Jeudi 10 mai 2012 4 10 /05 /Mai /2012 16:27

Mauro dans le iCloud...

icloud.png

 

et vous c'est pour quand ?

Par Mauro ISRAEL - Publié dans : Medias
Ecrire un commentaire - Voir les 0 commentaires
Mardi 6 mars 2012 2 06 /03 /Mars /2012 09:56

Réservez le jeudi 29 mars pour assister à une conférence sur la lutte contre la fuite d'informations

Le jeudi 29 mars, j'interviens lors d'une conférence sur la lutte contre la fuite d'informations à l'Hotel Intercontinental Paris. Réservez d'ores et déjà la date (matin et repas de midi). Invitations gratuites réservées aux RSSI-DSI, utilisateurs finaux sur demande par email: seminar@covertix.com

 

covertix-seminaire.jpg

Par Mauro ISRAEL - Publié dans : Sécurité Informatique
Ecrire un commentaire - Voir les 0 commentaires
Mercredi 1 février 2012 3 01 /02 /Fév /2012 16:37

"Les experts"...

"Les experts": Le titre fait rêver, surtout depuis l'avalanche de tous ces feuilletons américains de policiers qui résolvent les enquêtes scientifiques de manière irréfutable: ils envoient un bout d'empreinte par leur smartphone à l'ordinateur central du FBI et trois secondes plus tard on a l'adresse du délinquant qui s'affiche parmi des millions d'empreintes et d'identités !

 

les-experts1.jpg

 

Bien entendu le délinquant est chez lui en train de regarder le site web incriminé lorsque les experts arrivent toutes sirènes hurlantes et tout finit bien sauf pour le délinquant...

 

les-experts-2.jpg

 

La question qui me vient à l'esprit, compte tenu des échanges epistolaires récents "aigres-doux" que j'ai lus sur les forums en sécurité, c'est quoi un "expert en sécurité" ?

 

"Expert" vient naturellement de "expérience", c'est à dire l'attribut de quelqu'un qui a eu de nombreuses expériences dans son domaine. L'expert se distingue alors du "spécialiste" qui lui a été formé dans un domaine mais qui n'a pas encore assez d'experience, ou bien du "généraliste" qui lui a été formé, mais dans un domaine trop vaste pour pouvoir être "expert".


Autrement dit un "expert" ne peut l'être que dans un domaine précis. Comme l'a dit mieux que moi Niels Bohr: "Un expert est un specialiste qui a fait, et qui a appris de, toutes les erreurs possibles dans une niche donnée".

 

niels-bohr.jpg

 

On peut donc être un "expert en sécurité des systèmes d'information" ! A deux conditions: Il faut s'y connaître en sécurité à la fois d'un point de vue organisationnel et technique; Et il faut avoir vu de nombreuses situations et avoir la curiosité et l'attitude d'en tirer des leçons.


Ainsi, un expert ne peut pas être dogmatique, car il sait qu' "une vérité est vraie tant qu'on ne lui trouve pas un contre-exemple". Un expert base donc la totalité de ses raisonnements à partir des faits recueillis (audits, investigations) et non pas de la théorie apprise ou lue sur un sujet donné.

 

prevol_cap10_html_m2ea906c7.jpg

 

Cela me rappelle mes débuts comme pilote privé: Pourquoi, demandais-je, les pilotes font le tour de leur avion en tapotant l'aile ou en donnant un petit coup de pied sur le pneu du train d'atterrissage ? En tant qu'experts de l'aviation, les pilotes vérifient mentalement que l'avion est prêt à voler. Le moindre "signal faible" dans leur inspection leur donne l'alerte et ils vont procéder à des vérifications plus poussées. La notion de "check-list" est permanente alors qu'avec leur expérience ils pourraient thériquement s'en passer. Ainsi les "experts" ne sous-évaleunt jamais leur propre capacité à commettre des erreurs.

 

prevol_cap10_html_m67d52ac8.jpg

 

Ce qui fait la différence entre un "expert" et un "spécialiste" est alors la capacité de l'expert à repérer des "signaux faibles" et de plus, à s'en tenir aux faits constatés à travers des procédures strictes d'investigations.

