MISC N°
Numéro
77

Sécurité des moyens de paiement

Temporalité
Janvier/Février 2015
Image v3
Sécurité des moyens de paiement
Article mis en avant

Résumé

Une nouvelle année commence, et si j'ai souhaité à ma famille, à mes amis, santé et réussite (ce que je vous souhaite aussi amis lecteurs), je n'ai pas particulièrement pensé à leur souhaiter une année sans fraude bancaire. Pourtant la plupart d'entre nous sortent à peine d'une période d'application frénétique d'un comportement, qu'on pourrait juger à risque, développé tout au long de l'année : l'utilisation insouciante de la carte bancaire.

Dans ce numéro...


Après de nombreuses années au service de MISC en tant que rédacteur en chef, il nous quitte. Certains diront « enfin », les plus joueurs qu'il nous double. En tout cas, il en avait une belle paire et se défonça pour ce magazine au point de se mettre carpette. Enfin ... tapis. C'est donc avec émotion, tremblant, chancelant, limite brelan, que je rédige ce dernier édito, cette auto-nécrologie.
Le 24 septembre 2014, Johannes Dahse reporte deux vulnérabilités à l'équipe Akeeba Backup et à la JSST (Joomla Security Strike Team). L'une d'entre elles, la CVE-2014-7228, permet une exécution de code distante sous certaines conditions.
L’auditeur le plus motivé peut se retrouver désappointé lors de l’audit d’une application client-lourd développée en Java. On décompile et on regarde le code source ? Pourquoi se donner tant de mal ? Cet article présente le logiciel JavaSnoop, qui facilite l’audit d’applications Java en permettant d’intercepter et de modifier à la volée les appels aux méthodes Java, puis nous conclurons par un cas pratique d’utilisation.
Il est parfois nécessaire en traitement d'incident d'analyser une machine pour trouver le processus responsable d'une communication TCP ou UDP jugée suspecte. Les outils permettant d'afficher les communications actives des processus (netstat, resmon...) ne sont alors pas toujours adaptés. Par exemple lorsqu'il s'agit d'identifier l'origine d'une communication UDP ou dans le cas d'une communication nocturne qui implique une analyse a posteriori. Il faut alors pouvoir journaliser les événements de communications réseaux des processus de la machine. L'article présente une méthode simple basée sur un outil standard Windows : l'analyseur de performances.
Carte bleue, carte gold, carte sans contact, quel que soit son petit nom, la carte de paiement fait partie des piliers technologiques des échanges monétaires mondiaux.
La nature des échanges lors d'un paiement sur Internet demeure un domaine méconnu. Aux yeux de l'internaute lambda, la sécurité du paiement e-commerce repose sur la présence du fameux petit cadenas HTTPS. Derrière le formulaire où l'on saisit son numéro de carte, que se passe-t-il ? Découvrons ce domaine méconnu où les échanges transitent au travers d'une tuyauterie complexe, aussi appelée « Monétique ».
La guerre contre la cybercriminalité se fait chaque jour de plus en plus intense, comme le disait Sun Tse pour remporter la victoire : « Connais ton ennemi et connais-toi toi-même ».Le groupe cybercriminel étudié ici n'est pas fictif, certains éléments ont cependant été  modifiés ou omis volontairement.
La fraude aux moyens de paiement s’élève à plus de 450 millions d’euros par an en France [1]. Nous présenterons dans cet article les dispositifs qu’utilisent les fraudeurs pour capter les données des cartes de paiement puis nous dévoilerons, sans outrepasser la confidentialité liée à ces techniques sensibles, quelques procédés d’analyse de ces systèmes.
Les monnaies cryptographiques sont fondées sur les réseaux P2P et la cryptographie mathématique. Elles ne reposent sur aucune autorité centralisée. Elles permettent des transactions quasi-instantanées et sans coût.
De nombreux outils permettent la manipulation du réseau en userland. Le plus connu est Scapy qui permet de coder, décoder,recevoir et envoyer des trames sur le réseau en fournissant une interface aux RAW sockets. Cet article montre les possibilités offertes en combinant une pile TCP/IP « stateful » basique avec Scapy pour la manipulation et la création de trafic réseau.
Dans l'écosystème actuel des bonnes propriétés cryptographiques des outils à destination du grand public, nous avons la désormais célèbre « confidentialité persistante ». Conceptualisée puis implémentée à la fin des années 1980, elle devient aujourd'hui incontournable dans l'élaboration de nouveaux protocoles de communication à destination du plus grand nombre, tels OTR ou celui utilisé par crypto.cat.
Le 17 juillet 2014, le Gouvernement français publiait la circulaire n°5725/SG imposant aux différents ministères ou autorités administratives de s’organiser afin de mettre en œuvre la Politique Sécurité Système d’Information de l’État (PSSI E), élaborée par l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI). La PSSI de l’État doit s’appliquer aux systèmes d’information traitant les informations non classifiées de défense. Elle doit être mise en œuvre sur tous les systèmes d’information des administrations de l’État : ministères, établissements publics sous tutelle d’un ministère, services déconcentrés de l’État et autorités administratives indépendantes.
Le spam d’e-mails a constitué pas moins de 69.6% du trafic e-mail en 2013, et 3.2% de l’ensemble des e-mails contenaient des malwares en pièce jointe [1]. Pour répondre aux attaques ciblées d'usurpation d'adresses e-mail, il est possible d'utiliser la sonde suricata avec un plugin spécifique pour loguer ou bloquer les spams ciblés.

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

PostgreSQL au centre de votre SI avec PostgREST

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Dans un système d’information, il devient de plus en plus important d’avoir la possibilité d’échanger des données entre applications. Ce passage au stade de l’interopérabilité est généralement confié à des services web autorisant la mise en œuvre d’un couplage faible entre composants. C’est justement ce que permet de faire PostgREST pour les bases de données PostgreSQL.

La place de l’Intelligence Artificielle dans les entreprises

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

L’intelligence artificielle est en train de redéfinir le paysage professionnel. De l’automatisation des tâches répétitives à la cybersécurité, en passant par l’analyse des données, l’IA s’immisce dans tous les aspects de l’entreprise moderne. Toutefois, cette révolution technologique soulève des questions éthiques et sociétales, notamment sur l’avenir des emplois. Cet article se penche sur l’évolution de l’IA, ses applications variées, et les enjeux qu’elle engendre dans le monde du travail.

Petit guide d’outils open source pour le télétravail

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Ah le Covid ! Si en cette période de nombreux cas resurgissent, ce n’est rien comparé aux vagues que nous avons connues en 2020 et 2021. Ce fléau a contraint une large partie de la population à faire ce que tout le monde connaît sous le nom de télétravail. Nous avons dû changer nos habitudes et avons dû apprendre à utiliser de nombreux outils collaboratifs, de visioconférence, etc., dont tout le monde n’était pas habitué. Dans cet article, nous passons en revue quelques outils open source utiles pour le travail à la maison. En effet, pour les adeptes du costume en haut et du pyjama en bas, la communauté open source s’est démenée pour proposer des alternatives aux outils propriétaires et payants.

Sécurisez vos applications web : comment Symfony vous protège des menaces courantes

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Les frameworks tels que Symfony ont bouleversé le développement web en apportant une structure solide et des outils performants. Malgré ces qualités, nous pouvons découvrir d’innombrables vulnérabilités. Cet article met le doigt sur les failles de sécurité les plus fréquentes qui affectent même les environnements les plus robustes. De l’injection de requêtes à distance à l’exécution de scripts malveillants, découvrez comment ces failles peuvent mettre en péril vos applications et, surtout, comment vous en prémunir.

Body