Fyodor, l'auteur d'Nmap nous prépare un livre sur Nmap
et franchement ça vaut le coup d'en parler quand on peut lire ce genre de critiques concernant l'ouvrage à paraitre :)
Nmap c'est LE scanner de port, même Trinity utilise Nmap c'est vous dire s'il est puissant :D
mardi 29 juillet 2008
jeudi 17 juillet 2008
Apache 2 et ModSecurity 2 facile !!!
Qu'est-ce que Apache ?
Non, je ne vous ferais pas le déshonneur de répondre à cette question !!! Un petit lien pour ceux qui ne savent pas, mais c'est tout : ici.
Qu'est-ce que ModSecurity ?
ModSecurity 2 est une extension Apache qui permet d'analyser les requêtes HTTP, et de détecter certaines attaques potentielles sur les applications Web qu'Apache peut héberger ou qu'Apache peut protéger en mode reverse-proxy. En clair, commercialement parlant, c'est un firewall pour les applications Web.
Cette extension est donc une bonne première protection pour les applications Web qui sont toujours potentiellement vulnérables. Le contexte de déploiement et de fonctionnement de l'application Web va jouer sur les paramètres de configuration de l'extension ModSecurity. On peut alors tuner finement les paramètres pour bloquer toute requête jugée illicite vis à vis du serveur Web, mais c'est un travail assez long qui nécessite de bien connaître les applications qui sont protégées.
Nous allons juste voir comment l'installer simplement sur un serveur Debian Etch (Pourquoi Debian, nous le verrons dans un autre billet concernant les distributions Linux et la sécurité) :
Non, je ne vous ferais pas le déshonneur de répondre à cette question !!! Un petit lien pour ceux qui ne savent pas, mais c'est tout : ici.
Qu'est-ce que ModSecurity ?
ModSecurity 2 est une extension Apache qui permet d'analyser les requêtes HTTP, et de détecter certaines attaques potentielles sur les applications Web qu'Apache peut héberger ou qu'Apache peut protéger en mode reverse-proxy. En clair, commercialement parlant, c'est un firewall pour les applications Web.
Cette extension est donc une bonne première protection pour les applications Web qui sont toujours potentiellement vulnérables. Le contexte de déploiement et de fonctionnement de l'application Web va jouer sur les paramètres de configuration de l'extension ModSecurity. On peut alors tuner finement les paramètres pour bloquer toute requête jugée illicite vis à vis du serveur Web, mais c'est un travail assez long qui nécessite de bien connaître les applications qui sont protégées.
Nous allons juste voir comment l'installer simplement sur un serveur Debian Etch (Pourquoi Debian, nous le verrons dans un autre billet concernant les distributions Linux et la sécurité) :
- Editer le fichier /etc/apt/source.list
deb http://etc.inittab.org/~agi/debian/libapache-mod-security2/etch ./
- Installer le package :
apt-get install libapache2-mod-security2
- Créer et editez le fichier /etc/apache2/conf.d/mod-security2.conf :
Include mod-security2/*.conf
- Ajouter un paquet de règle depuis cette adresse : http://www.modsecurity.org/download/modsecurity-core-rules_2.1-1.4.3.tar.gz
cd /etc/apache2/
mkdir mod-security2
cd mod-security2
wget http://www.modsecurity.org/download/modsecurity-core-rules_2.1-1.4.3.tar.gz
tar -xzf modsecurity-core-rules_2.1-1.4.3.tar.gz
rm modsecurity-core-rules_2.1-1.4.3.tar.gz
- Il faut editer le fichier /etc/apache2/mod-security2/modsecurity_crs_10_config.conf, pour faire pointer les fichiers de logs (modsec_audit.log, modsec_debug.log) dans un bon répertoire, comme /var/log/apache2.
- Puis recharger Apache2 :
/etc/init.d/apache2 reload
- La dernière partie consistera à surfer sur vos sites Web, puis à regarder les logs de ModSecurity, pour désactiver les règles qui empêchent l'accès à ceux-ci.
mercredi 16 juillet 2008
Zatoichi, le samouraï aveugle
La sécurité : les gens en prennent conscience. Ils savent que leurs applications / services / machines sont vulnérables et qu'il faut trouver les failles et les corriger... Mais ils n'ont aucune idée de comment commencer :
Beaucoup mettent en place des super outils partout partout, ils sont armés jusqu'aux dents et se prennent pour Zatoichi... mais ils n'en ont pas le niveau et ils ne voient pas venir l'attaquant. Pire, telle une victime de Ken le survivant, ils sont corrompus, mais ils ne le savent pas encore.