 

La différence avec un "généraliste" se trouve sur le fait de se cantonner à une niche précise. Ainsi on ne peut être ni un "expert débutant" ni un "expert généraliste" !

 

Une fois le terme "d'expert" bien défini, on va essayer de distinguer les "bons experts" et les "mauvais experts"... C'est comme les "chasseurs": il y a les "bons chasseurs" et les "mauvais chasseurs", quelle est la différence puisque les bons et les mauvais chassent, ou les bons et les mauvais effectuent des expertises  ?!

 

les-chasseurs.jpg


Tout d'abord le diplôme initial ne peut pas définir et repérer le "bon expert", puisque celui-ci doit justement dépasser sa formation initiale par de nombreuses expériences. De même le fait de s'être specialisé dans une niche ne permet pas non plus de définir un "bon expert" puisque le spécialiste peut très bien ne rien avoir appris en reproduisant toujours la même chose pendant des années.

 

Le "bon expert" se trouve être alors repéré par la variété et la quantité de missions différentes effectuées dans son domaine et également le nombre d'années qu'il y a consacrées. Il est également repéré par sa capacité à formuler des solutions, parfois originales, à des problèmes complexes.

 

A la fin de ce billet, vous vous demandez pourquoi je prends autant de temps pour parler des "experts" ?! Est-ce utile ?

 

avion.jpg

 

Quelle est la richesse réelle de nos pays notamment par rapport aux pays émergents ? Ce n'est ni le primaire (agriculture, mines), ni le secondaire (industrie), ni le tertiaire (services), -toutes des batailles perdues d'avance- mais ce que j'appelle le "quaternaire": justement les experts !

 

Nous avons des populations agées -mais du coup expérimentées- qui sont notre véritable valeur ajoutée. J'ai en mémoire l'exemple de la Chine qui compte tenu de l'amélioration du pouvoir d'achat, a voulu créer une station de sports d'hiver. Ils ont déniché "l'expert" français en aménagement de remontées mécaniques et l'ont fait venir à grand frais en Chine pour créer ex-nihilo un village de montagne de ski... ;)

 

Mais cela ne répond pas à la question de la sécurité d'internet et du rôle des experts en sécurité: est-ce si facile de réperer les délinquants du Net ?

 

cb-sur-internet.png

 

ça dépend... de l'expertise du camouflage de ces derniers ! En tous les cas le repérage de l'adresse IP est un leurre.. Par exemple, les récents piratages à la carte bancaire consistent à imputer les achats frauduleux à un utilisateur en utilisant l'adresse IP de sa box, mais avec une carte dont les numéros, date de validité et CVV ont été copiés chez quelqu'un d'autre. La faille du système exploitée est double:


- il n'y pas de protection par la puce de la carte sur internet et donc pas de PIN code à fournir. Il suffit de connaître le numéro-date de validité-CVV. Autrement dit n'importe qui ayant eu votre CB entre les mains est capable d'acheter avec sur Internet.


- il n'y a pas de corrélation entre l'identité d'un porteur de CB (nom, adresse) et un achat sur Internet. (ni même dans un magasin ou un DAB,mais là on a un PIN code à fournir).

 

Un spécialiste de la carte bancaire dira: "La CB française est plus sécurisée au monde" ! Un expert en sécurité vous dira: "Cette sécurité n'est pas adaptée à Internet: elle a été conçue pour protéger les acheteurs et vendeurs en boutique. Il faut une autre solution pour Internet qui ajoute un élément que le fraudeur ne peut pas mettre en oeuvre"...

 

D'après moi la solution la plus pertinente et la moins couteuse est le "double canal"; Au moment de l'achat un SMS avec un mot de passe valable une fois "OTP - One time password" est envoyé sur le téléphone mobile de l'acheteur. Il sera quasi impossible pour le pirate d'intercepter également cet autre canal et ceci simultanément pendant la courte période de l'achat.

 

michu.jpg

 

Le spécialiste  dira: "Et ceux qui n'ont pas de téléphone portable, on fait comment ?"

