipworks’, par Randy
Torrance, qui démontre que l’enfouissement de fonctionnalités dans les équipements, et plus précisément
dans le silicium ne permet plus d’assurer la protection ou la confidentialité de ces fonctionnalités.
Nos lecteurs les plus courageux pourront continuer par la lecture de l’intéressante communication ‘A
Design Methodology for a DPA-Resistant Cryptographic LSI with RSL Techniques’ proposée par
une équipe de chercheurs de Mishubishi Electric qui proposent de remplacer la logique classique d’un
circuit à large intégration par une logique à ‘basculement aléatoire’, Random Switching Logic ou RSL,
laquelle offre une meilleur résistance aux attaques par analyse de la consommation ou attaques ‘DPA’.
Invited Talks
Crypto Engineering: Some History and Some Case Studies
The State-of-the-Art in IC Reverse Engineering
Unclonable Functions and Secure Processors
Benchmarking of Cryptographic Hardware
Benchmarking of Cryptographic Hardware
ECRYPT Benchmarking of Cryptographic Systems
Post Layout Results are Required
Reproducing and benchmarking FPGA designs
DPA Contest
C.Paar
R.Torrance
S.Devadas
K.Gaj
DJ. Bernstein
FK.Gürkaynak
S.Drimer
Veille Technologique Sécurité N°135 Page 20/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
-
DPA Contest 2008 - 2009, Less than 50 traces allow to recover the key
Overview of the 2008-2009 'DPA contest'
Hardware Trojan and Trusted ICs
Lightweight Hardware Trojans through Side-Channel Engineering
MERO: A Statistical Approach for Hardware Trojan Detection
New Ciphers and Efficient Implementations
Elliptic Curve Point Scalar Multiplication Combining Yao's Algorithm and Double Bases
KATAN & KTANTAN - A Family of Small and Efficient Hardware-Oriented Block Ciphers
Runtime Programmable and Parallel ECC Coprocessor Architecture
Pairing-Based Cryptography
Designing an ASIP for Cryptographic Pairings over Barreto-Naehrig Curves
Faster Fp-arithmetic for Cryptographic Pairings on Barreto-Naehrig Curves
Hardware Accelerator for Tate Pairing in Char. 3 Based on Karatsuba-Ofman Multipliers
Side Channel Analysis of Secret Key Cryptosystems
A New Side-Channel Attack on RSA Prime Generation
Algebraic Side-Channel Attacks on the AES: Why Time also Matters in DPA
Differential Cluster Analysis
First-Order Side-Channel Attacks on the Permutation Tables Countermeasure
Known-Plaintext-Only Attack on RSA-CRT with Montgomery Multiplication
Practical Electromagnetic Template Attack on HMAC
Side Channel and Fault Analysis, Countermeasures
A Design Flow and Evaluation Framework for DPA-resistant Instruction Set Extensions
A Design Methodology for a DPA-Resistant Cryptographic LSI with RSL Techniques
An Efficient Method for Random Delay Generation in Embedded Software
Differential Fault Analysis on DES Middle Rounds
Fault Attacks on RSA Signatures with Partially Unknown Messages
Higher-order Masking and Shuffling for Software Implementations of Block Ciphers
Software Implementations
Accelerating AES with Vector Permute Instructions
Faster and Timing-Attack Resistant AES-GCM
Implementation of Multivariate PKCs on Modern x86 CPUs
MicroEliece: McEliece for Embedded Devices
Theoretical Aspects
Mutual Information Analysis: How, When and Why?
On Tamper-Resistance from a Theoretical Viewpoint
TRNGs and Device Identification
CDs Have Fingerprints Too
Low-Overhead Implementation of a Soft-Decision Helper Data Algorithm for SRAM PUFs
The Frequency Injection Attack on Ring-Oscillator-Based TRNG
POUR PLUS D’INFORMATION
http://www.chesworkshop.org/ches2009/program2009.html
C.Clavier
S.Guilley & all
L.Lin & all
RS.Chakraborty & all
N.Méloni, A.Hasan
C.De Cannière & all
P.Schaumont & all
D. Kammler & all
J.Fan & all
J.L.Beuchat & all
T.Finke & all
M.Renauld & all
L.Batina & all
E.Prouff, R.McEvoy
M.Hlaváč
P.A.Fouque & all
D.Regazzoni & all
M.Saeki & all
J.S.Coron, Kizhvatov
M.Rivain
JS.Coron & all
M.Rivain & all
M.Hamburg
E.Käsper, P.Schwabe
A.Inn-Tung & all
T.Eisenbarth & all
Veyrat-Charvillon & all
P.Mateus, S.Vaudenay
Hammouri & all
R.Maes & all
AT.Markettos & all
VB2009 - GENEVA
L’édition 2009 de la conférence ‘Virus Bulletin’, consacrée aux codes malveillants et aux
moyens de défense et de lutte contre ces nuisances, s’est tenue du 23 au 25 septembre
dernier à Genève.
Présentations Sociétales
Cyber-insurance: a financial perspective to incident response
Malware on a mission
Profiling hackers: real data, real experiences, wrong myths
I am not a numero! Assessing global security threat levels
Anti-Malware Testing Standards Oragnization (AMTSO): the status right now
Gimme all your money!