LISEZ vos LOGS, je ne vous parle pas de mettre en place un système de corrélation mais simplement d'avoir des logs stockés quelque part, que vous pouvez consulter à loisir, voir défiler sur un écran, recevoir par e-mail... et ensuite chercher pourquoi tel ou tel message d'erreur est apparu. Cela demande un peu de temps et de ressource, mais sans ça... vous ne verrez rien venir. A quoi bon bâtir des murailles si c'est pour les laisser sans surveillance.
Je vous renvoie donc à l'article de Linux Mag HS n°37 sur syslog-ng, et vous invite à installer un serveur central syslog-ng, pour ces messieux sous Windows jetez un oeuil à NTsyslog ou Snare. Pour vos applis Web, utilisez le système de log intégré dans votre API, et tout remontera via syslog ;)
Cela demande quelques bouts de scripts / configuration à droite à gauche dans votre SI mais vous en apprendrez beaucoup, et vous pourrez remonter les bugs a vos développeurs/fournisseurs, voir votre site web crasher suite à une requête malformée, vos services segfaulter, bref réaliser le chemin à parcourir pour gouverner votre SI et ne plus être à la merci de l'inconnu.
Franchement c'est un vieil adage, c'est l'invention de l'eau chaude... mais c'est un bon début. Et concrètement comment vous faites ? bah... Google est votre ami ;) ce n'est pas les tutos
qui manquent.
- Pen-test ?
- Audit de code ?
- Formation ?
- Sécurité organisationnelle ?
Beaucoup mettent en place des super outils partout partout, ils sont armés jusqu'aux dents et se prennent pour Zatoichi... mais ils n'en ont pas le niveau et ils ne voient pas venir l'attaquant. Pire, telle une victime de Ken le survivant, ils sont corrompus, mais ils ne le savent pas encore.
LISEZ vos LOGS, je ne vous parle pas de mettre en place un système de corrélation mais simplement d'avoir des logs stockés quelque part, que vous pouvez consulter à loisir, voir défiler sur un écran, recevoir par e-mail... et ensuite chercher pourquoi tel ou tel message d'erreur est apparu. Cela demande un peu de temps et de ressource, mais sans ça... vous ne verrez rien venir. A quoi bon bâtir des murailles si c'est pour les laisser sans surveillance.
Je vous renvoie donc à l'article de Linux Mag HS n°37 sur syslog-ng, et vous invite à installer un serveur central syslog-ng, pour ces messieux sous Windows jetez un oeuil à NTsyslog ou Snare. Pour vos applis Web, utilisez le système de log intégré dans votre API, et tout remontera via syslog ;)
Cela demande quelques bouts de scripts / configuration à droite à gauche dans votre SI mais vous en apprendrez beaucoup, et vous pourrez remonter les bugs a vos développeurs/fournisseurs, voir votre site web crasher suite à une requête malformée, vos services segfaulter, bref réaliser le chemin à parcourir pour gouverner votre SI et ne plus être à la merci de l'inconnu.
Franchement c'est un vieil adage, c'est l'invention de l'eau chaude... mais c'est un bon début. Et concrètement comment vous faites ? bah... Google est votre ami ;) ce n'est pas les tutos
qui manquent.
mardi 15 juillet 2008
Sommes-nous plus forts ensemble ?
Ce billet est certainement un peu hors-sujet, mais il effectue un parallèle avec un sujet qui est d'actualité pour une personne de notre petite équipe.
En matière de sécurité, il existe plusieurs approches parfois contradictoires mais qui coexistent parfaitement. On peut se demander si l'union fait la force, ou s'il faut diviser pour mieux régner. Aujourd'hui les éditeurs, constructeurs ont plutôt tendance à vouloir proposer la solution miracle toute packagée qui fournit du filtrage d'URL, une solution antivirus, une solution antispam, un firewall et un IPS. Toutes ces caractéristiques rassemblées peuvent aller à l'encontre de la division des réseaux qui est nécessaire pour protéger nos réseaux de production. On peut se demander comment effectuer le "tout en un" alors qu'une typologie basique viendra séparer les services à travers les différents réseaux. Mais diviser à certainement un coût non négligeable et est-ce que l'apport de cette division est bénéfique à notre entreprise ?