L'expert  dira: "Pourquoi cette population dénommée "Madame Michu" -certes respectable mais dépassée techniquement- irait-elle acheter sur internet mais sans pour autant posséder de téléphone portable ?". En fait cette population est tellement marginale qu'elle servira uniquement de prétexte pour ne rien faire...

 

En fait nous savons tous que dans le protocole 3D Secure on remplace peu à peu la question "ultra-secrète" Quelle est votre date de naissance ?, par un SMS contenant un OTP envoyé sur notre téléphone. Il en va de même pour Google ou Facebook, à condition d'activer l'option. Nous sommes donc sur la bonne voie du "double canal".

 

Ces éléments nous donnent la deuxième caractéristique de l'expert, notamment par rapport au spécialiste: un expert est certes spécialisé dans une niche, mais il est capable de raisonner globalement en inscrivant ses connaissances dans un raisonnement qui inclut des paramètres hors de son périmètre.

 

shadocks.jpg

 

Voici pour terminer un quizz que j'ai mis au point pour déterminer votre profil:

 

question 1: une MAC ADDRESS comporte combien de caractères en hexadécimal ?

a- 12 - toutes celles de Sichuan Jinwangtong Electronic Science & Technology Co,.Ltd commence par FC-E1-92 (hex) -nota bene: les rapports des spécialistes sont truffés de fautes, puisque l'orthographe ne fait pas partie de leur spécialité ;)


b- 2 blocs de 6 dont le premier bloc correspond au code OUI du fournisseur


c- je ne sais pas - ça m'est égal - je n'ai jamais d'ennuis avec Apple.

 

question 2: quelles sont les adresses IP non routables dites "privées" ?

a - d'après la RFC 1918 il s'agit des blocs suivants:

       - 10.0.0.0 - 10.255.255.255 (10 / 8 prefixe)
      - 172.16.0.0 - 172.31.255.255 (172.16/12 préfixe)
      - 192.168.0.0 - 192.168.255.255 (192.168/16 préfixe)
    Nous nous référerons à la première tranche de «24-bit block", la seconde comme
    "20 bits", et la troisième comme "16 bits" bloc. Notez que (dans pré-notation CIDR) le premier bloc n'est en fait qu'une seule classe numéro de réseau, tandis que le second bloc est un ensemble de 16  numéros de réseau contigus de classe B, et le troisième bloc est un ensemble de 256  numéros de réseau contigus de classe C. (nota bene: le spécialiste n'est pas concerné par la lisibilité de ses réponses par des non-specialistes ;)


b- celles qui commencent par 10. ou 172.16. ou 192.168. (nota bene: ce qui est partiellement faux puisque la série de classe B 172.16 s'arrête à 172.31, mais l'expert ne pinaille pas sur les détails qui l'éloignent de l'essentiel)  


c- il y en a dans mon iPhone ?

 

question 3: de combien augmente la dette de la France par seconde ?

a- quel rapport avec la sécurité informatique ?!

b- sachant que le deficit annuel du pays est autour de 100 Mds d'euros, la dette globale augmente d'environ 3170 euros par seconde (en divisant le déficit par le nombre de secondes dans un an)

c- la dette n'est pas le problème de ceux qui la doivent mais de ceux qui vont devoir la payer... En tous les cas Apple est bien côté en bourse et n'a pas de dettes ! (je n'en sais en fait rien mais ça me parait vraisemblable en tant que généraliste)

 

SI vous avez un triple "aaa" vous êtes définitivement un spécialiste. (ça en fait au moins quelques uns qui ont un triple "a" ;)

Si vous avez un maximum de "b" vous êtes expert. Avec un maximum de "c" vous êtes plutôt un généraliste...

