Pentest Corner

p. 06   ADCS, attaques et remédiations
p. 14   À la découverte d’Odoo : fonctionnement et sécurité
p. 24   Sécurité des mécanismes de cache HTTP : mise en lumière des tactiques d'exploitation qui menacent les serveurs de cache et mettent en péril la sécurité des clients

Malware Corner

p. 40   20 ans de virus sur téléphone mobile

Système

p. 48   Comprendre et manipuler les mécanismes d’isolation des conteneurs
p. 62   Sigma – Un format pensé pour la détection système

Cryptographie

p. 70   Introduction au chiffrement homomorphe

Organisation

p. 76   Petit vadémécum de synergies entre activités de cybersécurité

Depuis mai 2018, et l’application du RGPD, la protection des données personnelles est désormais un sujet primordial tant pour les entreprises, les organismes publics et les citoyens. À l’aide des sanctions dorénavant possibles, et du cadre répressif qui l’accompagne, il a permis de responsabiliser différents acteurs, et contribue à la transparence des fuites de données ainsi qu’à leur prompt signalement.

Cependant, force est de constater que les fuites de données d’ampleur ne se sont pas arrêtées pour autant. Pire, leurs actualités récentes montrent que des données personnelles très sensibles liées aux systèmes français de santé, en février 2024, et d’emploi, en août 2023, sont à présent dans la nature.
Pour tout un chacun, il est malheureusement difficile d’en connaître les conséquences et les recommandations d’usage qui nous sont formulées ne sont pas de nature rassurante. Pour se protéger, il conviendrait d’être vigilant en ce qui concerne les sollicitations que l’on peut recevoir. Cela semble peu pragmatique pour nos concitoyens les plus âgés qui maîtrisent mal l’outil informatique et encore moins les risques liés aux usages et ceux résultant de telles fuites de données comme les usurpations d’identité.

Tout n’est pas cependant figé et des évolutions technologiques récentes protègent favorablement nos données personnelles. Ainsi, l’utilisation du chiffrement de bout en bout est désormais transparente grâce à de nombreuses applications sur nos téléphones. Par ailleurs, de nombreux acteurs du Cloud proposent des solutions de stockage devant assurer la confidentialité des données hébergées.

Néanmoins, des manques demeurent. Il est notamment compliqué de tracer l’utilisation de nos données personnelles, de savoir où elles sont stockées, qui les manipulent ou à quel moment. De surcroît, les dernières avancées du Confidential Computing amènent à s’interroger sur l’utilisation des technologies associées afin de limiter le partage de données sensibles et leurs manipulations par des tiers.

Côté matériel, les instructions Intel SGX et AMD SEV permettent d’exécuter des applications dans des enclaves protégées du processeur principal du système. Il est ainsi envisageable de traiter des données confidentielles dans des environnements Cloud non maîtrisés. Des cas d’usages récents consistent par exemple à exécuter un modèle d’intelligence artificielle dans une enclave avec des données qui lui sont envoyées chiffrées. Seule l’enclave peut accéder au clair correspondant, puis renvoie son résultat chiffré au client.

Côté cryptographie, les algorithmes de preuve à divulgation nulle de connaissance (Zero-knowledge proof, en anglais) ou de calcul multipartite sécurisé (secure multi-party computation, en anglais) permettent d’effectuer des calculs ou de partager des connaissances sans accéder aux informations en clair. En ce qui concerne la protection des données personnelles, ils permettent par exemple de vérifier si une personne est bien majeure sans divulguer son âge et son identité.

Il s’agit d’avancées techniques très prometteuses, dont les expérimentations mériteraient d’être plus largement partagées afin de cerner les usages aujourd’hui possibles malgré des performances parfois limitées. Pour aller plus loin, ce numéro contient un article pédagogique sur le chiffrement homomorphe qui vous permettra de comprendre son fonctionnement, et pourquoi pas utiliser les exemples présentés pour tester vous-même cette technologie et envisager les possibilités pour la protection de nos données personnelles.

Guillaume VALADON  @guedou – guillaume@miscmag.com – Pour le comité de rédaction