Il faudra bien entendu une approche raisonnée à cette question sachant qu'un contrat signé entre l'entreprise et la solution miracle ne protège en rien. Qu'advient-il lorsque cette solution chancelle ? Les employés de l'entreprise ne peuvent plus accéder de manière sécurisée aux services de l'entreprise, ou tout est bloqué, il faut certainement attendre le rétablissement prompt de celle-ci. Peut-être faut-il répondre à ce problème par la redondance, la division nécessaire, est ici complétée par l'union de forces similaires.
Et l'union n'est pas utile que dans la redondance, elle est certainement encore plus efficace dans la complémentarité et dans la collaboration entre éléments de forces différences. L'IPS ne peut pas fonctionner sans lien étroit avec le firewall pour bloquer les attaques externes. La prévention des malwares n'est pas possible sans cette recherche appliquée des différents acteurs de la sécurité de part le monde. Un agrégateur de logs ne serait certainement pas efficace sans les différentes spécificités de chacun des produits de sécurité déployés à travers le réseau. La meilleure prévention de toute attaque passe certainement par l'éducation des différentes personnes du SI, par ces prises de consciences engrangées par l'échange et la communication humaine.
La sécurité est certainement plus humain que les grand éditeurs veulent nous faire croire. Alors que la multiplication des spécificités est grande, aujourd'hui l'union fait toujours la force. Souhaitons un bon et long avenir à cette union, qui à mes yeux reste le plus important...
En matière de sécurité, il existe plusieurs approches parfois contradictoires mais qui coexistent parfaitement. On peut se demander si l'union fait la force, ou s'il faut diviser pour mieux régner. Aujourd'hui les éditeurs, constructeurs ont plutôt tendance à vouloir proposer la solution miracle toute packagée qui fournit du filtrage d'URL, une solution antivirus, une solution antispam, un firewall et un IPS. Toutes ces caractéristiques rassemblées peuvent aller à l'encontre de la division des réseaux qui est nécessaire pour protéger nos réseaux de production. On peut se demander comment effectuer le "tout en un" alors qu'une typologie basique viendra séparer les services à travers les différents réseaux. Mais diviser à certainement un coût non négligeable et est-ce que l'apport de cette division est bénéfique à notre entreprise ?
Il faudra bien entendu une approche raisonnée à cette question sachant qu'un contrat signé entre l'entreprise et la solution miracle ne protège en rien. Qu'advient-il lorsque cette solution chancelle ? Les employés de l'entreprise ne peuvent plus accéder de manière sécurisée aux services de l'entreprise, ou tout est bloqué, il faut certainement attendre le rétablissement prompt de celle-ci. Peut-être faut-il répondre à ce problème par la redondance, la division nécessaire, est ici complétée par l'union de forces similaires.
Et l'union n'est pas utile que dans la redondance, elle est certainement encore plus efficace dans la complémentarité et dans la collaboration entre éléments de forces différences. L'IPS ne peut pas fonctionner sans lien étroit avec le firewall pour bloquer les attaques externes. La prévention des malwares n'est pas possible sans cette recherche appliquée des différents acteurs de la sécurité de part le monde. Un agrégateur de logs ne serait certainement pas efficace sans les différentes spécificités de chacun des produits de sécurité déployés à travers le réseau. La meilleure prévention de toute attaque passe certainement par l'éducation des différentes personnes du SI, par ces prises de consciences engrangées par l'échange et la communication humaine.
La sécurité est certainement plus humain que les grand éditeurs veulent nous faire croire. Alors que la multiplication des spécificités est grande, aujourd'hui l'union fait toujours la force. Souhaitons un bon et long avenir à cette union, qui à mes yeux reste le plus important...
jeudi 10 juillet 2008
Les dernières vulnérabilités importantes
Petite sélection concernant les vulnérabilités qui ont fait le plus de bruit sur le net, et qui sont véritablement importantes :
- Vulnérabilité Debian : Vulnérabilité touchant OpenSSL, ou un développeur à inséré une anomalie qui fait qu'OpenSSL ne générait plus totalement aléatoirement les bi-clés. Pour en savoir plus : c'est ici.