Spam and legislation
When Web 2.0 sneezes, everyone gets sick
Hitting the 'up-to-date' bull's eye
Volume of threat: the AV update deployment bottleneck
ANUBIS - ANalysing Unknown BinarieS - the automatic way
Virtual machines for real malware capture and analysis
Présentations Techniques
Challenges in kernel-mode memory scanning
Pascal Lointier
Amir Fouda
Raoul Chiesa
Bryan Lu
Righard Zwienenberg
Bronnikova, Volodina
Gudkova, Nikishin
Stefan Tanase
Steven Ginn
Robert McArdle
Thomas Mandl & all
Martin Overton
A.Kapoor, R.Mathur
Veille Technologique Sécurité N°135 Page 21/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
PE-Probe: leveraging packer detection to detect malicious portable executables
I can't go back to yesterday, because I was a different person then
Tales from cloud nine
Detecting malicious documents with combined static and dynamic analysis
A fractal approach to social network spam detection
Reputation: a new chapter in malware protection
Firefox malware - when browsers attack
Présentations de la dernière minute
Brazil: land of plentiful bankers
iPhone v3 malware vector
The real face of Koobface
Twarfing: malicious tweets
WebStalker: detection of malicious pages through monitoring web browser behaviour
Connecting the AV industry
Autres présentations
You can teach a new user old tricks ... old users learn too
Fragmented distribution attack
POUR PLUS D’INFORMATION
http://www.virusbtn.com/conference/vb2009/slides/index
Mudassar Farooq
Chun Feng
Mihai Chiriac
Carsten Willems
A. Catalin Cosoi
Vijay Seshadri
C.Wüest, E.Florio
Dmitry Bestuzhev
Marius van Oers
Ivan Macalintal
C.Raiu, M.Swimmer
Minseong Kim
Igor Muttik
Randy Abrams
Anoirel Issa
RAID2009
Le 12 ième International Symposium on Recent Advances in Intrusion
Detection – RAID – a eu lieu les 23, 24 et 25 septembre à St Malo.
Les actes de cette conférence sont disponibles en ligne.
Anomaly and Specification-Based Approaches
Fighting Malware
Opening talk
Opening talk
Panacea: Automating Attack Classification for Anomaly-based NIDS
Protecting a Moving Target: Addressing Web Application Concept Drift
Adaptive Anomaly Detection via Self-Calibration and Dynamic Updating
Runtime Monitoring and Dynamic Reconfiguration for Intrusion Detection Systems
Malware Detection and Prevention
Malware Behavioral Detection by Attribute-Automata using Abstraction
Automatic Generation of String Signatures for Malware Detection
PE-miner: Mining Structural Information to Detect Malicious Executables in Real-Time
Toward Revealing Kernel Malware Behavior in Virtual Execution Environments
Exploiting Temporal Persistence to Detect Covert Botnet Channels
Network and Host Intrusion Detection and Prevention
Automatically Adapting a Trained Anomaly Detector to Software Patches
Towards Generating High Coverage Vulnerability-based Signatures
Automated Behavioral Fingerprinting
Intrusion Detection for Mobile Devices
SMS-Watchdog: Profiling Social Behaviors of SMS Users for Anomaly Detection
Keystroke-based User Identification on Smart Phones
VirusMeter: Preventing Your Cellphone from Spies
When Science Meets Security
High-performance Intrusion Detection
Regular Expression Matching on Graphics Hardware for Intrusion Detection
Multi-Byte Regular Expression Matching with Speculation
POUR PLUS D’INFORMATION
http://www.rennes.supelec.fr/RAID2009/program.html
Luis Corron
Ludovic Mé
Engin Kirda
D.Bolzoni & all
F.Maggi & all
G.Cretu-Ciocarlie
M.Rehak & all
H.Debar & all
S.Schneider
Z.Shafiq & all
C.Xuan & all
J.Chandrashekar
P.Li & all
J.Caballero & all
J.François
Guanhua Yan & all
S.Zahid
L.Liu & all
R.Maxion
G.Vasiliadis & all
D.Luchaup & all
HITB2009
Les actes de la conférence technique HITBSec2009 – Hack In The Box - qui s’est
tenue du 5 au 8 octobre à Kuala Lumpur, Malaisie, ont été mis en ligne.
Nous recommandons à ceux qui ne l’auraient pas déjà lue la présentation intitulée ‘Defeating Software
Protection with Metasm’. Celle-ci détaille les spécificités de l’excellent désassembleur (et plus encore)
METASM, un très sérieux concurrent du fabuleux outil IDA, du moins dans le domaine de l’analyse des
Veille Technologique Sécurité N°135 Page 22/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
codes obscurcis.
Les addicts du téléphone BlackBerry pourront lire avec intérêt la présentation ‘Bugs and Kisses:
Spying on BlackBerry Users for Fun’ qui propose une intéressante synthèse des problèmes inhérents à
la complexité du Blackberry. Relativement bien protégé en ce qui concerne les attaques externes, cette
merveille de technologie se revèle être assez vulnérable de l’intérieur. Les auteurs ont développé deux
modules applicatifs intéressants: ‘Bugs’, un spyware qui collecte les mails échangés et les retransmet
vers une adresse tierce, et ‘Kisses’, un outil permettant de lister les applications cachées telle ‘Bugs’.
Deux modules à charger sur le site de l’auteur qui précise qu’il vaut mieux le contacter avant d’activer
‘Bugs’ !
APRS/HAM Radio
MARES
Attacking Interoperability
M.Dowd
Browser Ghosting Attacks: Haunting Browsers with Acrobat & Flash
P.Theriault
Bugs and Kisses: Spying on BlackBerry Users for Fun
S.Gunasekera
Building a Blind TCP/IP Hijacking Tool
A.Kouzemtchenko
Building and Using an Automated Malware Analysis Pipeline
W.Brown
Clobbering the Cloud
H.Meer
Defeating Software Protection with Metasm
A.Gazet, Y.Guillot
Detecting Computer Intrusions
S.Anson
eKimono: A Malware Scanner for Virtual Machines
N.Anh Quynh
Freeing Sisyphus: Declaratively Addressing Web Security Issues
L.Adamski
Hacking from the Restroom
B.Goncalves
Hardware is the New Software
J.Gand
Having fun with ATMs & HSMs
D.Petropoulos
How Low will Malware Go?
N.Herath
How to Own the World – One Desktop at a Time
S.Shah
Lock Picking Lab – Focus on ASEAN Locks
Deviant Olam
Making Software Dumber
T.Ormandy
Modern Day Robin Hoods?
R.Gonggrijp
Offensive Cloud Computing with Hadoop and Backtrack
J.Lundy
PDF Origami Strikes Back
Aumaitre, Raynal & all
Security In-Depth for Linux Software
C.Evans, J.Tinnes
Side Channel Analysis on Embedded Systems
J.De Haas
Sniff Keystrokes With Lasers/Voltmeters
A.Barisani, D.Bianco
The Art of Network Forensics
M.Mudin, L.Chin Sheng
The Bad Guys are Winning: So Now What?
