|
|
Assises 2011: Back to basics, et vite
Par Ludovic Blin,
secuobs.com
Le 10/10/2011
Résumé : Lors de la conférence de clôture des assises de la sécurité 2011, le directeur de l’ANSSI a invité les RSSI à se poser rapidement les bonnes questions en matière de sécurité informatique, et à ne pas se contenter d’empiler des protections. - Lire l'article
La sécurité de toute organisation est, à l’instar d’une chaîne, équivalente à celle de son maillon le plus faible. En terme de sécurité informatique, de plus, la force des ces maillons est souvent dépendante de divers paramètres, configurations, détails d’architecture, évènements qui peuvent se combiner de manière adverse (ou pas d’ailleurs). Dans un cas on parlera de défense en profondeur. Dans l’autre de « fail ».
La sécurité informatique est donc à 100% une affaire de bon sens et celui-ci doit être proportionnel à l’importance des infrastructures défendues. Il faut ainsi surtout se poser les bonnes questions, et appliquer systématiquement les règles élémentaires d’hygiène informatique.
Lors des 11ème assises de la sécurité, qui rassemblaient de nombreux directeurs informatiques et RSSI d’entreprises et d’administrations, Patrick Pailloux, directeur général de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations), a appelé les participants à un sursaut en matière de sécurité informatique. C’est sans nul doute une des personnes les mieux placée pour le faire puisque son administration assume la mission d’autorité nationale en la matière (et est donc chargée de prévenir et corriger les problèmes).
Il constate ces dernières années un « saut quantique » en ce qui concerne les attaques à des fins d’espionnage, industriel ou d’état. Et dresse également un panorama des problèmes que ses services ont pu constater. Droits d’accès flous, surveillance des journaux et flux sortants non effective, systèmes non mis à jour, mots de passes faibles, manque de défense en profondeur, les problèmes sont nombreux et entraînent une perméabilité des systèmes d’informations à des attaques sans cesse croissantes.
La sécurité d’une infrastructure ne peut être assurée ni par l’empilement de produits en bordure de réseau, ni par le passage de certifications. Il s’agit avant tout du respect d’un certain nombre de principes souvent dictés par le bon sens.
Fait intéressant et belle illustration, lors de la séance de questions qui a suivi, un participant a cherché à prévenir la salle qu’une faille avait été découverte dans le site web de l’événement, doté d’un espace privé pour les partenaires et invités. On ne lui a malheureusement pas passé le micro.
En l’occurrence le site était accessible en http, le mot de passe étant envoyé en utilisant la méthode GET (une mauvaise pratique en soi car il est ainsi enregistré dans les logs). Combiné au fait que la majeure partie des participants se connectaient lors de l’événement en utilisant le réseau wifi, ceux qui n’ont pas vérifié le protocole et qui n’avaient pas de VPN ont pu être l’objet d’une interception de leur mot de passe. Heureusement, ce dernier est généré au hasard lors de la création du compte.
ANSSI : lien
Les assises de la sécurité : lien
La faille dans le site web, sur Twitter : lien
- Article suivant : Metasploit Community Edition, convergence partielle entre Metasploit et Metasploit Pro
- Article précédent : Le typosquatting utilisé pour le recueil d’informations confidentielles
- Article suivant dans la catégorie Reportages : ZERO DAY un documentaire sur les côtés obscurs de l'Internet
- Article précédent dans la catégorie Reportages : Le projet OsmocomBB, implémentation libre de la norme GSM
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
| Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