- Vulnérabilité DNS : Lorsque les grands de ce monde se rassemblent et colmatent une vulnérabilité DNS en même temps. Celle-ci permettait du DNS Spoofing permettant de rediriger les internautes vers des sites malicieux. Pour en savoir plus : c'est ici.
- Ayant travaillé un peu sur des projets sans contact, celle-ci me semble importante : Possibilité de copier les cartes MIFARE Classic de Philips. Celle-ci est pourtant massivement employée partout dans le monde. Tout cela est similaire aux différents passeports biométriques que certains hackers ont réussi à copier. Pour en savoir plus : c'est ici.
lundi 7 juillet 2008
Le chiffrement du disque dur, un réel avenir ?
Aujourd'hui les actualités n'en finissent pas de pleuvoir concernant le vol de portable contenant des données confidentielles. C'est une véritable épidémie, et cela peut se passer à tous les niveaux : au niveau du gouvernement, au niveau d'une entreprise manipulant des données fortement confidentielles, et tout homme d'affaire peut être concerné par le simple oubli de portable contenant des données importantes pour son entreprise.
Bien sûr ce problème est certainement identifié dans toutes les entreprises, mais il reste des difficultés majeures à franchir au niveau organisationnel pour la récupération, la sauvegarde de ces données confidentielles. Il est vrai qu'il faut se poser la question, si l'on doit appliquer un chiffrement de bas niveau sur le disque avec un mot de passe au boot de la machine, ou des chiffrements ponctuels dans des volumes virtuels sur le disque dur. Ces solutions apportent aussi son lot d'interrogations :
Le chiffrement appliqué à ces cas est vraiment une solution contre le vol et la perte de portable, et l'on se dirige de plus en plus vers des solutions intégrées. On peut tout de même agir contre le vol facile de données en utilisant un logiciel comme TrueCrypt, tout en utilisant une clé de chiffrement suffisamment robuste contre les attaques de "brute-force".
Bien sûr ce problème est certainement identifié dans toutes les entreprises, mais il reste des difficultés majeures à franchir au niveau organisationnel pour la récupération, la sauvegarde de ces données confidentielles. Il est vrai qu'il faut se poser la question, si l'on doit appliquer un chiffrement de bas niveau sur le disque avec un mot de passe au boot de la machine, ou des chiffrements ponctuels dans des volumes virtuels sur le disque dur. Ces solutions apportent aussi son lot d'interrogations :
- Comment est géré le mot de passe ?
- Que faire si l'employé oublie ce mot de passe ?
- Est-ce que l'employé sauvegarde automatiquement le mot de passe sur son système d'exploitation pour ouvrir plus facilement ses volumes chiffrés ?
- Comment le logiciel gère-t-il le mot de passe en mémoire ?
- Comment sont gérées les données qui passent du volume chiffré vers un espace non chiffré ?
- Quelles sont les rémanences possibles sur le disque ?
Le chiffrement appliqué à ces cas est vraiment une solution contre le vol et la perte de portable, et l'on se dirige de plus en plus vers des solutions intégrées. On peut tout de même agir contre le vol facile de données en utilisant un logiciel comme TrueCrypt, tout en utilisant une clé de chiffrement suffisamment robuste contre les attaques de "brute-force".
vendredi 4 juillet 2008
L'EeePC un PC de hacker ?
Ce petit billet est un petit clin d'œil, et n'a rien de "scientifiquement prouvé". Il est tout de même bon de constater que l'effet EeePC est un joli coup du constructeur ASUS. C'est en lisant les caractéristiques que l'on peut se poser les questions suivantes :
- Est-ce un PC de hacker ?
- Encore une invention pour les geek ?
- Un OS Linux : Excellent, enfin un OS stable, sécurisé, customisable à souhait, dont la commande "make" me fait tripper et dont je peux personnaliser le kernel selon le temps qu'il fait dehors. De plus, SSH, véritable outil culte du hacker tourne parfaitement sous Linux.
