Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
OCTOBRE 2009<br />
commencer par le début, la nature des menaces et le bon usage des outils.<br />
L’article ‘Human Factors in the Dependability of IP Networks’ détaille les objectifs d’un projet de<br />
recherche menée par le gouvernement Finlandais dans l’optique d’étudier l’influence du facteur humain<br />
sur la fiabilité des réseaux IP. Une première étude engagée en 2006 a permis de définir les méthodes<br />
d’évaluation de la fiabilité. Cette étude s’est poursuivie par une seconde étude, IPLU-II, destinée à<br />
affiner l’analyse de <strong>cert</strong>ains points dont la possibilité de définir une méthode d’évaluation utilisant de<br />
critères de mesure hétérogènes. Une enquête a par ailleurs été menée auprès de 20 personnes<br />
intervenant dans l’exploitation des réseaux de télécommunication Finlandais pour mieux appréhender<br />
l’importance du facteur humain dans le maintien en condition opérationnelle d’un réseau complexe. Les<br />
résultats de cette étude devraient être publiés sur la page d’accueil de projet dans le courant du mois<br />
d’octobre.<br />
TECHNOLOGIES<br />
Deux articles nous sont proposés au titre de ce thème somme toute assez vaste.<br />
Le premier article, ‘A Secure Approach for Embedded Systems in Japan’, est rédigé par trois<br />
membres de l’IT Security Center – ISEC – de l’agence japonaise pour la promotion des technologies de<br />
l’information ou IPA. Il aborde un sujet d’importance, celui des méthodologies applicables à la<br />
sécurisation des systèmes enfouis – traduction du terme anglo-saxon ‘embedded’ – qu’il s’agisse des<br />
calculateurs embarqués dans nos véhicules ou des équipements ménagers. Les auteurs ont établi une<br />
base méthodologique constituée de principes simples applicables aux quinze étapes clefs dans le cycle<br />
de vie de ces systèmes:<br />
A. Management<br />
1. Security Rule<br />
2. Security Education<br />
3. Security Information Gathering<br />
B. Planning<br />
4. Budget<br />
C. Development<br />
5. Design<br />
6. Adoption of the Development Platform<br />
7. Software Implementation<br />
8. Approach for Outsourcing Development<br />
9. Security Evaluation Test and Debug<br />
10. User’s Guide<br />
11. Factory Production Control<br />
D. Operation<br />
12. Handling of Security Problems<br />
13. Method of Advising Users and Countermeasures<br />
14. Practical Use of Vulnerability Information<br />
E. Disposal<br />
15. Announce the Method of Equipment Disposal<br />
On pourra s’étonner du principe associé à l’étape 7 (choix et de la mise en place de l’environnement de<br />
développement) qui suggère d’utiliser des logiciels protégés contre les intrusions pour limiter la<br />
divulgation des vulnérabilités sauf à considérer que l’ensemble des autres principes aura conduit à<br />
limiter ces vulnérabilités au maximum. Et force est de constater que bien des vulnérabilités résiduelles<br />
sont mises au jour, et rendues exploitables, par l’absence de mécanismes de protection contre la rétroanalyse<br />
du code, et la présence de moyens d’accès non câblés mais actifs tels liaisons séries et<br />
interfaces de débogage JTAG. Ce n’est pas faire l’apologie de la sécurité par l’obscurité que de<br />
suggérer utiliser des logiciels protégés et de mettre en place des mécanismes de protection<br />
périphériques.<br />
Le second article, intitulé ‘tNAC - trusted Network Access Control’, nous présente le projet tNAC,<br />
engagé en 2008, qui vise à mettre à disposition une solution de contrôle d’accès réseau fiable<br />
s’appuyant sur les spécifications dites TNC (Federated Trusted Network Connect) établies par le<br />
célèbre Trusting Computing Group. Ce projet, conduit par un consortium d’universités et de sociétés<br />
allemandes s’appuiera sur les développements déjà engagés par l’université d’Hanovre (projet<br />
TNC@FHH) et sur la plateforme sécurisée Turaya réalisée dans le cadre d’un projet européen passé,<br />
le projet EMSCB (European Multilaterally Secure Computing Base). Un projet dont il conviendra de<br />
suivre l’avancement au regard des besoins croissants en matière de contrôle d’accès réseau, et du taux<br />
de présence du module TPM dans les parcs informatiques actuels.<br />
POUR PLUS D’INFORMATION<br />
http://www.enisa.europa.eu/publications/eqr/issues/eqr-q3-2009-vol.-5-no.-3/at_download/issue<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 10/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique