-
S'abonnerAbonnez-vous à nos différents supports -
Magazines à l’unitéCommandez les nouvelles parutions ou complétez votre collection -
Livraison offerte à partir de 50€ d’achat ** Offre valable pour les numéros hors abonnements, livraison en France métropolitaine, appliquée une fois connecté !
- Kiosk OnlineLes magazines 100% online
- Diamond ConnectBase documentaire 100% digitale
Misc 132
Exploitation des mécanismes de cache http
- Fonctionnement & configuration des systèmes de cache
- Description des vulnérabilités
- Exemples d’exploitation
12,90 € TTC
Anciens Numéros
Pentest Corner
p. 06 ADCS, attaques et remédiations
p. 14 À la découverte d’Odoo : fonctionnement et sécurité
p. 24 Sécurité des mécanismes de cache HTTP : mise en lumière des tactiques d'exploitation qui menacent les serveurs de cache et mettent en péril la sécurité des clients
Malware Corner
p. 40 20 ans de virus sur téléphone mobile
Système
p. 48 Comprendre et manipuler les mécanismes d’isolation des conteneurs
p. 62 Sigma – Un format pensé pour la détection système
Cryptographie
p. 70 Introduction au chiffrement homomorphe
Organisation
p. 76 Petit vadémécum de synergies entre activités de cybersécurité
Depuis mai 2018, et l’application du RGPD, la protection des données personnelles est désormais un sujet primordial tant pour les entreprises, les organismes publics et les citoyens. À l’aide des sanctions dorénavant possibles, et du cadre répressif qui l’accompagne, il a permis de responsabiliser différents acteurs, et contribue à la transparence des fuites de données ainsi qu’à leur prompt signalement.
Cependant, force est de constater que les fuites de données d’ampleur ne se sont pas arrêtées pour autant. Pire, leurs actualités récentes montrent que des données personnelles très sensibles liées aux systèmes français de santé, en février 2024, et d’emploi, en août 2023, sont à présent dans la nature.
Pour tout un chacun, il est malheureusement difficile d’en connaître les conséquences et les recommandations d’usage qui nous sont formulées ne sont pas de nature rassurante. Pour se protéger, il conviendrait d’être vigilant en ce qui concerne les sollicitations que l’on peut recevoir. Cela semble peu pragmatique pour nos concitoyens les plus âgés qui maîtrisent mal l’outil informatique et encore moins les risques liés aux usages et ceux résultant de telles fuites de données comme les usurpations d’identité.
Tout n’est pas cependant figé et des évolutions technologiques récentes protègent favorablement nos données personnelles. Ainsi, l’utilisation du chiffrement de bout en bout est désormais transparente grâce à de nombreuses applications sur nos téléphones. Par ailleurs, de nombreux acteurs du Cloud proposent des solutions de stockage devant assurer la confidentialité des données hébergées.
Néanmoins, des manques demeurent. Il est notamment compliqué de tracer l’utilisation de nos données personnelles, de savoir où elles sont stockées, qui les manipulent ou à quel moment. De surcroît, les dernières avancées du Confidential Computing amènent à s’interroger sur l’utilisation des technologies associées afin de limiter le partage de données sensibles et leurs manipulations par des tiers.
Côté matériel, les instructions Intel SGX et AMD SEV permettent d’exécuter des applications dans des enclaves protégées du processeur principal du système. Il est ainsi envisageable de traiter des données confidentielles dans des environnements Cloud non maîtrisés. Des cas d’usages récents consistent par exemple à exécuter un modèle d’intelligence artificielle dans une enclave avec des données qui lui sont envoyées chiffrées. Seule l’enclave peut accéder au clair correspondant, puis renvoie son résultat chiffré au client.
Côté cryptographie, les algorithmes de preuve à divulgation nulle de connaissance (Zero-knowledge proof, en anglais) ou de calcul multipartite sécurisé (secure multi-party computation, en anglais) permettent d’effectuer des calculs ou de partager des connaissances sans accéder aux informations en clair. En ce qui concerne la protection des données personnelles, ils permettent par exemple de vérifier si une personne est bien majeure sans divulguer son âge et son identité.
Il s’agit d’avancées techniques très prometteuses, dont les expérimentations mériteraient d’être plus largement partagées afin de cerner les usages aujourd’hui possibles malgré des performances parfois limitées. Pour aller plus loin, ce numéro contient un article pédagogique sur le chiffrement homomorphe qui vous permettra de comprendre son fonctionnement, et pourquoi pas utiliser les exemples présentés pour tester vous-même cette technologie et envisager les possibilités pour la protection de nos données personnelles.
Guillaume VALADON @guedou – guillaume@miscmag.com – Pour le comité de rédaction
La publication technique des experts de la sécurité offensive & défensive
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Dans votre voiture, votre maison ou même votre poche : les systèmes embarqués sont partout ! Le logiciel a pris le pas sur du matériel pour des raisons évidentes : facilités de développement, flexibilité (mise à jour, correctifs), les avantages de migrer des fonctions du matériel vers le logiciel sont évidents. Au fil des années, le matériel embarqué est devenu si puissant qu'on ne considère plus les ressources comme limitées. Ainsi, les différences entre des machines de bureau et embarquées s'amenuisent et amènent les développeurs à déployer les mêmes systèmes d'exploitation sur ces plates-formes.Cependant, au-delà du seul aspect performance, certains systèmes requièrent des services spécifiques, en particulier lorsque la réussite d'une mission ou la survie est en jeu. Ces exigences peuvent être diverses (temporelles - déterminisme de l'ordonnancement ou spatiales - consommation d'espace mémoire, couverture de code) mais toutes ont une importance capitale. Au cours de cet article, nous allons présenter les services et standards en vigueur dans le domaine et détailler leurs API.