- Option OS Windows : Le TP ultime du hacker, comment virer Windows ?
- Une connexion Wi-Fi : Génial, les joies du airsnort, du aircrack, et de tout ce qui commence par "air" accessible via un PC ultra-portable. Je vous vois déjà zoner du coté de la Défense à bicyclette avec votre EeePC sur le guidon.
- Un port "Ethernet" : Comment ? ça existe encore ? Eh oui le petit hacker ne résiste pas à l'envie de plugger son câble Ethernet dans chaque prise qu'il aperçoit. Comment ne pas être sous extase lorsque l'on obtient une adresse IP automatiquement, ou lorsqu'il faut deviner dans quel nouveau monde notre EeePC atterrit.
- Un SSD : le top du top en matière de stockage, sans élément mécanique qui vient perturber le son du ventilateur du processeur. Un vrai hacker contrôlera bien entendu la vitesse de son ventilateur via une commande Linux.
- Autonomie de 3H : Assez de temps pour regarder un film téléchargé sur le net (hacker serais-tu aussi pirate ?)
- Écran de 7 pouces : Une sécurité périmétrique ultime car au delà de 50cm vous ne verrez plus rien.
- Un prix de 299€ : Hallucinant, pouvoir avec le prix d'un seul portable en acheter plusieurs avec différents Linux dessus (OpenBSD, FreeBSD, Debian, Ubuntu, etc), 1 EeePC pour chaque jour de la semaine !!!
- Une Webcam : Partir en balade avec un EeePC et laisser les 6 autres chez soi en réseau CPL pour établir une surveillance 24h sur 24h.
- Un touchpad minuscule : Encore un TP pour le hacker : L'écran tactile.
jeudi 3 juillet 2008
Mes murs sont-ils solides ?
Lorsque l'on commence à parler de sécurité physique on pense tout de suite à contrôle d'accès, à détection d'intrusion, caméras, ou même gardiennage... Je vous renvoie à ce billet la qui en parle un petit peu. On pense aussi à installer des serrures trois points (tous les appartements récents possèdent ce type de serrure), on renforce aussi la solidité du bâti pour les portes et les fenêtres, mais rarement on se pose la question de savoir si les murs sont suffisamment solides pour tenir une petite charge ou même un cambriolage de haut vol.
Ne nous parlerons plus de Spaggiari , dont le film récemment sorti à remis au goût du jour les gentlemans cambrioleurs, nous parlerons plutôt de cette actualité récente ou les cambrioleurs malins on attaqué le magasin mitoyen pour pénétrer via une brèche de 1 mètre dans la bijouterie.
Avec les constructions récentes, si plusieurs sociétés partagent les même bâtiments il est facile de faire un trou dans une cloison alvéolée ne serait-ce qu'avec une simple scie sauteuse. Peut-être faisons nous confiance à nos voisins, mais les attaques malveillantes peuvent être conduites via un dédale d'intermédiaires à leur insu.
Une salle serveur devrait aussi posséder un minimum de protection vis à vis du monde extérieur. Ce type de salle ne devrait pas être proche d'une issue, style fenêtre ou porte d'entrée, et devrait être aussi camouflée un minimum du monde extérieur : sécurité par l'obscurité.
A quand des cours de maçonnerie dans les cours de RSSI ?
Ne nous parlerons plus de Spaggiari , dont le film récemment sorti à remis au goût du jour les gentlemans cambrioleurs, nous parlerons plutôt de cette actualité récente ou les cambrioleurs malins on attaqué le magasin mitoyen pour pénétrer via une brèche de 1 mètre dans la bijouterie.
Avec les constructions récentes, si plusieurs sociétés partagent les même bâtiments il est facile de faire un trou dans une cloison alvéolée ne serait-ce qu'avec une simple scie sauteuse. Peut-être faisons nous confiance à nos voisins, mais les attaques malveillantes peuvent être conduites via un dédale d'intermédiaires à leur insu.
Une salle serveur devrait aussi posséder un minimum de protection vis à vis du monde extérieur. Ce type de salle ne devrait pas être proche d'une issue, style fenêtre ou porte d'entrée, et devrait être aussi camouflée un minimum du monde extérieur : sécurité par l'obscurité.