E.Skoudis
POUR PLUS D’INFORMATION
http://conference.hackinthebox.org/hitbsecconf2009kl/materials/
SOURCE2009 - BARCELONE
Les actes de l’édition Européenne de la conférence Source, consacrée aux bonnes
pratiques de sécurité, sont pour la plupart disponibles en ligne.
Security & Technology
Consumer B Gone - Shopping Cart Antitheft System Gone Wrong
Expanding the Control Over Operating System From the Database
Telco 2.0 : Security of Next-Generation Telecom Services
What's New With Xprobe
Security & Business
A Look at Security Projects and Spending in the Current Recession
Knowing Me, Knowing You
Scare them into compliance - How fear & fines motivate organizations
Software Assurance with SAMM
The Cloud Computing Threat Vector
Technology
REIL: Using Platform-Independent Automated Deobfuscation
State Of Malware: Explosion Of The Axis Of Evil
Triaging Bugs With Dynamic Dataflow Analysis
Windows Secure Kernel Development
Business
Keystroke Dynamics As The Basis For Secure Authentication
Tactical Information Gathering
The Future Application Security Landscape
Transacting Online: What Might Be Good Enough And What Isn’t
Philippe Langlois
Bernardo Damele & all
Nico Fischbach
Fyodor Yarochkin
Dov Yoran
Brian Honan
Erin Jacobs
Matt Bartoldus
Jim Reavis
C.Ketterer, S.Porst
P.Silberman, E.Carrera
Julio Auto
Fermin Serna
Dieter Bartmann
Christian Martorella
Charles Henderson
Michael Baentsch
Veille Technologique Sécurité N°135 Page 23/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
POUR PLUS D’INFORMATION
http://www.sourceconference.com/index.php/source-barcelona-2009/schedule
GUIDES
NIST – ETAT DES GUIDES DE LA SERIE SPECIALE 800
Le NIST publie la version définitive du guide SP800-70R1 ‘National Checklist Program
for IT Products - Guidelines for Checklist Users and Developers’ ainsi qu’une
version pour commentaire de la deuxième révision du guide SP800-78-2 ‘Cryptographic
Algorithms and Key Sizes for Personal Identification Verification’.
SP800-124 Guidelines on Cell Phone and PDA Security [F] 11/08
SP800-123 Guide to General Server Security [F] 07/08
SP800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information [R] 01/09
SP800-121 Guide to Bluetooth Security [F] 09/08
SP800-120 EAP Methods used in Wireless Network Access Authentication [F] 09/09
SP800-118 Guide to Enterprise Password Management [R] 04/09
SP800-117 Guide to Adopting and Using the Security Content Automation Protocol [R] 05/09
SP800-116 Recommendation for the Use of PIV Credentials in Physical Access Control Systems [F] 11/08
SP800-115 Technical Guide to Information Security Testing [F] 09/08
SP800-114 User’s Guide to Securing External Devices for Telework and Remote Access [F] 11/07
SP800-113 Guide to SSL VPNs [F] 07/08
SP800-111 Guide to Storage Encryption Technologies for End User Devices [R] 11/07
SP800-110 Information System Security Reference Data Model [R] 09/07
SP800-108 Recommendation for Key Derivation Using Pseudorandom Functions [F] 11/08
SP800-107 Recommendation for Using Approved Hash Algorithms [F] 02/09
SP800-106 Randomized Hashing Digital Signatures [F] 02/09
SP800-104 A Scheme for PIV Visual Card Topography [F] 06/07
SP800-103 An Ontology of Identity Credentials, Part I: Background and Formulation [R] 09/06
SP800-102 Recommendation for Digital Signature Timeliness [F] 09/09
SP800-101 Guidelines on Cell Phone Forensics [F] 05/07
SP800-100 Information Security Handbook: A Guide for Managers [F] 03/07
SP800-98 Guidance for Securing Radio Frequency Identification (RFID) Systems [F] 04/07
SP800-97 Guide to IEEE 802.11i: Robust Security Networks [F] 02/07
SP800-96 PIV Card / Reader Interoperability Guidelines [R] 09/06
SP800-95 Guide to Secure Web Services [F] 08/07
SP800-94 Guide to Intrusion Detection and Prevention (IDP) Systems [F] 02/07
SP800-92 Guide to Computer Security Log Management [F] 09/06
SP800-90 Random Number Generation Using Deterministic Random Bit Generators [F] 03/07
SP800-89 Recommendation for Obtaining Assurances for Digital Signature Applications [F] 11/06
SP800-88 Guidelines for Media Sanitization [F] 09/06
SP800-87r1 Codes for the Identification of Federal and Federally-Assisted Organizations [F] 04/08
SP800-86 Computer, Network Data Analysis: Forensic Techniques to Incident Response [F] 08/06
SP800-85A1 PIV Card Application and Middleware Interface Test Guidelines [F] 03/09
SP800-85B1 PIV Middleware and PIV Card Application Conformance Test Guidelines [R] 09/09
SP800-85B PIV Middleware and PIV Card Application Conformance Test Guidelines [F] 07/06
SP800-84 Guide to Single-Organization IT Exercises [F] 09/06
SP800-83 Guide to Malware Incident Prevention and Handling [F] 11/05
SP800-82 Guide to Industrial Control Systems (ICS) Security [R] 09/08
SP800-81r1 Secure Domain Name System (DNS) Deployment Guide [R] 08/09
SP800-81 Secure Domain Name System (DNS) Deployment Guide [F] 05/06
SP800-80 Guide for Developing Performance Metrics for Information Security [R] 05/06
SP800-79r1 Guidelines for Certification & Accreditation of PIV Card Issuing Organizations [F] 06/08
SP800-78-2 Cryptographic Algorithms and Key Sizes for Personal Identity Verification [R] 10/09
SP800-78r1 Cryptographic Algorithms and Key Sizes for Personal Identity Verification [F] 08/07
SP800-77 Guide to Ipsec VPNs [F] 12/05
SP800-76r1 Biometric Data Specification for Personal Identity Verification [F] 01/07
SP800-73r3 Interfaces to Personal Identity Verification [R] 08/09
SP800-73r2 Interfaces to Personal Identity Verification [F] 09/08
SP800-72 Guidelines on PDA Forensics [F] 11/04
SP800-70r1 NCP for IT Products - Guidelines for Checklist Users and Developers [F] 09/09
SP800-70 The NIST Security Configuration Checklists Program [F] 05/05
