Veille Technologique SÃ©curitÃ© - cert devoteam

More documents

Recommendations

Info

OCTOBRE 2009 commencer par le début, la nature des menaces et le bon usage des outils. L’article ‘Human Factors in the Dependability of IP Networks’ détaille les objectifs d’un projet de recherche menée par le gouvernement Finlandais dans l’optique d’étudier l’influence du facteur humain sur la fiabilité des réseaux IP. Une première étude engagée en 2006 a permis de définir les méthodes d’évaluation de la fiabilité. Cette étude s’est poursuivie par une seconde étude, IPLU-II, destinée à affiner l’analyse de certains points dont la possibilité de définir une méthode d’évaluation utilisant de critères de mesure hétérogènes. Une enquête a par ailleurs été menée auprès de 20 personnes intervenant dans l’exploitation des réseaux de télécommunication Finlandais pour mieux appréhender l’importance du facteur humain dans le maintien en condition opérationnelle d’un réseau complexe. Les résultats de cette étude devraient être publiés sur la page d’accueil de projet dans le courant du mois d’octobre. TECHNOLOGIES Deux articles nous sont proposés au titre de ce thème somme toute assez vaste. Le premier article, ‘A Secure Approach for Embedded Systems in Japan’, est rédigé par trois membres de l’IT Security Center – ISEC – de l’agence japonaise pour la promotion des technologies de l’information ou IPA. Il aborde un sujet d’importance, celui des méthodologies applicables à la sécurisation des systèmes enfouis – traduction du terme anglo-saxon ‘embedded’ – qu’il s’agisse des calculateurs embarqués dans nos véhicules ou des équipements ménagers. Les auteurs ont établi une base méthodologique constituée de principes simples applicables aux quinze étapes clefs dans le cycle de vie de ces systèmes: A. Management 1. Security Rule 2. Security Education 3. Security Information Gathering B. Planning 4. Budget C. Development 5. Design 6. Adoption of the Development Platform 7. Software Implementation 8. Approach for Outsourcing Development 9. Security Evaluation Test and Debug 10. User’s Guide 11. Factory Production Control D. Operation 12. Handling of Security Problems 13. Method of Advising Users and Countermeasures 14. Practical Use of Vulnerability Information E. Disposal 15. Announce the Method of Equipment Disposal On pourra s’étonner du principe associé à l’étape 7 (choix et de la mise en place de l’environnement de développement) qui suggère d’utiliser des logiciels protégés contre les intrusions pour limiter la divulgation des vulnérabilités sauf à considérer que l’ensemble des autres principes aura conduit à limiter ces vulnérabilités au maximum. Et force est de constater que bien des vulnérabilités résiduelles sont mises au jour, et rendues exploitables, par l’absence de mécanismes de protection contre la rétroanalyse du code, et la présence de moyens d’accès non câblés mais actifs tels liaisons séries et interfaces de débogage JTAG. Ce n’est pas faire l’apologie de la sécurité par l’obscurité que de suggérer utiliser des logiciels protégés et de mettre en place des mécanismes de protection périphériques. Le second article, intitulé ‘tNAC - trusted Network Access Control’, nous présente le projet tNAC, engagé en 2008, qui vise à mettre à disposition une solution de contrôle d’accès réseau fiable s’appuyant sur les spécifications dites TNC (Federated Trusted Network Connect) établies par le célèbre Trusting Computing Group. Ce projet, conduit par un consortium d’universités et de sociétés allemandes s’appuiera sur les développements déjà engagés par l’université d’Hanovre (projet TNC@FHH) et sur la plateforme sécurisée Turaya réalisée dans le cadre d’un projet européen passé, le projet EMSCB (European Multilaterally Secure Computing Base). Un projet dont il conviendra de suivre l’avancement au regard des besoins croissants en matière de contrôle d’accès réseau, et du taux de présence du module TPM dans les parcs informatiques actuels. POUR PLUS D’INFORMATION http://www.enisa.europa.eu/publications/eqr/issues/eqr-q3-2009-vol.-5-no.-3/at_download/issue Veille Technologique Sécurité N°135 Page 10/35 © DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009 METHODOLOGIES ET STANDARDS RECOMMANDATIONS ANSSI – CERTIFICATION CSPN DU LOGICIEL VCS-TOOAL L’ANSSI vient d’annoncer la certification CSPN de la version 1.1 du logiciel VCS-TOOAL édité par la société Mediscs. Il s’agit d’une application portable embarquée sur un mini CD permettant d’automatiser l’accès à un site Internet sécurisé. Toutes les opérations requises (installation du certificat, lancement de la navigation, authentification et effacement du certificat) sont rendues transparentes à l’usager. Rappelons que la procédure dite de ‘Certification de Sécurité de Premier Niveau’, ou CSPN, permet d’obtenir un label au terme d’une expertise moins formelle que celle des Critères Communs, ou CC, et dont la charge est limitée à 25 homme.jour. La présentation de la CSPN précise ainsi que les travaux d’évaluation ont pour objectifs: - de vérifier que le produit est conforme à ses spécifications de sécurité, - de coter les mécanismes de façon théorique, de recenser les vulnérabilités connues de produits de sa catégorie, - de soumettre le produit à des tests visant à contourner ses fonctions de sécurité. Cinq produits sont désormais certifiés CSPN: Produit Cat Date Commanditaire CESTI Vers. actuelle VSC-TOOAL v1.1 6 15/10/09 Mediscs AQL Netfilter Linux v2.6.27 - IPtables v1.4.2 3 31/08/09 SGDN OPPIDA v1.4.5 TrueCrypt V6.0a 9 01/12/08 SGDN SOGETI v6.2a Blancco Data Cleaner+ V4.8 4 12/11/08 Blancco France AMOSSYS v4.9 TRANGO Hypervisor V1.5.61 / OMAP 2430 11 11/09/08 Trango Virtual Proc. AQL Acquis VMwAre Catégories : 1- détection d’intrusions 2- anti-virus, protection malware 3- firewall 4- effacement de données 5- administration, supervision 6- identification, authent., contrôle accès 7- communication sécurisée 8- messagerie sécurisée 9- stockage sécurisé 10- matériel et logiciel embarqué 11- Autre POUR PLUS D’INFORMATION http://www.ssi.gouv.fr/site_article136.html - Annonce de la certification http://www.ssi.gouv.fr/site_rubrique54.html - Catalogue CSPN ECRYPT – ESTREAM PORTFOLIO: MISE A JOUR ANNUELLE Le réseau d’excellence Européen ‘eCrypt II’ vient de publier la mise à jour annuelle de son portefeuille d’algorithmes de chiffrement. En avril 2008, le projet eSTREAM coordonné par le réseau d’excellence établissait une liste d’algorithmes de chiffrement symétrique prometteurs, et par conséquent susceptibles d’être un jour standardisés dans une implémentation purement logicielle (profil N°1) ou matérielle (profil N°2). Profil N°1 - Logiciel Profil N°2 - Matériel HC-128 Grain v1 Rabbit Mickey v2 Salsa20/12 Trivium Sosemanuk F-FCSR-H Cette liste est régulièrement révisée pour tenir compte des avancées dans le domaine de la cryptanalyse. Ainsi, en septembre 2008, l’un des algorithmes du second profil était retiré de la liste après l’annonce d’une cryptanalyse réussi contre celui-ci. Aucun résultat n’a été publié depuis qui puisse remettre en cause la liste établie malgré de nouvelles analyses tierce de la majorité des candidats des deux profils. L’algorithme ‘Rabbit’, le seul algorithme ayant été breveté, a été passé dans le domaine public et peut désormais être librement utilisé. La dernière version de l’implémentation CyaSSL, une pile SSL embarquable, intègre ainsi cet algorithme ainsi que l’algorithme ‘HC-128’. Le sommaire de cette note de 10 pages est le suivant: 1 The eSTREAM Portfolio 2009 Annual Update Veille Technologique Sécurité N°135 Page 11/35 © DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
Page 1: Veille Technologique Sécurité Rap
Page 5 and 6: OCTOBRE 2009 Le mot du rédacteur L
Page 7 and 8: OCTOBRE 2009 Le sommaire de ce rapp
Page 9 and 10: OCTOBRE 2009 supports amovibles, DL
Page 11 and 12: OCTOBRE 2009 Avec ce numéro s’ac
Page 13: T OCTOBRE 2009 futurs - EFR - par l
Page 17 and 18: OCTOBRE 2009 insistant toutefois su
Page 19 and 20: OCTOBRE 2009 A ce niveau d’avance
Page 21 and 22: OCTOBRE 2009 Smart Quantum SQDefend
Page 23 and 24: OCTOBRE 2009 - classe D réservée
Page 25 and 26: OCTOBRE 2009 - DPA Contest 2008 - 2
Page 27 and 28: OCTOBRE 2009 codes obscurcis. Les a
Page 29 and 30: OCTOBRE 2009 SP800-68r1 Guidance fo
Page 31 and 32: OCTOBRE 2009 RAY 4 1.1.1 17/04/09 1
Page 33 and 34: OCTOBRE 2009 IETF - LES NOUVEAUX DR

Veille Technologique SÃ©curitÃ© - cert devoteam

Create successful ePaper yourself

Delete template?

Save as template?