Réseau sans fil 802.15.4 et sécurité

Magazine
Marque
MISC
Numéro
86
|
Mois de parution
juillet 2016
|
Domaines


Résumé
La norme IEEE 802.15.4 permet de définir la base d’un réseau sans fil à bas coût et économe en énergie. Ces contraintes, omniprésentes dans le domaine des objets connectés, font de cette norme une brique de base prisée par de nombreux protocoles de plus haut niveau : ZigBee, 6LoWPAN, ISA100.11a, etc.Nous présentons ici le fonctionnement d’un réseau 802.15.4, l’évolution des mécanismes de sécurité présents dans la norme ainsi que les vulnérabilités connues et leurs impacts potentiels.

La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Aléa et cryptanalyse de générateurs

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

La plupart des applications en cryptographie moderne nécessitent à un moment ou un autre une source d’aléa [1]. Que ce soit pour chiffrer, générer des nonces, des clés ou même des sels cryptographiques. Mais comment générer de l’aléa sur nos ordinateurs qui sont des machines déterministes ?Dans cet article, nous allons nous intéresser à la place de l’aléa dans les algorithmes de chiffrements modernes. Puis nous verrons trois CTF ou le but est de cryptanalyser des générateurs de nombres aléatoires ; cela nous permettra d’en comprendre le fonctionnement et de voir quelques attaques sur des générateurs de nombres aléatoires.

Sondes de détection : performances, évaluations et biais

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

En avril 2019, l’ANSSI a qualifié les premières sondes pour assurer la supervision de sécurité de réseaux. Les opérateurs d’importance vitale (OIV), les opérateurs de services essentiels (OSE) et, d’une manière générale, les organismes opérant des fonctions sensibles disposent ainsi de produits français de confiance : Cybels Sensor de Thales et Trackwatch Full Edition de Gatewatcher.La méthodologie d’évaluation des sondes n’est, hélas, pas publique. Les ingénieurs sécurité et réseau devant intégrer ces sondes ne disposent donc pas de guides pour effectuer la recette de leur efficacité en production. Cet article propose un retour d’expérience sur l’évaluation des sondes, notamment sous l’angle de la performance. Cet aspect est, en effet, particulièrement significatif puisque le taux de détection d’une sonde diminue si elle est submergée, quand bien même elle serait équipée des meilleurs signatures et moteurs d’analyse.

Contournement de l'API Google Play Billing

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

D'après le blog [INVESP], le montant global des paiements dits « in-app » représentait environ 37 milliards de dollars (USD) en 2017 pour les applications mobiles (Android et Apple). Ce montant représente quasiment la moitié des revenus générés par les applications mobiles (48,2%), dépassant les revenus générés par les régies publicitaires (14%), ainsi que l'achat d'applications (37,8%). Il est donc important que la sécurité de ces paiements soit correctement implémentée afin d'éviter un manque à gagner pour les développeurs des applications. Dans le cadre de cet article, nous avons passé en revue 50 applications Android afin d'étudier le fonctionnement de l'API Google Play Billing et d'identifier les vulnérabilités liées à une mauvaise implémentation. Nous détaillerons en exemple des applications vulnérables.

Introduction au dossier : éprouver la sécurité des applications mobiles

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

Il serait difficile de vous convaincre qu’aujourd’hui les applications mobiles ne représentent qu’une part minime de nos usages « numériques », et qu’il n’y a aucun risque de sécurité associé. La réalité est en effet bien différente, et dans le domaine des statistiques de la démesure, le volume de smartphones vendus a de quoi impressionner : plus d’un milliard par an depuis 2015.

L’intégration du « Privacy by Design » et de la SSI dans la gestion de projets en mode V ou Agile

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

L’analyse de l’actualité ne cesse de nous alerter sur la très faible prise en compte de la sécurité native dans un grand nombre de projets et plus particulièrement sur la sous-estimation de l’intégration des exigences de protection de la vie privée.Les articles 25 du RGPD « Protection des données dès la conception et protection des données par défaut » et 32 « Sécurité du traitement », formalisent l’obligation pour le responsable du traitement de prendre en compte les exigences juridiques et techniques pendant toutes les phases des projets de la conception jusqu’à la fin de vie du système cible.Nous nous attacherons à identifier les principaux acteurs concernés et leurs modes de concertation dans les gestions de projets en V ou Agile.Nous chercherons à souligner les points d’attention et d’amélioration dans les deux méthodes.

Élévation de privilèges sur macOS avec CVE-2018-4193

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

Cet article explique comment exploiter la CVE-2018-4193, une élévation de privilèges affectant les versions de macOS inférieures à 10.13.5, en moins de 10 secondes. Les différents prérequis nécessaires à la compréhension de l’exploit seront détaillés de sorte qu’aucune connaissance préalable de macOS ne soit nécessaire, ce qui permet d’aborder l’exploitation de vulnérabilités dans les démons macOS en général.

Par le même auteur

Algorithmes et implémentations cryptographiques vulnérables : détection avec grap

Magazine
Marque
MISC
HS n°
Numéro
17
|
Mois de parution
avril 2018
|
Domaines
Résumé

Il arrive régulièrement que des algorithmes cryptographiques deviennent obsolètes ou des implémentations vulnérables. Dans cet article, nous reviendrons sur les raisons qui peuvent pousser à déprécier ces algorithmes ou implémentations et nous présenterons grap, un outil permettant de détecter des motifs à l’intérieur de binaires exécutables et pouvant être utilisé pour rechercher du code cryptographique. Nous illustrerons enfin notre technique avec un cas concret : la détection de MD5, une fonction de hachage cryptographique obsolète encore répandue aujourd’hui.

Réseau sans fil 802.15.4 et sécurité

Magazine
Marque
MISC
Numéro
86
|
Mois de parution
juillet 2016
|
Domaines
Résumé
La norme IEEE 802.15.4 permet de définir la base d’un réseau sans fil à bas coût et économe en énergie. Ces contraintes, omniprésentes dans le domaine des objets connectés, font de cette norme une brique de base prisée par de nombreux protocoles de plus haut niveau : ZigBee, 6LoWPAN, ISA100.11a, etc.Nous présentons ici le fonctionnement d’un réseau 802.15.4, l’évolution des mécanismes de sécurité présents dans la norme ainsi que les vulnérabilités connues et leurs impacts potentiels.