Misc 102

Durcissement de la sécurité des systèmes GNU/Linux

  1. Isolation de processus avec les namespaces et seccomp BPF
  2. Découvrez Qubes OS, un système orienté bureau et sécurité
  3. Les prochaines avancées pour la sécurité de la distribution Debian

Plus de détails

8,90 € TTC

 
Les avis des lecteurs sur ce numero ( - 0 Avis )

Aucun avis n'a été publié pour le moment.

Merci de vous connecter à votre compte afin de pouvoir publier votre avis.

Se connecter à votre compte

Vous aussi, donnez-nous votre avis

SOMMAIRE :

Exploit Corner

p. 06  Analyse du contournement de KTRR

Malware Corner

p. 12  Introspection et analyse de malware via LibVMI

IoT Corner

p. 20  Hacking IoT : test d’intrusion d’une caméra connectée

Dossier

p. 30  Préambule
p. 31  Namespaces et seccomp BPF : un zoom sur la conteneurisation Linux
p. 39  Qubes OS : un système d’exploitation raisonnablement sécurisé
p. 51  Sécurité de Debian Buster

Réseau

p. 58  Silent wire hacking : écouter le trafic sur les liens ethernet

Système

p. 66  L’en-tête HPKP pour sécuriser un peu plus les connexions sur Internet ?

Organisation & Juridique

p. 76  Guide de survie juridique : comment réagir en cas d’intrusion ?

éDITO :

La Blockchain ou les habits neufs de l’empereur

Je crois qu’aucune technologie ne m’a jamais laissé aussi circonspect que la Blockchain (ou chaîne de blocs). Une technologie dont tout le monde a entendu parler alors qu’elle est conceptuellement particulièrement complexe, que tout le monde veut utiliser alors que le champ d’application est particulièrement réduit et inadapté, ou tout du moins inefficace, pour la plupart des usages.

Nous avons d’un point de vue conceptuel une merveille d’élégance, un système réussissant à faire émerger l'harmonie au milieu du chaos. En effet, la Blockchain est une base de données réussissant le tour de force d’apporter un très haut niveau d’intégrité, de disponibilité et de preuve dans un environnement où personne ne peut se faire confiance. La perfection n’étant pas de ce monde, les performances en écriture sont très limitées et la consommation énergétique liée aux preuves de travail problématique. De plus, comme souvent lorsque les exigences de disponibilité et d’intégrité sont très fortes, la confidentialité est difficilement assurée. Ce dernier point étant d’ailleurs rayé d’un coup de plume, en effet, par conception les chaînes de blocs sont publiques. Ce n’est qu’à ce prix qu’elles peuvent être répliquées à l’infini. Elles sont ainsi toujours disponibles et l’authenticité de leur contenu est vérifiable par chacun.

Implémentée pour la première fois à grande échelle avec le Bitcoin, la viabilité du modèle théorique a été démontrée de manière particulièrement éblouissante. Dix ans après sa création, cette Blockchain évolue de manière totalement autonome, les auteurs l’ayant conçu pour qu’elle soit totalement décentralisée et coupée de ses créateurs qui ne peuvent plus la modifier. 

La flambée du Bitcoin ayant été très largement relayée par les médias, le terme de Blockchain a fini par être connu auprès du grand public et des décideurs qui se sont convaincus que c’était un truc important et qu’il fallait forcément en être. Si bizarrement aucun haut fonctionnaire ou cadre dirigeant n’a jamais convoqué son directeur informatique pour s’inquiéter de l’existence de projets intégrant des bases de données NoSQL, il en est tout autre pour la Blockchain. Combien de DSI se sont entendus dire ces derniers mois « J’espère que l’on n’est pas en train de rater le coche de la Blockchain, je veux d’ici la fin du mois un projet et on va mettre toutes les équipes de Com dessus »? Combien d’entre nous se sont retrouvés dans des réunions ubuesques où une personne, sans aucune compétence en informatique, voulait absolument utiliser la Blockchain comme base de données sans comprendre ni l'intérêt du système ni tous les inconvénients :

« Bon les gars, vous savez que nous devons développer une nouvelle application de gestion des fiches de paie ? La direction a insisté pour qu’elles soient stockées sur la Blockchain. Ils ont eu une présentation aux Assises de la sécurité et on leur a dit qu’avec cette techno les données sont infalsifiables et ne seront jamais perdues.

- Ils veulent rendre publiques les fiches de paie de toute la boite ? Qu’on les publie sur la Blockchain du Bitcoin ou d’Ethereum ?

- Mais non, c’est super confidentiel, on va faire tourner ça sur notre Cloud privé.

- OK, j’ai récupéré un vieux serveur sur lequel on faisait tourner nos bases de données. On va installer VirtualBox et faire tourner trois ou quatre VM avec Ethereum ça devrait suffire.

- Super ! Avec ça on est certain de ne jamais les perdre. On va pouvoir numériser toutes les archives et libérer un bureau. »

Bonne lecture et en vous souhaitant de beaux projets Blockchain en 2019 !

Cedric Foll / cedric@miscmag.com / @follc

A propos du magazine
Logo

LE MAGAZINE POUR LES EXPERTS DE LA SéCURITé informatique multiplateformes

Face à la transformation digitale de notre société et l’augmentation des menaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 15 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Déjà vus

Nouveaux produits