If it leaks, we can kill it

Magazine
Marque
MISC
HS n°
Numéro
5
Mois de parution
avril 2012
Domaines


Résumé

« S'il saigne, on peut le tuer ». Cette maxime chère à John McTiernan [JT87] résume assez bien le problème que rencontrent depuis toujours les systèmes dédiés à la sécurité : s'ils fuient, ils sont condamnés. Depuis le milieu des années 90, les circuits micro-électroniques sont la cible des attaques à canaux auxiliaires. Elles exploitent les lois de la physique pour extraire les secrets manipulés par les cartes à puce ou les accélérateurs cryptographiques. Dans cet article, nous identifions ces vecteurs de fuite et expliquons leurs méthodes d'exploitation.


1. Les canaux auxiliaires, Quid ?

Pour créer un système de sécurité efficace, il faut réussir à implémenter de façon sûre un problème difficile à résoudre. Et tout va bien jusqu'au jour où ça va mal : lorsque ce bel objet mathématique sur lequel repose votre sécurité se frotte à notre pauvre condition humaine, il se confronte aux dures réalités des lois de la physique. En implémentant cette abstraction parfaite, nous lui procurons des défauts, un comportement, presque un caractère qui seront corrélés aux informations qu’il traite. Il les fera donc fuir.

Depuis le milieu des années 90, une littérature pléthorique s’acharne à démonter une à une les implémentations matérielles des composants cryptographiques. Comme nous allons le voir dans cet article, l'implémentation physique des objets mathématiques nous permet même d'avoir accès aux entrailles de l'algorithme, à savoir les valeurs des calculs intermédiaires, ce qui diminue...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Introduction au dossier : Réalisez votre premier pentest pour sécuriser votre système

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

Dans cette série d’articles, je vais vous faire une introduction au pentesting. Non, je ne ferai pas de vous des pirates informatiques. Nous resterons dans la légalité, et vous découvrirez ce qu’est un Ethical Hacker, quelqu’un qui teste le système informatique d’un client, avec son approbation et son consentement, pour l’aider à renforcer sa sécurité informatique.

Monter son lab virtuel avec Kali Linux et VulnHub sous VirtualBox

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

Dans cet article, nous allons mettre en place un virtual lab, un environnement de travail virtuel. Cet environnement vous permettra de créer, exécuter et détruire à volonté des VM vulnérables. Tout ceci sera fait dans un réseau virtuel, que nous allons créer, afin que ces machines vulnérables ne soient pas exposées sur Internet ni même sur votre réseau LAN, et éviter qu’un pirate puisse les retourner contre vous. Votre machine d’attaque sera également une machine virtuelle, sous Kali Linux, afin de ne pas utiliser votre machine de tous les jours pour vous connecter aux machines vulnérables, pour les mêmes raisons de sécurité. Kali Linux sera dans le réseau virtuel protégé pour pouvoir communiquer avec les VM vulnérables, et aura une carte réseau supplémentaire pour pouvoir accéder à Internet, être mise à jour, etc.

Qu’est-ce que le chiffrement ?

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

Les protocoles de chiffrement de données, tels que SSL et son successeur TLS, sont au cœur des problématiques de la sécurisation des échanges sur les réseaux informatiques (dont Internet est le plus vaste représentant). Pour un développeur, comme pour un administrateur système, il est donc essentiel de bien comprendre à quoi ils servent, ce qu’ils font, et aussi quand s’en servir. Dans cet article, nous nous proposons de revenir sur toutes ces notions afin de s’assurer de leur bonne compréhension.

Introduction au pentesting

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

Il n’y a plus une semaine sans qu’une grande entreprise ne révèle publiquement qu’elle a été victime d’un piratage informatique. Entreprises privées, institutions publiques, et même sociétés de services spécialisées dans la cybersécurité, aucun secteur n’est épargné. Des technologies en évolution et en augmentation perpétuelles, et la prolifération incessante d’équipements connectés (IoT) ne vont pas inverser la tendance, mais bien au contraire élargir la surface d’attaque et donc augmenter les piratages.

Sécurité avancée des services Serverless (FaaS)

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Les fonctions Serverless sont aujourd’hui une nouvelle tendance du cloud. Rapides et peu onéreuses, elles ne requièrent aucun entretien des infrastructures sous-jacentes par le client. Cependant, ce service entraîne un changement de modèle d’architecture, rendant les solutions de protection classiques inadaptées. Ce papier sensibilise aux nouvelles menaces du cloud et suggère différentes règles à suivre pour s’en prémunir.