SP800-69 Guidance for Securing Microsoft Windows XP Home Edition [F] 08/06
Veille Technologique Sécurité N°135 Page 24/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
SP800-68r1 Guidance for Securing Microsoft Windows XP Systems for IT Professionals [F] 07/08
SP800-67 Recommendation for the Triple Data Encryption Algorithm Block Cipher [F] 06/08
SP800-66r1 An Introductory Resource Guide for Implementing the HIPAA Security Rule [F] 10/08
SP800-65r1 Integrating IT Security into the Capital Planning and Investment Control Process [R] 07/09
SP800-65 Integrating IT Security into the Capital Planning and Investment Control Process [F] 01/05
SP800-64r2 Security Considerations in the Information System Development Life Cycle [F] 10/08
SP800-63r1 Electronic Authentication Guidelines [R] 12/08
SP800-61r1 Computer Security Incident Handling Guide [F] 03/08
SP800-60r1 Guide for Mapping Types of Information & IS to Security Categories [F] 08/08
SP800-59 Guideline for Identifying an Information System as a National Security System [F] 08/03
SP800-58 Security Considerations for Voice Over IP Systems [F] 03/05
SP800-57p1 Recommendation for Key Management, 1: General Guideline [F] 03/07
SP800-57p2 Recommendation for Key Management, 2: Best Practices [F] 08/05
SP800-57p3 Recommendation for Key Management, 3: Application-Specific Key Management [D] 10/08
SP800-56A Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography [F] 03/07
SP800-56B Pair-Wise Key Establishment Using Integer Factorization Cryptography [F] 09/09
SP800-55r1 Security Metrics Guide for Information Technology Systems [F] 08/08
SP800-54 Border Gateway Protocol Security [F] 07/07
SP800-53r3 Recommended Security Controls for Federal Information Systems [F] 08/09
SP800-53r2 Recommended Security Controls for Federal Information Systems [F] 12/07
SP800-53A Guide for Assessing the Security Controls in Federal Information Systems [F] 06/08
SP800-52 Guidelines on the Selection and Use of Transport Layer Security [F] 06/05
SP800-51 Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme [F] 09/02
SP800-50 Building an Information Technology Security Awareness & Training Program [F] 03/03
SP800-49 Federal S/MIME V3 Client Profile [F] 11/02
SP800-48r1 Guide to Securing Legacy IEEE 802.11 Wireless Networks [F] 08/08
SP800-47 Security Guide for Interconnecting Information Technology Systems [F] 08/02
SP800-46r1 Guide to Enterprise Telework and Remote Access Security [F] 06/09
SP800-46 Security for Telecommuting and Broadband Communications [F] 08/02
SP800-45V2 Guide On Electronic Mail Security [F] 02/07
SP800-44V2 Guidelines on Securing Public Web Servers [F] 09/07
SP800-43 System Administration Guidance for Windows00 [F] 11/02
SP800-42 Guidelines on Network Security testing [F] 10/03
SP800-41r1 Guidelines on Firewalls and Firewall Policy [F] 09/09
SP800-41 Guidelines on Firewalls and Firewall Policy [F] 01/02
SP800-40-2 Creating a Patch and Vulnerability Management Program [F] 11/05
SP800-39 Managing Risk from Information Systems: An Organizational Perspective [R] 04/08
SP800-38E Recommendation for Block Cipher Modes of Operation – XTS-AES [F] 08/09
SP800-38D Recommendation for Block Cipher Modes of Operation – GCM [F] 11/07
SP800-38C Recommendation for Block Cipher Modes of Operation – CCM [F] 05/04
SP800-38B Recommendation for Block Cipher Modes of Operation – RMAC [F] 05/05
SP800-38A Recommendation for Block Cipher Modes of Operation – Method and Techniques [F] 12/01
SP800-37r1 Guidelines for the Security C&A of Federal Information Technology Systems [R] 08/08
SP800-37 Guidelines for the Security C&A of Federal Information Technology Systems [F] 04/04
SP800-36 Guide to IT Security Services [F] 10/03
SP800-35 Guide to Selecting IT Security Products [F] 10/03
SP800-34r1 Contingency Planning Guide for Information Technology Systems [R] 10/09
SP800-34 Contingency Planning Guide for Information Technology Systems [F] 06/02
SP800-33 Underlying Technical Models for Information Technology Security [F] 12/01
SP800-32 Introduction to Public Key Technology and the Federal PKI Infrastructure [F] 02/01
SP800-31 Intrusion Detection Systems [F] 11/01
SP800-30 http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf [F] 01/04
SP800-29 Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2 [F] 10/01
SP800-28v2 Guidelines on Active Content and Mobile Code [F] 03/08
SP800-27A Engineering Principles for Information Technology Security – Rev A [F] 06/04
SP800-26r1 Guide for Inform. Security Program Assessments & System Reporting Form [R] 08/05
SP800-26 Security Self-Assessment Guide for Information Technology Systems [F] 11/01
SP800-25 Federal Agency Use of PK Technology for Digital Signatures and Authentication [F] 10/00
SP800-24 Finding Holes in Your PBX Before Someone Else Does [F] 08/00
SP800-23 Guidelines to Federal Organizations on Security Assurance [F] 08/00
SP800-22r1 Statistical Test Suite for Random and Pseudorandom Number Generators [F] 08/08
SP800-21 Guideline for Implementing Cryptography in the Federal Government [F] 12/05
SP800-16r1 Information Security Training Requirements: A Role & Performance Based Model [R] 03/09
SP800-12 An Introduction to Computer Security: The NIST Handbook [F] 10/95
[F] Finalisé
[R] Relecture
POUR PLUS D’INFORMATION
http://csrc.nist.gov/publications/PubsSPs.html
- Catalogue des publications
Veille Technologique Sécurité N°135 Page 25/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
DISA – GUIDES ET CHECK LISTES DE SECURISATION
La DISA a procédé à la mise à jour du guide Citrix Xen et des listes Citrix Xen, MS
SQL, Oracle, ESX, UNIX, Windows, Blackberry et Mobile messaging.
