Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Politique de défense, hachage faible, GPS et autres considérations

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur Politique de défense, hachage faible, GPS et autres considérations

1286291748_kopetestatusmessage.pngDernier volet de notre couverture du décidément très riche colloque de l’ARCSI, avec un pot-pourri de remarques particulièrement intéressantes entendues au détour des présentations d’un cryptographe, d’un universitaire et d’un opérationnel.

SHA va pas si mal…

A commencer par Henry Gilbert, responsable du laboratoire de cryptologie de l’ANSSI, venu faire le point sur la vulnérabilité des algorithmes de hachage actuels. Bilan : « MD5 a désormais atteint le niveau de passoire et doit être abandonné. SHA-1 doit quant à lui être remplacé dès que possible« , conseille Henri Gilbert. Et de préciser que le seul algorithme de hachage considéré comme fiable aujourd’hui est SHA-2 avec une taille de haché de 256 ou 512 bits (pour mémoire le Référentiel Général de Sécurité impose une taille de haché minimale de 200 bits).

Afin de remplacer ces algorithmes vieillissants SHA-3 est bien entendu au programme. La compétition internationale chargée de distinguer l’algorithme qui sera utilisé est désormais dans sa phase finale : quatre à six finalistes seront annoncés à la fin de l’année 2010, sur les soixante-quatre candidatures initiales. La France y est d’ailleurs plutôt bien représentée avec notamment les projets ECHO et SHABAL.

Le GPS stratégique

A suivre avec Michel Riguidel, enseignant-chercheur à Télécom Paris Tech, qui observe deux changements selon lui stratégiques dans le paysage d’Internet. D’abord la prépondérance de la géolocalisation par GPS, qui deviendrait essentielle : « A l’avenir le routage des paquets sur les réseaux se fera en fonction de la latitude / longitude. Qui contrôlera les systèmes de GPS aura ainsi un pouvoir considérable« , explique le chercheur. Et il est inutile de préciser qu’en la matière l’indépendance – ne serait-ce qu’européenne – est loin d’être acquise.

Autre évolution tout aussi notable : d’après Michel Riguidel le coeur d’Internet se contracte. « Le véritable backbone devient plus petit et plus dense. Et qui contrôle cette surface réduite a également un pouvoir accru« , poursuit le chercheur.

La Network Defense Capability du Conseil de l’Union Européenne

A conclure avec Sébastien Léonnet, ancien officier supérieur de l’Armée de l’Air devenu administrateur principal au Secrétariat Général du Conseil de l’Union Européenne. Il est désormais en charge de la politique de sécurité du Conseil de l’Union Européenne. Son témoignage est celui d’un homme de terrain confronté à des attaques incessantes et perfectionnées : « nous sommes désormais soumis à des attaques dans lesquelles un document pertinent publié dans la journée est intercepté par l’attaquant, piégé et renvoyé à la bonne personne chez nous qui suit ce dossier, afin de l’inciter à l’ouvrir« , explique-t-il. Et l’administrateur d’évoquer à son tour la menace, bien réelle selon lui, de type Advanced Persistent Threat (APT) rendue publique dans l’affaire du piratage chez Google. « Face à de telles attaques et aux efforts aussi ciblés des attaquants, il n’y a pas de solution miracle : on ne pourra jamais empêcher un utilisateur d’ouvrir un document pertinent pour son travail et on se rend compte que les antivirus n’arrêtent que 50% des menaces. Nous sommes donc arrivés à la conclusion qu’il faut accepter l’idée que nous serons attaqués et faire avec, en limitant notamment l’impact« , poursuit Sébastien Léonnet (ce qui évoque au passage le concept de tolérance aux intrusions à propos duquel nous écrivions l’année dernière)

Afin de préparer le Conseil de l’Union à de telles pratiques Sébastien Léonnet a alors mis en place une « capacité de défense réseau » (network defence capacity) dont voici les grandes lignes :

  • Prédire les problèmes (analyse de risque, ndlr)
  • Résoudre les problèmes qui peuvent l’être (remédiation, ndlr)
  • Restaurer une configuration de confiance
  • Diffuser l’alerte au sein de l’organisation
  • Recueillir de l’information complémentaire (veille, ndlr)
  • Générer de l’information (analyser, ndlr)

D’après Sébastien Léonnet une telle approche relève sans grande surprise pour 80% de l’organisationnel et pour 20% seulement de la technique. Les difficultés principales étant de « collecter », dit-il, les compétences au sein de l’organisation et de les intégrer au sein d’un mécanisme cohérent et fonctionnel.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.