 

shadock2.jpg Mauro Israel - Expert sécurité FIDENS

Février 2012


 

 

 

 

 

 

 


 


 

 

 

 


Par Mauro ISRAEL - Publié dans : Economie
Ecrire un commentaire - Voir les 1 commentaires
Jeudi 5 janvier 2012 4 05 /01 /Jan /2012 09:49

Boule de Cristal Securité Internet 2012

    Boule de Cristal Sécurité Internet 2012

Bonjour à tous; Recevez tous mes vœux de santé et de prospérité pour 2012 :)

 

cristal0

 

Comme chaque année un certain nombre d'experts font des prévisions sur le futur de leur métier et bon nombre de ces prévisions s'avèrent justes... ou pas. A mon tour de vous proposer cet exercice pour la sécurité sur Internet et la sécurité des systèmes d'information...

 

Prévision #1: la fin du "login-passoire".

Sur le web il existe deux types d'usages de l'authentification: Typiquement l'on veut revenir sur un site où l'on s'est inscrit et être identifié en tant que membre ou client, auquel cas l'identifiant et le mot de passe ne servent qu'à cette fin. Le site web ainsi que l'utilisateur ont tout intérêt à rendre ce retour aussi simple que possible; Des outils comme "LastPass" https://lastpass.com/ que j'utilise permettent justement cette centralisation des mots de passe et le single sign-on automatique (y compris le remplissage de formulaires d'ailleurs). Bon ça fait des années que les utilisateurs se plaignent d'avoir à mémoriser des mots de passe pour tous les sites et qu'ils mettent quasiment le même mot de passe partout... ça fait des années qu'on attend également "la" solution miracle pour en terminer avec le "login-passoire"... Mais je pense que cette fois on va y arriver...

 

cristal01.png

 

 

Prévision #2: les premières authentifications fortes "grand public" sur le web.

Pour renforcer l'authentification basée sur le login-mot de passe, on doit ajouter un élément physique (token) ou biométrique notamment lorsque le site en question permet des opérations financières ou l'accès à une messagerie ou à des données sensibles.

De nombreuses entreprises ont déjà adopté des systèmes de token pour leurs extranets, mais ces systèmes peinent à s'imposer dans le grand public, tout simplement à cause des coûts de diffusion des tokens (un token par personne et par site), des coûts de logistique (expédition du token et support en cas de perte), des problèmes d'harmonisation (on ne peut pas avoir 150 tokens différents sur soi ou chez soi)... et enfin des problèmes de mobilité (pas question de transporter tous ces tokens en déplacement...

 

 

 

Voici la liste des mots de passe les plus utilisés en France (source Splashdata 2010):

1. password
2. 123456
3. 12345678
4. qwerty ou azerty
5. abc123
6. monkey
7. 1234567
8. letmein
9. trustno1
10. dragon
11. baseball
12. 111111
13. iloveyou
14. master
15. sunshine
16. ashley
17. bailey
18. passwOrd (le “O” est un zéro)
19. shadow
20. 123123
21. 654321
22. superman
23. qazwsx
24. michael
25. Football
26. bonjour

 

Alors que les banques et des jeux d'argent en ligne ne proposent que des authentifications au mieux en "soft token" (la fameuse grille à cliquer où les chiffres changent de place à chaque fois) et le chiffrement des flux en https au lieu de http au moins au moment de la saisie de la crédentité (identifiant et mot de passe associé), il s'agit de proposer un véritable token physique aux "usagers" du web.

 

Quatre technos se dégagent à l'heure actuelle toutes potentiellement valables:

1-     L'utilisation du smartphone (ou à défaut du téléphone portable) comme deuxième canal. Autrement dit, le fournisseur envoie un SMS ou un message au smartphone avec un code valable une fois (OTP - one time password) et l'utilisateur confirme en saisissant ce code sur la page web en attente. Ce système est de plus en plus utilisé lors des paiements 3Dsecure et a fait son apparition sur Facebook pour valider un compte. Il est alors beaucoup plus difficile pour l'attaquant d'intercepter à la fois les flux sur internet et simultanément les SMS ou autres sur le téléphone de sa "cible".

 

cristal02.png

Cette notion de "double canal" renforce sensiblement la sécurité des accès notamment par rapport à la pitoyable "challenge phrase" comme par exemple "quel est votre date d'anniversaire ?" ou bien "quelle est votre ville de naissance ?". Ce système d'authentification "double canal" a cependant des contraintes: la couverture téléphonique doit exister au moment de l'action d'authentification ce qui est quasi évident en Europe ou aux USA, mais moins dans d'autres pays... Le roaming des données et des SMS doit être beaucoup moins coûteux: pas question de dépenser 5 euros pour valider un achat de 5 euros... Si l'attaquant trouve le numéro du portable associé, il peut envoyer un faux message (phishing) à sa cible pour infecter le téléphone également et répondre au double challenge à la place de l'utilisateur.

 

Enfin, si le téléphone est dérobé il contient potentiellement toutes les possibilités de s'authentifier aux sites de l'utilisateur victime d’autant plus qu’il est mal protégé par son PIN code (source Daniel Amitay - 2011):

• 1234
• 0000
• 2580
• 1111
• 5555
• 5683
• 0852
• 2222
• 1212
• 1998

Ces 10 PIN codes représentent à eux seuls 15% des choix des utilisateurs de tous les PIN codes des téléphones !

 

Du côté des bonnes nouvelles, l’utilisation d’un smartphone pour s’authentifier permet d'homogénéiser à la fois les tokens mais aussi les procédures d'authentification puisque le numéro de téléphone (MSISDN) est unique et valable dans le monde entier. Voici enfin un identifiant unique et universel et vérifiable en termes d'AVS (vérification d'adresse et d'identité auprès de l'opérateur) !   Des startup comme GENMSECURE (www.genmsecure.com) proposent ce type de solutions basées sur le double canal avec OTP.

 

2- Le device fingerprinting sorte d'ADN des objets électroniques. Il s'agit de considérer que chaque appareil connecté dispose de caractéristiques uniques (MAC address réseau, identifiant du processeur, etc...) le rendant spécifique à un utilisateur qui le possède. En faisant un extrait de ces caractéristiques et en les associant à un compte, on obtient au moins une trace et au mieux un token physique des activités de ce compte. Autrement dit, au moment de la demande de login - mot de passe, on vérifie que c'est bien le même matériel qui s'était connecté la dernière fois et à défaut on demande à l'utilisateur de valider son nouveau matériel ou de l'alerter du fait qu'un autre matériel que le sien essaie d'accéder à son compte. A titre d'exemple, Google, Salesforce.com et iTunes (Apple) ont introduit ce type de vérifications en 2011...  Des éditeurs comme LOGIN PEOPLE (www.loginpeople.com) proposent ce type de solutions.

 

cristal1-copie-1.png

 

3- Les flashcodes.Vous connaissez ces sortes de "timbres" qui ornent les affiches dans la rue ou bien qui sont utilisées pour les billets de TGV ? Il s'agit en fait d'un type de "code barre" dénommé QR Tag (quick response tag). On peut le lire facilement avec l'appareil photo d'un smartphone, ce qui évite notamment sur ce type d'appareil la saisie fastidieuse d'une URL ou autre saisie. On peut donc imprimer ce type de tag sur un papier pour rendre infalsifiable une donnée imprimée comme on le ferait pour un watermarking, un checksum ou une clef RIB. Les applications sont nombreuses notamment dans l’e-ticket. Ceci dit, la lecture étant aisée il va falloir ajouter au tag une zone de code qui sera cryptée et qui permettra au logiciel du fournisseur de vérifier l'authenticité du document. La question est: peut-on fabriquer un faux billet d'accès au cinéma, au train, au stade etc... ? La réponse est "oui" si on est capable de "cloner" le contenu, et donc "oui" puisque ce contenu est lisible par n'importe quel smartphone muni d'un appareil photo. La réponse est "non" si le contenu du tag est accompagné d'une zone cryptée que seule l'application du fournisseur peut décoder. A votre avis est-ce que c'est le cas des billets de TGV ? ;)

 

cristal03.png.jpg

 

4- La biométrie.Ceci nous amène au quatrième type de "token" possible, à savoir l'utilisation des caractéristiques biométriques d'une personne pour l'identifier sur un site web (ou autre), en plus de sa crédentité (login-mot de passe). La question est la même: peut-on cloner une empreinte biométrique ? La réponse est "oui" (rfidiot.org) :