[13 Mise(s) à jour, 0 Nouveau(x) Document(s)] Guide (STIG) Check Liste
APPLICATIONS
Applications Sécurité et Développement 2.1 24/08/08 2.1.5 26/06/09
Services 1.1 17/01/06 1.1.1 21/09/06
Microsoft Exchange 2003 1.1 17/09/09 1.1 17/09/09
ESM 1.1 05/06/06 1.1.3 10/04/07
ERP 1.1 10/04/07 1.1.1 10/04/07
Database Générique 8.1 19/10/07 8.1.2 28/08/09
Oracle 8.1.5 23/10/09 M
MS SQL Server 2005 8.1.3 23/10/09 M
ENVIRONNEMENTS
Access Control 2.2 18/12/08
Directory Service 1.1 10/03/06 1.1.5 28/08/09
Collaboration 1.1 28/03/07 1.1 28/03/07
Desktop 3.1 09/03/07 3.1.11 26/06/09
Enclave Périmètre 4.2 31/03/08 4.2 31/03/08
.NET 1.2.3 18/02/09
Personal Computer Clients Voix, Vidéo et Collaboration 1.1 26/06/08 1.1.1 15/08/08
Secure Remote Computing 1.2 10/08/05
Instant Messaging 1.2 15/02/08 1.2.5 15/04/09
Biométrie 1.3 10/11/05 2.1.1 17/10/07
VoIP 2.2 21/04/06 2.2.4 12/08/08
Vidéo Téléconférence 1.1 08/01/08 1.1.2 06/11/08
PERIPHERIQUES
Sharing peripheral across the network 1.1 29/07/05
- Multi-Function Device (MFD) and Printer Checklist 1.1.3 09/04/09
- Keyboard, Video, and Mouse (KVM) Switch Checklist 1.1.3 19/12/08
- Storage Area Network (SAN) Checklist 1.1.4 26/06/09
- Universal Serial Bus (USB) Checklist 1.1.3 19/12/08
RESEAUX
Network Liste de contôle générique 7.1 25/10/07 7.1.10 28/08/09
Cisco 6.1 02/12/05
Juniper 6.4 02/12/05
IP WAN Générique 2.3 12/08/04
Wireless Liste de contôle générique 6.1 06/08/09 6.1 23/10/09 M
BlackBerry 5.5 23/10/09 M
Apriva 5.2.2 15/04/09
Motorola 5.2.3 15/04/09
Windows 5.2.4 15/04/09
Wireless LAN Security Framework 2.1 31/10/05
LAN Site Survey 1.1 31/10/05
LAN Secure Remote Access 1.1 31/10/05
Mobile Computing 1.1 31/10/05
SERVICES
DNS Générique 4.1 17/10/07 4.1.7 28/08/09
Web Servers Générique 6.1 11/12/06 6.1.7 15/04/09
IIS 6.1.11 26/06/09
Netscape/Sun 6.1.6 26/06/09
Apache 6.1.11 26/06/09
TomCAT 6.1.5 14/04/09
WebLogic 6.1.4 14/04/09
SYSTEMES
OS/390 & z/OS Générique 6.1.1 06/08/09 5.2.7 17/01/08
Logical Partition 2.2 04/03/05 2.1.4 04/06
RACF 6.1.2 28/08/09 6.1.2 28/08/09
ACF2 6.1.2 28/08/09 6.1.2 28/08/09
TSS 6.1.2 28/08/09 6.1.2 28/08/09
MacOS/X 1.1 15/06/04 1.1.3 28/04/06
TANDEM 2.2 04/03/05 2.1.2 17/04/06
UNISYS 7.2 28/08/06 7.2 24/11/06
UNIX 5.1 04/04/06 5.2 23/10/09 M
VM IBM 2.2 04/03/05 2.2.1 04/06
SUN Solaris 2.6 à 2.9 - 20/01/04
Veille Technologique Sécurité N°135 Page 26/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
RAY 4 1.1.1 17/04/09 1.1.1 17/04/09
OPEN VMS 2.2.3 17/04/06
Windows NT 3.1 26/12/02 4.1.21 28/07/08
2000 6.1.14 23/10/09 M
XP 1.8 12/01/03 6.1.14 23/10/09 M
Vista
6.1.14 23/10/09 M
2003 6.1.14 23/10/09 M
2008 6.1.7 23/10/09 M
Addendum 2000/XP/Vista/2003 6.1 21/05/07
VMWare ESX 1.1.0 28/04/08 1.4.0 15/10/09 M
Citrix XENApp 1.1.2 15/10/09 1.1.2 15/10/09 M
AUTRE
Best Practice Security Générique 2.1 29/01/07
POUR PLUS D’INFORMATION
http://iase.disa.mil/stigs/checklist/index.html
http://measurablesecurity.mitre.org/about/index.html
MAGAZINES
ENISA - QUARTERLY REVIEW
Le troisième numéro de l’année 2009 de la revue de l’ENISA a été publié début octobre. Il
aborde cinq thèmes dont :
- la résilience et le partage de l’information,
- la protection des infrastructures critiques,
- les risques émergents et futurs,
- les compétences et les certifications,
- la sensibilisation et les problèmes de l’usager final.
Au cœur des préoccupations de l’ENISA, le premier sujet a été abordé dans plusieurs numéros de cette
revue, dont les deux numéros spéciaux 2008-Q1-V4N1 et 2009-Q1-V5N1.