A quand des cours de maçonnerie dans les cours de RSSI ?
mercredi 2 juillet 2008
Sécurité des Réseaux - Nessus
Il existe des logiciels qui font perdurer la légende... Cette légende au cœur vaillant qui, malgré les époques et les successions de guerres, font que leur nom résonne encore à l'intérieur des oreilles des vainqueurs. On ne pourrait pas trouver des chants plus patriotiques pour annoncer la venue de son altesse royale au milieu d'un wargame, si classique soit-t-il.
Un script-kiddie perdu au milieu de la foule aurait raison de lancer d'un sourire condescendant l'assaut via cet outil légendaire. Le retour du roi disait-t-on dans certaines contrées, ce retour triomphal qui lui redonna toute sa splendeur, même dans des conquêtes vaines ou seule l'envie de victoire aveugle certains d'entre-nous.
Ne nous perdons plus dans différentes allégeances, et d'autres métaphores pour parler de celui dont on ne peut dire le nom : Nessus.
Nous avons tellement honte de parler de l'outil que tout le monde connait, qu'il nous a fallu nous cacher derrière ces comparaisons un peu maladroites, et ne serait-ce que pour remplir le blanc de mon écran, nous arrivons enfin à l'essentiel...
Nessus est un outil d'audit automatique de réseau. Il permet, via un mode client-serveur, de lancer des attaques sur un réseau ou plusieurs réseaux (partager la charge d'attaque sur ces réseaux avec un client et plusieurs serveurs), donc sur les serveurs que comporte(nt) ce(s) réseau(x). Cet outil possède une base d'attaques importante, et permet ainsi de tester certaines versions obsolètes de services connus (Apache / IIS). Il permet aussi de tester les applications Web connues (très fortement utilisées par la communauté, style PHPNuke, phpBB, et autres). Nessus possède aussi d'autres plugins intéressants comme Hydra, qui permet de tester la robustesse des mots de passe des applications Web.
Son architecture fait qu'il est facilement extensible, et le développement d'une attaque n'est pas très compliquée en langage Nessus (NASL - Nessus Attack Scripting Language), ou même en C.
Le seul point négatif, à mon avis, c'est la fermeture du code source depuis la version 3. Les versions antérieures étaient totalement ouvertes sous licence GPL. Nessus est un bon logiciel pour débuter dans la sécurité des réseaux et pour comprendre quels sont les points vulnérables d'un réseau. Il ne remplacera pas cependant une bonne analyse méthodique d'un expert sécurité.
Un script-kiddie perdu au milieu de la foule aurait raison de lancer d'un sourire condescendant l'assaut via cet outil légendaire. Le retour du roi disait-t-on dans certaines contrées, ce retour triomphal qui lui redonna toute sa splendeur, même dans des conquêtes vaines ou seule l'envie de victoire aveugle certains d'entre-nous.
Ne nous perdons plus dans différentes allégeances, et d'autres métaphores pour parler de celui dont on ne peut dire le nom : Nessus.
Nous avons tellement honte de parler de l'outil que tout le monde connait, qu'il nous a fallu nous cacher derrière ces comparaisons un peu maladroites, et ne serait-ce que pour remplir le blanc de mon écran, nous arrivons enfin à l'essentiel...
Nessus est un outil d'audit automatique de réseau. Il permet, via un mode client-serveur, de lancer des attaques sur un réseau ou plusieurs réseaux (partager la charge d'attaque sur ces réseaux avec un client et plusieurs serveurs), donc sur les serveurs que comporte(nt) ce(s) réseau(x). Cet outil possède une base d'attaques importante, et permet ainsi de tester certaines versions obsolètes de services connus (Apache / IIS). Il permet aussi de tester les applications Web connues (très fortement utilisées par la communauté, style PHPNuke, phpBB, et autres). Nessus possède aussi d'autres plugins intéressants comme Hydra, qui permet de tester la robustesse des mots de passe des applications Web.
Son architecture fait qu'il est facilement extensible, et le développement d'une attaque n'est pas très compliquée en langage Nessus (NASL - Nessus Attack Scripting Language), ou même en C.