Le passeport biométrique britannique a été cloné preuve à l’appui. Et le passeport français ? ;) Ce qui est sûr c’est que « cloner » ne veut pas dire « modifier » et donc les empreintes etc. ne correspondront pas entre l’affichage et la valeur stockée dans la puce (si puce il y a) ou dans le fichier consulté (là c’est sûr sauf à pirater le fichier central !). Ce qui m’amène à deux remarques : la réticence « viscérale » des gens à ne pas se faire enrôler biométriquement avec tout le subconscient «Big Brother » qui va avec provoque une défiance pour tous ces systèmes biométriques. Lorsqu’il s’agit de l’entrée dans un pays (les USA par exemple)… on a le choix… de ne pas y aller !

 

cristal2

 

    

cristal3

Mais lorsqu’il s’agit de s’identifier à un site web, pourquoi leur donnerais-je mes empreintes ?! J’ai bien écrit « identifier » et c’est là toute la nuance et la source du malentendu. Lorsqu’on regarde le cahier des charges de la carte d’identité biométrique on nous explique qu’il y aura une zone pour « l’identification d’état civil» lors d’un contrôle d’identité (rôle premier et normal d’une carte d’identité) et une zone d’identification « commerciale »  utilisable pour le commerce électronique ou autres usages. On lit le même terme « d’identification » dans différentes publications de l’ANSSI (l’agence nationale de sécurité des systèmes d’information) ou même dans la loi sur la confiance en l’économie numérique (LCEN) ou dans différents décrets d’application.

 

Identification ou authentification ?

Il s’agit à mon sens d’une grave bévue de parler « d’identification » sur Internet. L’acheteur veut bien « s’authentifier » c’est-à-dire qu’il rapproche son action d’achat de moyens de paiement qu’il contrôle ou bien qu’il est bien l’utilisateur qui s’est inscrit sur ce site préalablement et qu’il revient le visiter ou rechercher son abonnement ou autre (actes récurrents). Mais l’internaute ne désire pas être « identifié », car il ne souhaite pas nécessairement que le fournisseur (l’e-marchand) connaisse son identité ou ses coordonnées. Tout ce qui compte dans un magasin et aussi sur Internet c’est « Bonjour je voudrais une baguette de pain pas trop cuite – Voilà, c’est 0,85€ - merci au revoir » et non pas « Bonjour je voudrais une bagu… - Vos papiers ! »… Je caricature à peine…

 

cristal4-copie-1.png

 

Autrement dit, les internautes n’ont aucunement besoin de décliner leur identité pour faire un achat sur Internet ou autre. Les fournisseurs n’ont aucunement besoin de connaître l’identité de leurs acheteurs pourvu que les moyens de paiement soient effectifs.

Le troisième élément est un facteur global de sécurité sur Internet : Peut-on usurper mon « authentité » (néologisme que vous avez parfaitement compris) sur Internet à mon insu ? Oui, si à un moment des pirates arrivent juste à cloner la zone « commerciale » de la future carte d’identité biométrique… Donc au lieu de faire tout reposer sur un système d’identification, il vaut mieux dissocier –pour ces raisons de réticence à la biométrie et de clonage potentiel de l’e-identité- l’identité et l’authentité. 

 

Je pense que des solutions basées sur les systèmes ci-dessus en mode «  authentification » basé sur « l’authentité » (smartphone + device fingerprinting) verront le jour dans les prochaines années et peut-être même dès cette année avec Paypal… Je prévois également que les systèmes basés sur l’identification (comme la carte d’identité biométrique) feront un flop dans leur fonction « e-commerce » sauf pour les banques et sauf dans leur déclinaison en Suisse (pour les mêmes raisons ;)

SI vous n’aimez pas le terme « authentité » je propose un autre terme composé que j’ai entendu lors de mon passage chez Mobilegov : « pseudonymat ». Dans tous les cas les internautes ne voudront pas être « fliqués ».

 

bh2007-5

 

 

Prévision  #3 « Brick & click » : convergence entre le e-commerce et le commerce physique.

