-
S'abonnerAbonnez-vous à nos différents supports -
Magazines à l’unitéCommandez les nouvelles parutions ou complétez votre collection -
Livraison offerte à partir de 50€ d’achat ** Offre valable pour les numéros hors abonnements, livraison en France métropolitaine, appliquée une fois connecté !
Misc 132
Exploitation des mécanismes de cache http
- Fonctionnement & configuration des systèmes de cache
- Description des vulnérabilités
- Exemples d’exploitation
12,90 € TTC
Anciens Numéros
Pentest Corner
p. 06 ADCS, attaques et remédiations
p. 14 À la découverte d’Odoo : fonctionnement et sécurité
p. 24 Sécurité des mécanismes de cache HTTP : mise en lumière des tactiques d'exploitation qui menacent les serveurs de cache et mettent en péril la sécurité des clients
Malware Corner
p. 40 20 ans de virus sur téléphone mobile
Système
p. 48 Comprendre et manipuler les mécanismes d’isolation des conteneurs
p. 62 Sigma – Un format pensé pour la détection système
Cryptographie
p. 70 Introduction au chiffrement homomorphe
Organisation
p. 76 Petit vadémécum de synergies entre activités de cybersécurité
Depuis mai 2018, et l’application du RGPD, la protection des données personnelles est désormais un sujet primordial tant pour les entreprises, les organismes publics et les citoyens. À l’aide des sanctions dorénavant possibles, et du cadre répressif qui l’accompagne, il a permis de responsabiliser différents acteurs, et contribue à la transparence des fuites de données ainsi qu’à leur prompt signalement.
Cependant, force est de constater que les fuites de données d’ampleur ne se sont pas arrêtées pour autant. Pire, leurs actualités récentes montrent que des données personnelles très sensibles liées aux systèmes français de santé, en février 2024, et d’emploi, en août 2023, sont à présent dans la nature.
Pour tout un chacun, il est malheureusement difficile d’en connaître les conséquences et les recommandations d’usage qui nous sont formulées ne sont pas de nature rassurante. Pour se protéger, il conviendrait d’être vigilant en ce qui concerne les sollicitations que l’on peut recevoir. Cela semble peu pragmatique pour nos concitoyens les plus âgés qui maîtrisent mal l’outil informatique et encore moins les risques liés aux usages et ceux résultant de telles fuites de données comme les usurpations d’identité.
Tout n’est pas cependant figé et des évolutions technologiques récentes protègent favorablement nos données personnelles. Ainsi, l’utilisation du chiffrement de bout en bout est désormais transparente grâce à de nombreuses applications sur nos téléphones. Par ailleurs, de nombreux acteurs du Cloud proposent des solutions de stockage devant assurer la confidentialité des données hébergées.
Néanmoins, des manques demeurent. Il est notamment compliqué de tracer l’utilisation de nos données personnelles, de savoir où elles sont stockées, qui les manipulent ou à quel moment. De surcroît, les dernières avancées du Confidential Computing amènent à s’interroger sur l’utilisation des technologies associées afin de limiter le partage de données sensibles et leurs manipulations par des tiers.
Côté matériel, les instructions Intel SGX et AMD SEV permettent d’exécuter des applications dans des enclaves protégées du processeur principal du système. Il est ainsi envisageable de traiter des données confidentielles dans des environnements Cloud non maîtrisés. Des cas d’usages récents consistent par exemple à exécuter un modèle d’intelligence artificielle dans une enclave avec des données qui lui sont envoyées chiffrées. Seule l’enclave peut accéder au clair correspondant, puis renvoie son résultat chiffré au client.
Côté cryptographie, les algorithmes de preuve à divulgation nulle de connaissance (Zero-knowledge proof, en anglais) ou de calcul multipartite sécurisé (secure multi-party computation, en anglais) permettent d’effectuer des calculs ou de partager des connaissances sans accéder aux informations en clair. En ce qui concerne la protection des données personnelles, ils permettent par exemple de vérifier si une personne est bien majeure sans divulguer son âge et son identité.
Il s’agit d’avancées techniques très prometteuses, dont les expérimentations mériteraient d’être plus largement partagées afin de cerner les usages aujourd’hui possibles malgré des performances parfois limitées. Pour aller plus loin, ce numéro contient un article pédagogique sur le chiffrement homomorphe qui vous permettra de comprendre son fonctionnement, et pourquoi pas utiliser les exemples présentés pour tester vous-même cette technologie et envisager les possibilités pour la protection de nos données personnelles.
Guillaume VALADON @guedou – guillaume@miscmag.com – Pour le comité de rédaction
La publication technique des experts de la sécurité offensive & défensive
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
À une époque où Internet ne cesse d'évoluer, l'utilisation des mécanismes de cache HTTP est devenue incontournable pour optimiser les performances des sites web. Cependant, ils peuvent aussi être la source de nouvelles vulnérabilités. Cet article explore donc leur sécurité en présentant comment ces derniers peuvent être à l'origine de failles critiques représentant une menace pour l'intégrité des applications web et la confidentialité des données des utilisateurs.
Une autorité de certification est un élément critique dans le réseau interne d’une entreprise. La présence de vulnérabilités sur cette dernière peut conduire à la compromission du système d’information de toute l’entreprise. Les attaquants l’ont bien compris, et ont construit au fil des années un arsenal de techniques offensives ciblant ce service.
Un des aspects pratiques de l'utilisation des technologies de conteneurisation est leur capacité à créer un environnement isolé du système hôte sans virtualisation ; mais celle-ci est-elle bien connue et maîtrisée de ses utilisateurs ? Cet article introduit les différents mécanismes sous-jacents permettant l'isolation des conteneurs du système hôte sur le système d'exploitation Linux et présente comment les manipuler.