Le seul point négatif, à mon avis, c'est la fermeture du code source depuis la version 3. Les versions antérieures étaient totalement ouvertes sous licence GPL. Nessus est un bon logiciel pour débuter dans la sécurité des réseaux et pour comprendre quels sont les points vulnérables d'un réseau. Il ne remplacera pas cependant une bonne analyse méthodique d'un expert sécurité.
mardi 1 juillet 2008
Sécurité Nationale, le livre blanc de Nicolas Sarkozy
La bonne nouvelle dans toutes les informations que l'on a pu lire à droite et à gauche sur le net est que l'état français veut aujourd'hui se doter de moyens de lutte contre la guerre informatique. Bien que je n'ai pas lu intégralement les 3 volets de ce livre blanc, il est intéressant de constater que l'état des lieux fait dans le premier volet est plutôt conforme à ce que nous, citoyens du monde, pouvons ressentir face aux menaces actuelles.
Le livre blanc fait la part belle aux renseignements, et aux moyens d'écoute permettant de prévenir ou d'intercepter toute menace terroriste. On pense alors à Echelon ou même l'équivalent supposé français, Frenchelon, dont les moyens se verront certainement doublés...
Ceci dit, l'augmentation de la protection informatique reste à définir, et il est certainement intéressant de savoir ce que cela peut toucher. Est-ce une protection globale, qui permettrait aussi de défendre particuliers et petites entreprises ? Ou est-ce une protection informatique suffisante contre les services vitaux que détient l'état ou même des entreprises privées ? Cette protection nécessite certainement un nouveau mode d'éducation pour que l'intégralité des personnes pouvant être concernées de près comme de loin prennent conscience de l'enjeu stratégique que peut avoir un pirate à profiter de sa crédulité.
Le maillon faible restera toujours l'humain, et il faudra déployer des structures organisationnelles plus contraignantes pour empêcher un pirate de pénétrer un système. De plus les moyens techniques à déployer sont gigantesques tellement les points d'entrées peuvent être multiples et sous différentes formes. Aujourd'hui, parler de sécurité informatique c'est surtout parler de sécurité des applications Web, tellement elles deviennent importantes pour la productivité et la relation avec le consommateur. Ce type de sécurité n'est pas techniquement complexe, mais dans 90% des cas, elle est complètement oubliée ou mise de coté, souvent (toujours) pour des raisons financières. Si le script kiddie du coin arrive à pirater n'importe quel service Web, ce n'est pas demain que l'on arrêtera des groupes de pirates organisés, ou même tout terrorisme informatique (on pense ici à tous les scénarios catastrophes de films avant-gardistes)
Bien sûr, j'ai certainement dérivé du sujet principal (le livre blanc de la défense nationale), mais la conclusion restera certaine : il y a encore beaucoup de travail avant de penser que la sécurité informatique est effectivement à niveau dans notre pays. Beaucoup de consciences à bousculer, et beaucoup de consulting permettant aux "SSII sécurité" de profiter du marché florissant qu'est celui de la sécurité informatique.
Le livre blanc fait la part belle aux renseignements, et aux moyens d'écoute permettant de prévenir ou d'intercepter toute menace terroriste. On pense alors à Echelon ou même l'équivalent supposé français, Frenchelon, dont les moyens se verront certainement doublés...
Ceci dit, l'augmentation de la protection informatique reste à définir, et il est certainement intéressant de savoir ce que cela peut toucher. Est-ce une protection globale, qui permettrait aussi de défendre particuliers et petites entreprises ? Ou est-ce une protection informatique suffisante contre les services vitaux que détient l'état ou même des entreprises privées ? Cette protection nécessite certainement un nouveau mode d'éducation pour que l'intégralité des personnes pouvant être concernées de près comme de loin prennent conscience de l'enjeu stratégique que peut avoir un pirate à profiter de sa crédulité.