Le sommaire de ce numéro de 24 pages est reproduit ci-dessous:
A Letter from the Executive Director
A Word from the Editor
A Word from the Experts
Resilience and Information Sharing
A Resilient and Secure Internet Infrastructure
Evaluating the reliability of the Internet infrastructure
Three European 'Trusted Information Sharing' Projects
Critical Information Infrastructure Protection
Public-Private Partnership for CIIP - Case Finland
Interdependency between Energy and Telecommunications
Emerging and Future Risks
Identification of Emerging and Future Risks in a 2011 eHealth Scenario
Drivers of Emerging and Future Threats in ICT Infrastructures
Skills and Certifications
Cyber-Security Skills - The Cost of Ignorance
Penetration Testing - What's That?
A New Qualification to Guarantee Secure Software Engineering Skills
Awareness and End-User Issues
End-user Security: Misused and Misunderstood?
Human Factors in the Dependability of IP Networks
Technologies
A Secure Approach for Embedded Systems in Japan
tNAC - trusted Network Access Control
POUR PLUS D’INFORMATION
http://www.enisa.europa.eu/publications/eqr/issues/eqr-q3-2009-vol.-5-no.-3/at_download/issue
INTERNET
Veille Technologique Sécurité N°135 Page 27/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
LES DECISIONS DE L’OMPI
L’Organisation Mondiale de la Propriété Intellectuelle – OMPI ou WIPO – est chargée
de l’arbitrage et de la résolution des litiges relatifs aux noms de domaine. Parmi tous
les litiges jugés, en voici quelques uns concernant l’usage abusif de marques célèbres
en France.
Nous recommandons la lecture de l’arbitrage de l’affaire D2009-1001 dans laquelle interviennent le
requérant (la holding bancaire ‘HSBC’) et trois tiers, le nom de domaine ayant été revendu durant la
tentative de conciliation à l’amiable. Ajoutons à cela un dépôt de plainte auprès du FBI par l’un des
propriétaires du nom de domaine disputé contre l’une des filiales du requérant accusée d’avoir attaqué
son serveur, et la suggestion faite proposer une somme plus conséquente pour le rachat du domaine ou
d’aller devant l’OMPI. Une démarche que le plaignant a engagée et qui lui a permis de récupérer le nom
de domaine sans bourse délier.
Nous conseillons par ailleurs la lecture de l’article ‘Le Conseil d'Etat rejette un référé contre la charte
de nommage du .FR’ publié par le site ‘JuridicOnline’ lequel mets en lumière certaines défaillances de
la procédure de résolution PREDEC de l’AFNIC, inspirée de la procédure UDRP mise en œuvre par
l’OMPI. Est notamment remis en cause le respect du droit de la défense. Et de fait, la lecture de certains
jugements du WIPO laisse au béotien du droit que nous sommes l’impression que les droits, et la parole
de la défense, passe au second plan, du fait probablement d’une procédure très encadrée et directive. Il
faut cependant admettre, à la décharge de l’arbitrage, que la très grande majorité des affaires traitées
portent sur des abus manifestes de ‘mauvaise foi’ ou ‘Bad Faith’.
Et pour finir, nos lecteurs pourront admirer l’arbitrage D2009-1117 sur le domaine ‘ciscoblog.org’
entièrement rédigé dans la langue de Confucius.
DMA009-0002 danone.ma Compagnie Gervais Danone 25/09
DMX2009-0012 westerndigital.com.mx Western Digital Technologies 27/09
D2009-1021 nestle-cereales.com Société des Produits Nestlé 22/09
D2009-1001 hsbcinternational.com HSBC Holding, plc. 28/09
D2009-1136 leguidemichelin.com CG des Ets Michelin 06/10
D2009-1051 anonymousmastercard.com
mastercardoffshore.com
mastercardsoffshore.com
offshorebankmastercard.com
offshoremastercardaccount.com
platinummastercardaccount.com
MasterCard International Inc. 04/10
D2009-1134 walkman.net Sony Kabushiki Kaisha 12/09
D2009-1158 principadodemonaco.com Principality of Monaco 07/09
D2009-1117 ciscoblog.org Cisco Technology 15/10
D2009-1173 velo-sncf.com SNCF 16/10
D2009-1141 blackberryu.com Research In Motion Limited 15/10
POUR PLUS D’INFORMATION
http://www.wipo.int/rss/index.xml?col=dnddocs
http://www.wipo.int/freepublications/fr/arbitration/779/wipo_pub_779.pdf
- Dernières décisions
- Procédure de règlement des litiges
STANDARDS
IETF – LES RFC TRAITANT DIRECTEMENT DE LA SECURITE
Thème Num Date Etat Titre
AAA 5637 09/09 Inf Authentication, Authorization, and Accounting (AAA) Goals for Mobile IPv6
DNSSEC 5702 10/09 Pst Use of SHA-2 Algorithms with RSA in DNSKEY and RRSIG Resource Records for DNSSEC
IPSEC 5660 10/09 Pst IPsec Channels: Connection Latching
OSPF 5709 10/09 Pst OSPFv2 HMAC-SHA Cryptographic Authentication
IETF – LES RFC LIES A LA SECURITE
Thème Num Date Etat Titre
SYSLOG 5674 10/09 Pst Alarms in Syslog
SYSLOG 5675 10/09 Pst Mapping Simple Network Management Protocol (SNMP) Notifications to SYSLOG Messages