Le lecteur avisé aura remarqué que beaucoup de choses tournent autour du smartphone. Il y a pratiquement autant de smartphones que d'ordinateurs dans le monde, et de plus leurs ventes (et celles des tablettes associées) explosent, alors que celle des ordinateurs portables stagne, voire régresse... On voit dès lors que l'on peut utiliser le smartphone dans les actes d'authentification forte, d'achat ou d’e-ticket. Or, le téléphone est capable en plus d'être constamment connecté à internet, de géolocaliser la personne. Contrairement à la pensée générale qui conseille aux utilisateurs de désactiver cette fonction, je parie que les utilisateurs vont vouloir la garder active et l'utiliser pour obtenir des "goodies" dans les magasins de proximité. Voici le scenario: Je passe dans la rue devant "Hippopotamus" pour lequel je me suis inscrit sur leur site avec la carte de fidélité. Le smartphone à travers "Foursquare" https://fr.foursquare.com/ me signale en "pop up": "Bonne année Mauro, nous vous offrons une coupe de champagne aujourd'hui" ou bien "Vente flash -20% chez Lancel, si vous entrez dans le magasin dans les 15mn" (là j'ai marché jusque place de l'Opéra...)

 

cristal5.png     

Non seulement ces applications existent, mais il y a tout un système d'animations qui va avec: "Vous êtes devenu le "maire" du Starbucks des Capucines", c'est à dire que vous êtes celui qui a fait un "check in" le plus souvent dans ce lieu... "Vous avez conquis le label "pizzaiolo" parce vous avez fait un "check-in" dans 5 pizzerias différentes... Ces "exploits" vous permettent de cumuler d'autres "goodies", etc...

 

cristal6.png

 

De quoi parle-t-on ici ? D'une nouvelle forme de marketing "brick and click" qui mixe à la fois le magasin "brick & mortar" et le "pure click" sur Internet et ceci une nouvelle fois grâce au smartphone. Ici je dois mentionner Paul-Emile Cadilhac en tant qu'inventeur de ce concept de « brick & click », puisque dès 1999, il avait introduit des patineurs à roulettes munis d'ordis portables et de webcams connectés à internet dans le magasin du Printemps et que des internautes pouvaient "manœuvrer" à distance: "Allez au rayon des sacs... montrez-moi l'intérieur du sac...ah oui c'est pratique... vous pouvez me montrer le rouge là-bas ?"; Ainsi l'internaute de Valparaiso pouvait regarder et acheter un sac à distance comme si elle avait visité effectivement la magasin... Paul-Emile avait raison trop tôt, comme beaucoup de visionnaires, mais maintenant le "brick & click" est à nos portes !

 

 

 cristal07.png.jpg

 

Toujours dans le thème de la convergence et du géopositionnement je voulais vous parler du « geocaching », mais… oups je viens de me faire piquer le poste de « maire » du Starbucks Capucines ! j’y retourne de ce pas pour faire un nouveau check in et reprendre ma place !

 

cristal19.png

 

Bonne année 2012 à tous en espérant que la prévision de fin du calendrier Maya ne se réalise pas et que 2012 ne soit donc pas la dernière  ;) ou pas ?!

 

Mauro Israel – Expert Sécurité FIDENS – www.fidens.fr

 

cristal9.png

 

Par Mauro ISRAEL - Publié dans : Sécurité Informatique
Ecrire un commentaire - Voir les 0 commentaires
Jeudi 15 décembre 2011 4 15 /12 /Déc /2011 15:07

NAC ou DAC ?

Pour faire suite à l'article récent "le paradis perdu", plusieurs RSSI ou DSI m'ont demandé ce que je pensais du NAC, "Network Access Control" comme d'un dispositif permettant d'empêcher justement des ordinateurs  "étrangers" de se connecter au réseau.

 

 Mobile-computer.jpg

 

Autrement dit "la resistance s'organise": Non seulement il ne sera pas possible d'amener son propre ordinateur au bureau le "bring your own device" , mais toute tentative de brancher un ordinateur non contrôlé par l'informatique sera bloquée au niveau du réseau...

