Ironflake

Abandon, Reprise, Echec ?

16
novembre 2010

INSIA - Cryptologie : Cours N°4

Rédigé par  Matthieu CERDA  Aucun commentaire Mis à jour le 16/11/2010

Et c'est parti pour de nouvelles aventures !
On commence le cours sur le phénomène de la "folle de charcot" : Une personne peut trouver intuitivement une information en étant en état d'hypersensibilité.

Le professeur aborde avec beaucoup de poésie le hacking éthique.

Quels sont les problèmes rencontrés dans la sécurisation des sites :

  • Le pognon$$$

  • Les failles humaines : négligeance, coût humain, volonté de préserver son travail.

  • Les failles logicielles


Exemple : un serveur, dans les toilettes, sous les tuyaux d'eau, sans ventilation, avec les sauvegardes posées sur le serveur, a l'abandon.

Pourquoi le problème n'est pas aussi connu que ça ?

  • Plus le réseau est grand plus le risque d'être faillible est grand


La crypto permet de contourner le problème : il n'y a plus besoin de réparer toutes les failles très vite, on ralentit les choses.

Une petite présentation ancienne ayant pour sujet une étude de sécurité dans une grande entreprise d'énergie française est faite, et on remarque que le réseau est un vrai gruyère : des vulnérabilités sont présentes a beaucoup de niveaux. Les intervenants extérieurs conseillent la création de "bulles de sécurité", afin de parer au plus urgent.

Le projet est lancé avec une deadline de 3 mois, avec pour objectif de créer un système résistant, mais rencontre une forte opposition des équipes en place qui créent un projet concurrent. (3/2 ans de moratoire et migration vers MS Vista, et organisation d'une journée de la sécurité au stade de france)

Bilan au bout des 2 ans de moratoire : la situation est toujours aussi pourrie, les mdp sont triviaux et tout est vulnérable. Une preuve de concept est présentée pour discréditer toute opposition, et exhibe de manière explicite toutes les failles ...

Une seconde présentation est faite, ayant pour source le Groupe Gartner : Il y a 10 défis pour un groupe informatique

  1. Sécuriser les données

  2. Assurer la continuité d'activité

  3. Nettoyer les réseaux hérités du passé

  4. Organiser la mobilité

  5. Faire plus avec moins

  6. Garantir les performances du système

  7. Certifier l'informatique (normes ISO, etc...)

  8. Simplifier l'infrastructure informatique

  9. Simplifier l'accès aux applications et aux données


Proverbe Texan : "If you always do what you always did, you always get what you always got"

On évolue vers un nouveau paradigme :

  • S (écurité) : de bout en bout

  • A (ccès) : ATTAWAD (AnyTime, AnyWhere, Any Device)

  • C (ontinuité) : Interne et Externe


Grâce a la virtualisation, il devient possible de protéger assez simplement l'information.

Création de systèmes "Secure by design" => Isolation totale de toutes les couches d'opération de l'entreprise.

On gère plusieurs zones séparées, sans interconnexion directe => sandboxes, dont plusieurs implémentations sont proposées aujourd'hui : Citrix, Windows vServer ...

Ce type d'infrastructure est dite "OSS" ou "Bastion".

09
novembre 2010

INSIA - Cryptologie : Cours N°3

Rédigé par  Matthieu CERDA  Aucun commentaire Mis à jour le 09/11/2010

Le cours commence par un petit exposé sur Booz-Allen-Hamilton, qui représenterait une normalisation a très grande échelle, au niveau des entreprises,voire des gouvernements. (Théorie du complot évoqué)

Booz AH      |

BELL             | => FORD, IBM, HITLER

QUALITE    |

Notion d'AMDEC (Analyse des Modes de qualité et de défaillance)

Henry Ford visita un abattoir et remarqua qu'on avait intelligemment réparti les tâches pour les rendre supportables (accueillir, tuer, découper).

Il utilisa ce modèle pour la création de ses usines pour les Ford T, modèle qui sera réutilisé par IBM ou les Nazis.

=> Moralité : notre savoir sur la crypto et le management découle de toutes ces expériences, il faut donc être responsable et se rappeler du fait que notre travail peut être mal utilisé.

[caption id="attachment_104" align="alignleft" width="300" caption="Booz Allen Hamilton"]Booz Allen Hamilton[/caption]

On revient a Booz-Allen-Hamilton : On notera que "beaucoup de boîtes impliquées dans des scandales a grande échelle sont liées a eux" (Citation).

On aborde le cas de Michael Dell, créateur de la marque Dell : son père texan bosse chez BAH, ce qui lie les décisions de l'entreprise au bon vouloir de BAH. => Soutien des républicains et controverses importantes.

On parle aussi de la société Carlyle (qui possède Gemalto/GEMplus), qui compte comme actionnaires des familles influentes et pèse 20 Milliards de Dollars, qui s'est séparée il y a peu de BAH.

<J'AIME LES PETITS SUISSES> => les banques sont des organismes froids et calculateurs dont le seul but est le profit, et se servent de l'intraçabilité des documents a l'époque pour s'enrichir sur les décès ou les manipulations d'états.

Depuis 1974 en France, Valéry Giscard-D'estaing a créé la loi qui imposait aux banques de traiter les chèques sur 2,5 ou 11 jours ouvrés selon le cas.

On note donc que la traçabilité des moyens de paiement était TRES mauvaise, les systèmes d'authentification et d'identification étaient quasi-inexistants. => il faut absolument établir un système d'identité numérique.

La solution aux controverses sur ce système consiste en la séparation des "clés" d'identité.

I     ->     J     ->     Fichier, J ne peut pas lier le Fichier a I sans que I ne donne aussi sa clé. => DIFFIE-HELMAN

Petite introduction/rappel d'arithmétique modulaire afin de comprendre l'échange Diffie-Helman.

On parle du Dr Philippe Oechslin, créateur d'Ophcrack qui a mis en oeuvre les Rainbow Tables pour permettre d'éclater un pw NTLM en quelques secondes.

  • Atelier sur Ophcrack. Le réseau de l'INSIA est étudié.

  • Etude de l'algorithme DES, lent et vulnérable. Sa force réside dans la multiplicité récursive.

  • Etude d'AES/Rijndael.


On démontre qu'AES n'est pas fondamentalement sécurisé (Backdoors, clés masquées) mais il n'a jamais été conçu pour sécuriser une information dans la durée .
De plus, il est parfaitement sûr dans le cas d'une attaque par un individu non préparé ou ne disposant pas de moyens importants.
« précédente page 4 sur 6 suivante »