Le maillon faible restera toujours l'humain, et il faudra déployer des structures organisationnelles plus contraignantes pour empêcher un pirate de pénétrer un système. De plus les moyens techniques à déployer sont gigantesques tellement les points d'entrées peuvent être multiples et sous différentes formes. Aujourd'hui, parler de sécurité informatique c'est surtout parler de sécurité des applications Web, tellement elles deviennent importantes pour la productivité et la relation avec le consommateur. Ce type de sécurité n'est pas techniquement complexe, mais dans 90% des cas, elle est complètement oubliée ou mise de coté, souvent (toujours) pour des raisons financières. Si le script kiddie du coin arrive à pirater n'importe quel service Web, ce n'est pas demain que l'on arrêtera des groupes de pirates organisés, ou même tout terrorisme informatique (on pense ici à tous les scénarios catastrophes de films avant-gardistes)
Bien sûr, j'ai certainement dérivé du sujet principal (le livre blanc de la défense nationale), mais la conclusion restera certaine : il y a encore beaucoup de travail avant de penser que la sécurité informatique est effectivement à niveau dans notre pays. Beaucoup de consciences à bousculer, et beaucoup de consulting permettant aux "SSII sécurité" de profiter du marché florissant qu'est celui de la sécurité informatique.
Comment sécuriser ses documents PDF ?
Le monde d'aujourd'hui est peuplé de requins. J'entends par "requins" des personnes avides de récupérer le savoir faire des entreprises pour améliorer le leur, des personnes désireuses de nuire en modifiant des informations dans des documents, en gros toutes les personnes susceptibles, pour des raisons ou pour d'autres, de prendre un document que vous avez réalisé, et d'en manipuler le contenu.
Le but de ce billet est de vous montrer simplement la marche à suivre pour protéger un minimum un document avec le logiciel PDFCreator.
La première phase de la protection va être de transformer le document (souvent de type Word) en un fichier PDF (ce genre de fichier n'est modifiable qu'avec les programmes appropriés, ce qui élimine une petite partie des possibles nuisibles). Dans le document à transformer en document PDF, sélectionner l’imprimante PDF :
Puis cliquer sur « Options » pour configurer les propriétés de sécurité du nouveau document.
Sélectionner l’onglet « Sécurité », puis reproduire la configuration basique suivante :
Dans certains cas, il peut être intéressant de définir un mot de passe pour la lecture du fichier. Dans ce cas, cocher la case correspondante. De même, les dernières options peuvent être appliquées si l’on souhaite autoriser des actions à l’utilisateur. Cette situation n’est pas à considérer dans notre cas.
Le « mot de passe du propriétaire » est celui nécessaire pour modifier les protections du document. Le « mot de passe de l’utilisateur » est celui nécessaire pour ouvrir un document ayant des droits d’accès en lecture.
Le but de ce billet est de vous montrer simplement la marche à suivre pour protéger un minimum un document avec le logiciel PDFCreator.
La première phase de la protection va être de transformer le document (souvent de type Word) en un fichier PDF (ce genre de fichier n'est modifiable qu'avec les programmes appropriés, ce qui élimine une petite partie des possibles nuisibles). Dans le document à transformer en document PDF, sélectionner l’imprimante PDF :
- Renseigner les champs d’identification du document à créer :
Puis cliquer sur « Options » pour configurer les propriétés de sécurité du nouveau document.- Définir les options de sécurité du document en cliquant sur l’onglet « PDF » dans l’onglet « Formats » :
Sélectionner l’onglet « Sécurité », puis reproduire la configuration basique suivante :
Dans certains cas, il peut être intéressant de définir un mot de passe pour la lecture du fichier. Dans ce cas, cocher la case correspondante. De même, les dernières options peuvent être appliquées si l’on souhaite autoriser des actions à l’utilisateur. Cette situation n’est pas à considérer dans notre cas.- Enregistrer ensuite les modifications apportées en cliquant sur « Enregistrer »
- Puis lancer la création du document en cliquant à nouveau sur « Enregistrer »
- Identifier le lieu d’enregistrement du fichier PDF créé et saisir les mots de passe qui seront utilisés pour le document :
Le « mot de passe du propriétaire » est celui nécessaire pour modifier les protections du document. Le « mot de passe de l’utilisateur » est celui nécessaire pour ouvrir un document ayant des droits d’accès en lecture. Résultat : Le fichier est créé et protégé en ce qui concerne l’impression, la recopie et la modification du document. Vous pouvez maintenant diffuser le document en ayant pour satisfecit le fait que les nuisibles n'auront pour seul recours la recopie manuelle des lignes du document....ou le bon programme pour faire sauter les protections, mais ça, c'est une autre histoire...
Inscription à :
Messages (Atom)
