Mars / Avril 2024

Misc 132

Exploitation des mécanismes de cache http   

  • Fonctionnement & configuration des systèmes de cache
  • Description des vulnérabilités
  • Exemples d’exploitation
En savoir plus

12,90 € TTC

Anciens Numéros

LIVRAISON OFFERTE en France Métropolitaine à partir de 50€
Misc 136

Misc 136

Novembre / Décembre 2024
14,90 €
Misc HS 30

Misc HS 30

Octobre / Novembre 2024
14,90 €
Misc 135

Misc 135

Septembre / Octobre 2024
12,90 €
Misc 134

Misc 134

Juillet / Août 2024
12,90 €
Misc HS 29

Misc HS 29

Juin / Juillet 2024
14,90 €
Misc 133

Misc 133

Mai / Juin 2024
12,90 €
Misc 132

Misc 132

Mars / Avril 2024
12,90 €
Misc HS 28

Misc HS 28

Février / Mars 2024
14,90 €
SOMMAIRE :

Pentest Corner

p. 06   ADCS, attaques et remédiations
p. 14   À la découverte d’Odoo : fonctionnement et sécurité
p. 24   Sécurité des mécanismes de cache HTTP : mise en lumière des tactiques d'exploitation qui menacent les serveurs de cache et mettent en péril la sécurité des clients

Malware Corner

p. 40   20 ans de virus sur téléphone mobile

Système

p. 48   Comprendre et manipuler les mécanismes d’isolation des conteneurs
p. 62   Sigma – Un format pensé pour la détection système

Cryptographie

p. 70   Introduction au chiffrement homomorphe

Organisation

p. 76   Petit vadémécum de synergies entre activités de cybersécurité

EDITO :


Depuis mai 2018, et l’application du RGPD, la protection des données personnelles est désormais un sujet primordial tant pour les entreprises, les organismes publics et les citoyens. À l’aide des sanctions dorénavant possibles, et du cadre répressif qui l’accompagne, il a permis de responsabiliser différents acteurs, et contribue à la transparence des fuites de données ainsi qu’à leur prompt signalement.

Cependant, force est de constater que les fuites de données d’ampleur ne se sont pas arrêtées pour autant. Pire, leurs actualités récentes montrent que des données personnelles très sensibles liées aux systèmes français de santé, en février 2024, et d’emploi, en août 2023, sont à présent dans la nature.
Pour tout un chacun, il est malheureusement difficile d’en connaître les conséquences et les recommandations d’usage qui nous sont formulées ne sont pas de nature rassurante. Pour se protéger, il conviendrait d’être vigilant en ce qui concerne les sollicitations que l’on peut recevoir. Cela semble peu pragmatique pour nos concitoyens les plus âgés qui maîtrisent mal l’outil informatique et encore moins les risques liés aux usages et ceux résultant de telles fuites de données comme les usurpations d’identité.

Tout n’est pas cependant figé et des évolutions technologiques récentes protègent favorablement nos données personnelles. Ainsi, l’utilisation du chiffrement de bout en bout est désormais transparente grâce à de nombreuses applications sur nos téléphones. Par ailleurs, de nombreux acteurs du Cloud proposent des solutions de stockage devant assurer la confidentialité des données hébergées.

Néanmoins, des manques demeurent. Il est notamment compliqué de tracer l’utilisation de nos données personnelles, de savoir où elles sont stockées, qui les manipulent ou à quel moment. De surcroît, les dernières avancées du Confidential Computing amènent à s’interroger sur l’utilisation des technologies associées afin de limiter le partage de données sensibles et leurs manipulations par des tiers.

Côté matériel, les instructions Intel SGX et AMD SEV permettent d’exécuter des applications dans des enclaves protégées du processeur principal du système. Il est ainsi envisageable de traiter des données confidentielles dans des environnements Cloud non maîtrisés. Des cas d’usages récents consistent par exemple à exécuter un modèle d’intelligence artificielle dans une enclave avec des données qui lui sont envoyées chiffrées. Seule l’enclave peut accéder au clair correspondant, puis renvoie son résultat chiffré au client.

Côté cryptographie, les algorithmes de preuve à divulgation nulle de connaissance (Zero-knowledge proof, en anglais) ou de calcul multipartite sécurisé (secure multi-party computation, en anglais) permettent d’effectuer des calculs ou de partager des connaissances sans accéder aux informations en clair. En ce qui concerne la protection des données personnelles, ils permettent par exemple de vérifier si une personne est bien majeure sans divulguer son âge et son identité.

Il s’agit d’avancées techniques très prometteuses, dont les expérimentations mériteraient d’être plus largement partagées afin de cerner les usages aujourd’hui possibles malgré des performances parfois limitées. Pour aller plus loin, ce numéro contient un article pédagogique sur le chiffrement homomorphe qui vous permettra de comprendre son fonctionnement, et pourquoi pas utiliser les exemples présentés pour tester vous-même cette technologie et envisager les possibilités pour la protection de nos données personnelles.


Guillaume VALADON 
 @guedou – guillaume@miscmag.com – Pour le comité de rédaction

La publication technique des experts de la sécurité offensive & défensive

Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Sécurité des mécanismes de cache HTTP : mise en lumière des tactiques d'exploitation qui menacent les serveurs de cache et mettent en péril la sécurité des clients
MISC n°132 Free

À une époque où Internet ne cesse d'évoluer, l'utilisation des mécanismes de cache HTTP est devenue incontournable pour optimiser les performances des sites web. Cependant, ils peuvent aussi être la source de nouvelles vulnérabilités. Cet article explore donc leur sécurité en présentant comment ces derniers peuvent être à l'origine de failles critiques représentant une menace pour l'intégrité des applications web et la confidentialité des données des utilisateurs.

Sigma – Un format pensé pour la détection système
MISC n°132 Free

L’hétérogénéité des modes opératoires adverses et des outils pour les détecter a conduit naturellement à penser un format de détection générique, facilement compréhensible, clé de voûte d’une stratégie de détection efficace.

Petit vadémécum de synergies entre activités de cybersécurité
MISC n°132 Free

La cybersécurité, désormais bien (mieux) installée dans le paysage institutionnel de nos sociétés développées, n’échappe pas au morcellement de la pensée et des pratiques qui est le devenir de tout domaine un tant soit peu dynamique. À ce titre, quelque néophyte qui tenterait de comprendre le quotidien d’une équipe de cybersécurité relativement pluridisciplinaire serait très vite abasourdi devant la masse de termes obscurs, expressions anglicisantes et autres néologismes qui peuplent nos journées. Si on ajoute à cela l’incroyable fertilité de la pensée marketing, jamais avare de nouveaux concepts (pseudo-)révolutionnaires, il y a de quoi frôler l’overdose sémantique.

Ce magazine est intégralement disponible sur Linux Magazine Connect
© 2024 - LES EDITIONS DIAMOND