 

En théorie... car les mises en oeuvre que j'ai pu voir se sont heurtées à des problèmes de compatibilité: le client (cad Windows) doit supporter le protocole 802.1X ainsi que le serveur (cad Windows server), mais également les commutateurs (cad CISCO) et les autres serveurs (cad Linux). Sans compter les NAS de stockage et autres dispositifs d'impression en réseau.

 

nac.gif

 

(courtesy Checkpoint Software)

 

Comme l'interprétation de cette norme IEEE 802.1X a été assez "large" il existe de nombreuses incompatibilités au moment de la mise en oeuvre notamment entre CISCO et Microsoft et avec les clients Windows XP plus ou moins mis à jour.

 

Au final, j'ai constaté pas mal de dénis de services et de blocages vis à vis de machines pourtant légitimes.

 

Supposons, de plus, que l'entreprise veuille "ouvrir" son système aux tablettes et autres smartphones ou bien par un accès distant aux nomades, avec parfois un ordinateur autre que le leur: Comment faire ?!

 

 

Dans ce cas, le NAC va bloquer ces accès ou attendre qu'Apple ou Android proposent des clients 802.1X...

 

images

 

A la lumière des ces expériences, je pense que l'on va plutôt s'orienter dans les années à venir vers le "DAC": Device Access Control. Chaque appareil contient de manière unique non seulement une MAC ADDRESS de sa carte réseau (pierre angulaire du NAC) mais aussi des caractéristiques uniques rassemblées sous le vocable de "digital fingerprint" ou "empreinte numérique".

 

access control 2

 

Par exemple l'Ipad fournit en plus de son numéro de série, un ICCID unique de 20 chiffres permettant de le rendre unique dans une séquence d'insertion sur un système.

 

    mobileme

 

Cette empreinte numérique peut être composée de plusieurs élements à la fois logiques et d'identifiants matériels difficilement usurpables pourvu que le logiciel de contrôle d'accès soit programmé correctement.

 

Par conséquent on pourra "enrôler" une première fois le matériel que l'utilisateur souhaite insérer, puis on pourra vérifier par un challenge que ce matériel correspond bien à son empreinte numérique.

 

Ce dispositif pourra également fonctionner pour des millions d'autres éléments connectés à Internet qui vont apparaître dans le futur comme les réfrigérateurs (déjà commercialisés), les cuisines et fours, les voitures (pour se combiner avec la navigation et la méteo), les trains, les avions, les jouets, les habits, les passeports, etc....

 

 

Je vois ce type de dispositif apparaître également pour protéger les tablettes et autres smartphones du vol ou d'une utilisation frauduleuse avec par exemple "Mobile me" dans l'iCloud ou "Lookout" pour Androïd. Ces systèmes permettent de tracer un mobile qui a été volé et le bloquent ou détruisent ses données à distance.

 

lookout.PNG

 

Non seulement le Device Acces Control permettra un certain contrôle des ordinateurs qui cherchent à se connecter au réseau et aux données de l'entreprise, mais en plus cela protègera les données de cette même entreprise contre la fuite dûe à un vol ou une perte de ces dispositifs nomades.

 

mobileme2.PNG

 

Je verrais bien le fondeurs Intel, AMD, ATMEL participer à ce "device fingerprinting", mais également les périphériques tels que les cartes graphiques ou les cartes son. En effet le DAC sera bien plus difficile à usurper si sa source est plutôt matérielle que logicielle (comme par exemple peut l'être une adresse IP ou un numéro de série).

 

mobile-computer-200x300


 


Par Mauro ISRAEL - Publié dans : Sécurité Informatique
Ecrire un commentaire - Voir les 0 commentaires

Articles récents

Liste complète

 

Présentation

 

Créer un Blog

Créez votre blog gratuit

 

Recherche

 

Articles récents

Liste complète

 

Calendrier

Mai 2012
L M M J V S D
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      
<< < > >>

 

Créer un blog gratuit sur over-blog.com - Contact - C.G.U. - Rémunération en droits d'auteur - Signaler un abus - Articles les plus commentés