SYSLOG 5676 10/09 Pst Definitions of Managed Objects for Mapping SYSLOG Messages to SNMP Notifications
Veille Technologique Sécurité N°135 Page 28/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
IETF – LES NOUVEAUX DRAFTS TRAITANT DE LA SECURITE
Thème Nom du Draft Date Titre
6LOW draft-struik-6lowapp-security-considerations-00 20/10 Sec. Arch. Design Consider. for Low-Power Wireless Sensor Nets
ALTO draft-wang-alto-privacy-load-analysis-00 19/10 Analysis for ALTO privacy and load issues
BCP draft-magnusson-secure-practice-00 13/10 A Security Practitioner's view on Internet Protocols
CGA draft-cheneau-csi-cga-pk-agility-00 12/10 Support for Multiple Signature Algorithms in CGAs
draft-cheneau-csi-ecc-sig-agility-00
12/10 ECC public key & signature support in CGA and in SEND protocol
draft-cheneau-csi-send-sig-agility-00
12/10 Signature Algorithm Agility in the SEND Protocol
DHCP draft-ietf-csi-dhcpv6-cga-ps-00 12/10 DHCPv6 and CGA Interaction: Problem Statement
DNS draft-ietf-dnsext-dnssec-registry-fixes-00 14/10 DNSSEC DNSKEY IANA Registry Algorithm Status Addition
EAP draft-urien-kiennert-emu-bio-00 15/10 EAP BIO
draft-mccann-session-policy-fram…-using-eap-00 19/10 Session Policy Framework using EAP
ECC draft-turner-ecprivatekey-00 19/10 Elliptic Curve Private Key Structure
GRE draft-mip4-gre-key-extension-00 14/10 GRE Key Extension for Mobile IPv4
GSS API draft-yu-kitten-api-wishlist-00 19/10 Desired changes to the GSS-API
HIP draft-ponomarev-hip-ecc-00 19/10 Additional Key Algorithms for Host Identity Protocol
IBAKE draft-cakulev-ibake-00 19/10 IBAKE: Identity-Based Authenticated Key Agreement
IPV4 draft-perkins-mip4-authreqd-00 12/10 Authentication Mandate for All Registration Reply Messages
IPV6 draft-kohno-ipv6-prefixlen-p2p-00 19/10 /127 IPv6 Prefix Length on P2P Links Not Considered Harmful
draft-vyncke-advanced-ipv6-security-00
19/10 Advanced Security for IPv6 CPE
IPSEC draft-nagayama-ipsecme-ipsec-with-qkd-00 19/10 IKE for IPsec with QKD
LDAP draft-chu-ldap-kdc-schema-00 15/10 An LDAP Schema for Kerberos KDC Information
LISP draft-saucez-lisp-security-00 20/10 Notes on LISP Security Threats and Requirements
MIF draft-ko-mif-threat-analysis-00 19/10 Preliminary MIF Threat Analysis
MIKEY draft-cakulev-mikey-ibake-00 14/10 MIKEY-IBAKE: Identity-Based MIKEY
draft-mattsson-mikey-ticket-00
19/10 MIKEY-TICKET: An Additional MIKEY
MPLS draft-daley-mpsec-label-ts-00 18/10 MPLS Label Traffic Selectors for Internet Key Exchange Version 2
MPTCP draft-bagnulo-mptcp-threat-00 18/10 Threat Analysis for Multi-addressed/Multi-path TCP
OAUTH draft-beck-oauth-sip-eval-00 19/10 Evaluating OAUTH's suitability for SIP authentication
SAAG draft-polk-saag-rtg-auth-keytable-00 19/10 Routing Authentication using a DB of Long-Lived Crypto. Keys
SRTP draft-lennox-avt-srtp-encrypted-ext…-00 19/10 Encryption of Header Extensions in SRTP
SYSLOG draft-ietf-syslog-dtls-00 14/10 DTLS Transport Mapping for Syslog
TCP draft-touch-tcp-ao-nat-00 19/10 A TCP Authentication Option NAT Extension
TLS draft-pettersen-tls-ext-multiple-ocsp-00 16/10 Adding Multiple TLS Certificate Status Extension requests
UDT draft-d-sec-udt-00 29/09 Security Requirements for UDT
IETF – LES MISES A JOUR DE DRAFTS TRAITANT DE LA SECURITE
Thème Nom du Draft Date Titre
AAA draft-wu-dime-pmip6-lr-01 26/10 AAA Support for PMIP6 mobility entities Locating
ASYMMET draft-turner-asymmetrickeyformat-02 20/10 Asymmetric Key Packages
BGP draft-francois-limited-scope-specifics-01 26/10 Threat to BGP Policies limited-scope more specific prefix injection
CGA draft-jiang-csi-cga-config-dhcpv6-01 25/10 Configuring CGA using DHCPv6
CMS draft-housley-cms-content-constraints-extn-02 20/10 CMS Content Constraints Extension
DHCP draft-sakane-dhc-dhcpv6-kdc-option-05 26/10 Kerberos Option for DHCPv6
DNSSEC draft-ietf-dnsext-dnssec-gost-01 18/10 GOST signature algo. in DNSKEY & RRSIG RRs for DNSSEC
draft-crocker-dnssec-algo-signal-04
14/10 Signaling Cryptographic Algorithm Understanding in DNSSEC
draft-morris-dnsop-dnssec-key-timing-01 15/10 DNSSEC Key Timing Considerations
DPS draft-ljunggren-dps-framework-01 20/10 DNSSEC Signing Policy & Practice Statement Framework
DSSC draft-ietf-ltans-dssc-12 30/09 DSSC
DTNRG draft-irtf-dtnrg-bundle-security-09 22/10 Bundle Security Protocol Specification
EAP draft-ietf-emu-chbind-04 22/10 Channel Binding Support for EAP Methods
draft-ietf-hokey-key-mgm-10
26/10 Distribution of EAP based keys for handover
ECC draft-mcgrew-fundamental-ecc-01 26/10 Fundamental Elliptic Curve Cryptography Algorithms
EMU draft-harkins-emu-eap-pwd-12 22/10 EAP Authentication Using Only A Password
GEOPRIV draft-ietf-geopriv-arch-01 26/10 Architecture for Location & Location Privacy in Internet Apps.
HIP draft-ietf-hip-cert-02 26/10 HIP Certificates
HTTP draft-ietf-httpbis-p7-auth-08 26/10 HTTP/1.1, part 7: Authentication
IPSEC draft-eronen-ipsec-ikev2-eap-auth-07 20/10 An Extension for EAP-Only Authentication in IKEv2
draft-daley-mpsec-traffic-sel-ps-01
25/10 Guidelines for Multiprotocol Traffic Selector Bindings in IPsec
IPV6 draft-blake-ipv6-flow-label-nonce-02 26/10 Use of the IPv6 Flow Label as a Transport-Layer Nonce
draft-hain-ipv6-fwrh-02
25/10 IPv6 Firewall Routing Header
KERB draft-ietf-krb-wg-preauth-framework-15 26/10 A Generalized Framework for Kerberos Pre-Authentication
draft-ietf-krb-wg-cross-problem-statement-05 15/10 Problem statement on the cross-realm operation of Kerberos
draft-ietf-krb-wg-kdc-model-06 19/10 An information model for Kerberos version 5
KEYPROV draft-ietf-keyprov-symmetrickeyformat-06 20/10 Symmetric Key Package Content Type
draft-ietf-keyprov-pskc-04
23/10 Portable Symmetric Key Container (PSKC)
MIKEY draft-seokung-msec-mikey-seed-04 29/09 IANA Registry Update for the SEED Cipher Alg. Support in MIKEY
MIPSHOP draft-haddad-mipshop-netflood-defense-03 20/10 Using 'Symbiotic Relationship' to Repel Network Flooding Attack
MIPV6 draft-ietf-mext-firewall-admin-02 26/10 Guidelines for firewall administrators regarding MIPv6 traffic
draft-ietf-mext-firewall-vendor-02
26/10 Guidelines for firewall vendors regarding MIPv6 traffic
draft-patil-mext-mip6issueswithipsec-02
26/10 Problems with IPsec as the security protocol for Mobile IPv6
draft-korhonen-mext-mip6-altsec-02
13/10 Security architecture for Mobile IPv6 using TLS
Veille Technologique Sécurité N°135 Page 29/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

OCTOBRE 2009
draft-laganier-mext-dsmipv6-ipsec-01
26/10 (Dual Stack) Mobile IPv6 Implementation with unmodified IPsec
MPLS draft-ietf-mpls-mpls-and-gmpls-security-…-07 25/10 Security Framework for MPLS and GMPLS Networks
NAT draft-gont-behave-nat-security-03 27/10 Security implications of Network Address Translators (NATs)
OPSEC draft-ietf-opsec-routing-protocols-crypto-iss…-01 19/10 Cryptographic Protection Methods for Routing Protocols
P2PSIP draft-matuszewski-p2psip-security-overview-01 10/10 P2PSIP Security Overview and Risk Analysis
PIM draft-ietf-pim-sm-linklocal-09 26/10 Authentication and Confidentiality in PIM-SM Link-local Messages
PKIX draft-ietf-pkix-cmp-transport-protocols-07 26/10 Internet X.509 PKI -- Transport Protocols for CMP
draft-ietf-pkix-ta-format-04
15/10 Trust Anchor Format
draft-ietf-pkix-tamp-04
23/10 Trust Anchor Management Protocol (TAMP)
draft-ietf-pkix-authorityclearanceconstraints-03 20/10 Clearance Attribute & Authority Clearance Constraints Cert. Ext.
RADIUS draft-aboba-radext-wlan-12 25/10 RADIUS Attributes for IEEE 802 Networks
draft-ietf-radext-design-09
12/10 RADIUS Design Guidelines
draft-ietf-radext-status-server-05
12/10 Use of Status-Server Packets in the RADIUS Protocol
draft-ietf-radext-tcp-transport-04
12/10 RADIUS Over TCP
RMT draft-ietf-rmt-sec-discussion-04 20/10 Security and Reliable Multicast Transport Protocols
draft-ietf-rmt-simple-auth-for-alc-norm-02 26/10 Simple Authentication Schemes for the ALC and NORM Protocols
RTP draft-ietf-avt-srtp-big-aes-02 25/10 The use of AES-192 and AES-256 in Secure RTP
draft-perkins-avt-srtp-vbr-audio-02
26/10 Guidelines for the use of Variable Bit Rate Audio with Secure RTP
SASL draft-ietf-sasl-scram-10 12/10 Salted Challenge Response SASL and GSS-API Mechanism
SEND draft-ietf-csi-hash-threat-04 15/10 SEND Hash Threat Analysis
draft-ietf-csi-sndp-prob-03
18/10 Securing Neighbor Discovery Proxy Problem Statement
draft-ietf-csi-send-cert-01
26/10 Certificate profile and certificate management for SEND
SIDR draft-ietf-sidr-cp-07 21/10 Certificate Policy (CP) for the Resource PKI (RPKI)
draft-ietf-sidr-arch-09
26/10 An Infrastructure to Support Secure Internet Routing
SIP draft-ietf-sip-eku-08 20/10 Using Extended Key Usage (EKU) for SIP X.509 Certificates
SNMP draft-ietf-isms-dtls-tm-01 23/10 Transport Layer Security Transport Model for SNMP
SRTP draft-mcgrew-srtp-ekt-06 26/10 Encrypted Key Transport for Secure RTP
draft-naslund-srtp-saf-03
26/10 The Use of the SRTP in Store-and-Forward Applications
TCP draft-ietf-tcpm-tcp-auth-opt-08 28/10 The TCP Authentication Option
draft-ietf-tcpm-tcp-ao-crypto-01
28/10 Cryptographic Algorithms for TCP's Authentication Option
TLS draft-housley-tls-authz-extns-09 14/10 Transport Layer Security (TLS) Authorization Extensions
draft-solinas-tls-additional-prf-input-01
24/10 Additional PRF Inputs for TLS
draft-ietf-tls-rfc4366-bis-06
26/10 Transport Layer Security (TLS) Extensions: Extension Definitions
draft-ietf-tsvwg-dtls-for-sctp-02
25/10 Datagram TLS for Stream Control Transmission Protocol
USING draft-wallace-using-ta-constraints-01 15/10 Trust Anchor Constraints During Certification Path Processing
V6OPS draft-ietf-v6ops-cpe-simple-security-08 19/10 Simple Security Capabilities in Customer Premises Equipment
Veille Technologique Sécurité N°135 Page 30/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique