e-securIT - La sécurité des systèmes d'information

ligne

e-securIT - Menu principal
What's new ?!?
Ressources
Le coin des bricoleurs !
Glossaire sécurité
Liens - Mailing lists - Forums
Contacts
A propos du site e-securIT !

[Glossaire sécurité]

A-B-C-D-E-F-G-H-I-J-K-L-M-N-O-P-Q-R-S-T-U-V-W-X-Y-Z

[A]

[AES]
Advanced Encryption Standard.
Algorithme de chiffrement basé sur la cryptographie symétrique, AES est le remplaçant de DES. Face aux vulnérabilités du DES vis-à-vis des attaques par force brute, l'institut NIST a lancé en janvier 1997 un appel d'offre pour le remplacement du DES par un nouvel algorithme de chiffrement par blocs de 128 bits, supportant des clés de chiffrement de 128, 192 et 256 bits minimum. Parmi les 5 algorithmes retenus (MARS, RC6, Rijndael, Serpent, Twofish), l'algorithme belge Rijndael a été choisi.
Référence : http://csrc.nist.gov/encryption/aes/.

[Retour en haut]

[Authentification]
Service de sécurité dont l'objectif est de valider l'identité d'une entité (utilisateur ou équipement).
Il existe classiquement trois méthodes d'authentification permettant de prouver l'identité d'une entité :
- Authentification basée sur la connaissance d'un secret (ex. : mot de passe).
- Authentification basée sur la possession d'un objet (ex. : carte à puce, jeton).
- Authentification basée sur la biométrie.

[Retour en haut]

[Autorisation]
Service de sécurité visant à déterminer les droits d'une entité (utilisateur ou équipement) sur une ressource informatique (ex. : permissions sur un fichier). En général, ce service est lié avec le service d'authentification.

[Retour en haut]

[Autorité de certification]
Autorité chargée par un ou plusieurs utilisateurs de créer et d'attribuer des certificats. Cette autorité peut, facultativement, créer des clés d'utilisateur (ISO 9594-8).
Composant décisionnel, l'autorité de certification joue les rôles suivants :
- Application de la politique de certification de l'organisme.
- Émission de certificats en associant l'identité du demandeur à une clé publique et en garantissant cette association par opposition de sa signature.
- Gestion du cycle de vie des certificats (attribution, durée de vie, révocation...).

[Retour en haut]

[Autorité de certification racine]
Autorité de certification prise comme référence par une communauté d'utilisateurs (incluant d'autres autorités de certification). Elle est un élément essentiel de la confiance qui peut lui être accordée dans un contexte donné (SCSSI, PC2 v2.0).

[Retour en haut]

[Autorité d'enregistrement]
Composante d'une infrastructure de gestion de clés qui vérifie les données propres au demandeur ou porteur de certificat ainsi que les contraintes liées à l'usage d'un certificat, conformément à la politique de certification. L'autorité d'enregistrement dépend directement d'au moins une autorité de certification  (SCSSI, PC2 v2.0).
L'autorité d'enregistrement est l'interface entre l'utilisateur et l'autorité de certification. Elle joue les rôles suivants :
- Authentification des demandeurs ou porteurs de certificats.
- Application de la politique de certification vis-à-vis des requêtes des utilisateurs.
- Récupération de la clé publique du demandeur.
- Soumission des demandes de certificats à l'autorité de certification.

[Retour en haut]

[B]

[Backdoor]
Autrement appelé porte-dérobée en terminologie française, un backdoor est un programme malicieux visant à détourner les fonctionnalités d'un service ou d'un système en ouvrant des canaux d'accès masqués et utilisés par une personne malveillante.
Un backdoor est souvent mis en place à l'aide d'un cheval de Troie (Trojan horse).
BackOrifice (BO) et NetBus sont parmi les backdoors les plus célèbres.

[Retour en haut]

[Bastion]
Système sécurisé dans le but de supporter une application ou un service critique (ex. : firewall, serveur Web).

[Retour en haut]

[Bi-clés]
Clé publique et sa clé privée créées par et utilisées avec un système cryptographique asymétrique (ISO 11568-4).
On distingue en général plusieurs natures de bi-clés :
- Bi-clés de confidentialité, utilisés pour chiffrer des messages de petite taille.
- Bi-clés de signature, dont la clé privée est utilisée pour signer les messages et la clé publique pour vérifier les signatures.
- Bi-clés de certification, utilisés par l'autorité de certification pour signer des certificats ou des messages de révocation.
- Bi-clés d'échange/transport de clés, utilisés pour le transport de clés symétriques servant à sécuriser les communications.

[Retour en haut]

[Biométrie]
La biométrie permet d'authentifier un individu sur la base de ces caractères physiologiques (ex. : empreintes digitales ou rétinienne) ou traits comportementaux (ex. : fréquence ou pression de frappe sur un clavier).
Référence : http://biometrie.online.fr.

[Retour en haut]

[Blowfish]
Blowfish est un algorithme de chiffrement candidat à l'AES, proposé par Bruce Schneier (auteur du fameux "Applied cryptography).
Il s'agit d'un algorithme de chiffrement symétrique par blocs (bloc cipher), utilisant une clé symétrique de taille variable (de 32 à 448 bits).
Référence : http://www.counterpane.com/blowfish.html

[Retour en haut]

[BS7799]
British Standard 7799 (dernière version : mai 1999).
Standard de sécurité britannique composé de dix sections essentielles permettant de certifier un système.

[Retour en haut]

[Buffer overflow]
Autrement appelé débordement de pile en terminologie française, un buffer overflow est une attaque classique consistant à exploiter la mauvaise gestion de la pile mémoire (réservation et relâche des espaces mémoires) dans un programme. 
La personne malveillante envoie délibérément trop d'informations dans un champs ou une variable spécifique, entraînant un dépassement de la zone mémoire allouée à cette variable. La personne malveillante peut alors obtenir des droits d'accès élevés (ex. : root) ou disposer du code exécutable malicieux dans la zone de mémoire débordée.

[Retour en haut]

[C]

[Carte à puce]
Autrement appelé smartcard en langue anglaise, on définit la carte à puce de manière générale comme "un ordinateur personnel de la taille d'une carte de crédit" (Simon Davies). Il s'agit d'une carte disposant de moyens intelligents dont le but est de mettre en oeuvre des calculs cryptographiques permettant d'assurer les services de sécurité suivants : authentification, confidentialité, intégrité et preuve.
Synonymes : carte à microprocesseurs, carte à microcircuit.

[Retour en haut]

[CERT]
Computer Emergency Response Team.
Équipe de l'université de Carnegie-Mellon, créée en 1988 après une célèbre diffusion d'un ver (worm) sur Internet, et dédiée à la veille en sécurité informatique.
CERT  publie régulièrement des avis/alertes sur les failles de sécurité découvertes.
Le modèle du CERT est classiquement repris au sein des grandes entreprises ou administrations pour constituer des équipes de veille en sécurité ou de réaction sur incident de sécurité (Security incident response team). En France, le CERT/A assure cette fonction vis-à-vis des grandes administrations françaises.
Références : 
- Site du CERT : http://www.cert.org.
- RFC 2350 - "Expectations for Computer Security Incident Response" : http://www.ietf.org/rfc/rfc2350.

[Retour en haut]

[CERT/A]
CERT français, CERT/A est une structure d'alerte et d'assistance chargée de coordonner les réactions aux attaques sur les systèmes d'informations des administrations de l'État. Le CERT/A est rattaché à la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI).
Référence : http://www.scssi.gouv.fr/rubriq/certa.html.

[Retour en haut]

[Certificat de clés publique]
Clé publique, identité et autres informations d'une entité rendues infalsifiables par la signature du certificat calculée avec la clé privée de l'autorité de certification qui l'a généré (ISO/CD 15782-1).
Le format standard de certificat est X.509 v.3 (norme PKI-X). Les informations certifiées sont notamment :
- L'identité du porteur.
- La clé publique du porteur.
- La durée de vie du certificat.
- L'identité de l'autorité de certification émettrice.
- La signature de l'autorité de certification émettrice.

[Retour en haut]

[Challenge/Response]
Autrement appelé stimulation/réponse en terminologie française, challenge/response est un procédé d'authentification basé sur un défi émis par un serveur. Le client ne peut relever ce défi que s'il possède un secret particulier. Le succès du défi prouve l'identité du client.
Remarque : le protocole NTLM utilisé dans les systèmes Windows NT de Microsoft repose sur ce principe.

[Retour en haut]

[CHAP]
Challenge-Handshake Authentication Protocol.
Protocole d'authentification basée sur le mécanisme de challenge/response, CHAP permet l'authentification par un serveur d' un client disposant d'un secret commun, sans véhiculer ce secret (et améliore en ce sens le protocole PAP). CHAP se déroule  en trois étapes :
- Le serveur envoie le défi au client.
- Le client utilise une fonction de hachage à sens unique (one-way hash function) pour forger la réponse qu'il ré-émet au serveur.
- Le serveur effectue la même opération et compare les deux résultats. La concordance assure l'authenticité.
Périodiquement, ces trois étapes sont répétées afin de garantir l'identité des interlocuteurs.
CHAP implémente un service d'anti-rejeu.
CHAP n'assure pas l'authentification mutuelle (le serveur n'est pas authentifié par le client).
Référence : RFC 1334 - PPP Authentication Protocols : http://www.ietf.org/rfc/rfc1334.

[Retour en haut]

[Cheval de Troie]
Autrement appelé Trojan (ou Trojan horse) en langue anglaise, un cheval de Troie est un programme d'aspect anodin, masquant un code exécutable malicieux déclenchant ou servant à déclencher une attaque.
Un cheval de Troie est en général utiliser pour ouvrir une porte dérobée (backdoor) sur un système.

[Retour en haut]

[Chiffrement]
Action de chiffrer.

[Retour en haut]

[Chiffrer]
Appliquer un code secret à un ensemble de données pour en assurer la confidentialité et l'authenticité.

[Retour en haut]

[Chroot]
Technique utilisée dans les systèmes Unix pour restreindre l'espace d'exécution d'un processus dans un environnement confiné, un sous-ensemble isolé du système de fichiers (autrement appelé prison).

[Retour en haut]

[CLUSIF]
CLUb de la Sécurité des systèmes d'InFormation.
Association fondée en 1984, le CLUSIF rassemble les acteurs du monde de la sécurité des systèmes d'informations (utilisateurs, prestataires de services, éditeurs de logiciels) au sein de groupes de travail traitant les différentes problématiques associées à la sécurité informatique.
Référence : http://www.clusif.asso.fr.

[Retour en haut]

[Confidentialité]
Qualité de l'information qui n'est pas disponible ou accessible à des individus, entités ou processus non autorisés (ISO 7498-2).

[Retour en haut]

[Cookie]
Information enregistrée par un site Web sur le disque dur d'un client/visiteur pour en permettre la récupération lors de la prochaine visite du client.
En particulier, les cookies sont souvent utilisés pour maintenir une session utilisateur sur un flux HTTP.

[Retour en haut]

[COPS]
Computer Oracle and Password System.
COPS est un ensemble de sous-programmes destinés à évaluer et tester la sécurité d'un système Unix notamment pour ce qui concerne :
- La robustesse des mots de passe.
- Les permissions sur le système de fichiers.
- Les services démarrés...
Attention : COPS n'est plus maintenu (dernière version : 1.04) !

[Retour en haut]

[CRACK]
Crack est un outil permettant de tester la robustesse des mots de passe Unix. Crack s'appuie sur des dictionnaires pour effectuer des recherches de mot de passes (version courante : 4.1).

[Retour en haut]

[Cryptanalyse]
Étude de la sécurité des procédés cryptographiques. La cryptanalyse consiste à déchiffrer un  message dont on connaît généralement le procédé de chiffrement, mais pas les secrets.

[Retour en haut]

[Cryptographie]
Discipline qui englobe tous principes, moyens et méthodes destinés à la transformation de données afin de cacher leur contenu, d'empêcher leur modification et leur utilisation frauduleuse (ISO 8732).

[Retour en haut]

[Cryptographie symétrique]
Voir Technique de cryptographie symétrique.

[Retour en haut]

[Cryptologie]
Étude des procédés de chiffrement. Ensemble de la cryptanalyse et de la cryptographie.

[Retour en haut]

[Crypto-système à clé publique (ou asymétrique)]
Système cryptographique consistant en deux opérations complémentaires, chacune utilisant l'une des deux clés distinctes mais associées, la clé publique et la clé privée et possédant la propriété selon laquelle il est impossible de déterminer, par un calcul sur ordinateur, la clé privée à partir de la clé publique (ISO 1168-4).

[Retour en haut]

[Cyberwoozle/Cyberwoozling]
Terme commercial développé par Content Technologies désignant la collecte illicite d'informations stockées sur un poste de travail, effectuée lorsque celui-ci se connecte à un site Web.
Les moyens utilisés sont en général basés sur les cookies, les plug-ins des navigateurs...

[Retour en haut]

[D]

[DCSSI]
Direction Centrale de la Sécurité des Systèmes d'Information (ex-SCSSI).
Placée sous l'autorité du Secrétaire Général de la défense nationale, la DCSSI a pour missions principales l'évaluation et la certification des systèmes d'informations et des moyens de sécurité, ainsi que le conseil auprès des administrations et aux entreprises.
Référence : http://www.scssi.gouv.fr.

[Retour en haut]

[DES]
Data Encryption Standard.
Algorithme de chiffrement basé sur la technique de cryptographie symétrique publié par IBM et adopté par le département de la défense américaine en 1977.
DES repose sur une clé symétrique de 56 bits et effectue un chiffrement par blocs de 64 bits.
Du fait de sa vulnérabilité aux attaques de type force brute, l'usage de DES décline au profit d'autres algorithmes, notamment 3-DES et AES (Rijndael).

[Retour en haut]

[Décrypter]
Action consistant à retrouver un ensemble de données en clair à partir d'un message chiffré, sans connaître le code secret de chiffrement.

[Retour en haut]

[Déni de service]
Attaque consistant à saturer une ressource en effectuant de manière malveillante des demandes de réservation excessives ou en occupant le service illicitement.
Parmi les attaques de déni de service les plus connues : SYN flooding, UDP flooding, ping of death, LAND attack, SMURF attack, mail bombing...
Référence : CERT Advisory - CA 99-17 - "Denial of Service tools" : http://www.cert.org/advisories/CA-99-17-denial-of-service-tools.html.

[Retour en haut]

[Déni de service distribué]
Le déni de service distribué (DDOS, Distributed Denial of Service) est une forme particulière de déni de service, simple et efficace, particulièrement répandue.
Un déni de service distribué consiste en l'utilisation synchronisée de plusieurs machines, en général des victimes de chevaux de Troie qui, a leur insu, déclenchent une attaque par déni de service sur une cible particulière.
Les outils classiquement utilisés pour générer des dénis de service distribués sont :
- TFN/TFN2K (Tribe Flood Network) permettant de générer des attaques de type ICMP echo, SYN flooding et SMURF attack.
- TrinOO génère des attaques distribuées de type UDP flooding.
Ce type d'attaque a notamment été utilisé par le hacker canadien MafiaBoy contre les sites de CNN, Yahoo...
Référence : ISS/X Force - "Denial of service attack using the trin00 and Tribe Flood Network programs" : http://xforce.iss.net/alerts/advise40.php.

[Retour en haut]

[DMZ]
DeMilitarised Zone.
Littéralement zone démilitarisée, zone intermédiaire (ou neutre) entre un réseau informatique interne sensible et devant être sécurisé et un réseau externe non maîtrisé (ex. : Internet). La DMZ est un sas dans lequel sont obligatoirement véhiculés les flux échangés entre les deux réseaux afin de garantir le caractère sain et inoffensif de ces flux.
Une DMZ est en général délimitée par un équipement de sécurité réseau (ex. : firewall).
Dans certains cas, on met en oeuvre des DMZs de nature différente :
- DMZ publique : recevant les flux en provenance de l'extérieur. Cette zone peut héberger le serveur de messagerie, le serveur Web et le DNS de l'entreprise.
- DMZ privée : recevant les flux en provenance du réseau interne et à destination de l'extérieur. Cette zone peut héberger un relais de messagerie sortant, un proxy-cache pour l'accès au Web.

[Retour en haut]

[DNSSEC]
Domain Name Service Security Extensions.
Service de résolution de noms, DNS assure la traduction des adresses IP en noms et inversement. Dans le fonctionnement d'Internet, il s'agit d'un élément essentiel et critique. Ainsi, DNS est sensible aux attaques d'usurpation d'identité (DNS spoofing) consistant à rediriger un nom de machine vers l'adresse IP d'une machine pirate.
DNSSEC, standardisé par l'IETF (RFC 2065),  utilise la cryptographie asymétrique pour assurer :
- L'authentification de l'origine des données.
- L'intégrité des données.
DNSSEC s'appuie sur la technique de signature numérique pour garantir l'origine des informations (par exemple, en provenance d'un administrateur).
Référence : http://www.ietf.org/rfc/rfc2065.

[Retour en haut]

[E]

[Exploit]
Anglicisme désignant toute faille de sécurité ou vulnérabilité exploitable par une personne malveillante.

[Retour en haut]

[F]

[Firewall]
Système (ou réseau de systèmes) configuré spécialement pour contrôler le trafic circulant entre plusieurs réseaux.
Un firewall peut être de deux natures : à filtre de paquets (packet filter) ou à relais applicatifs (proxy).

[Retour en haut]

[Fonction de hachage]
Fonction non-réversible qui associe un ensemble de chaînes de caractères arbitraires à un ensemble de chaînes d'octets de longueur fixe. Une fonction de hachage résistant à la collision possède la propriété selon laquelle il est impossible de construire, par un calcul sur ordinateur, des données d’entrées distinctes associées aux mêmes données de sortie (ISO 11568-4).

[Retour en haut]

[G]

 

[H]

[HOAX]
En français : canular.
Un HOAX est un message créé pour être largement diffusé (ex. : par messagerie électronique) et annonçant la présente d'un virus fictif.
L'attaque proprement dite consiste en une utilisation abusive, voir une négation de service, des ressources informatiques (ex. : serveur de messagerie).

[Retour en haut]

[HTTPS]
Secure HyperText Transfer Protocol.
HTTPS est une version sécurisée de HTTP assurant les services de sécurité :
- Authentification (éventuellement mutuelle).
- Confidentialité (chiffrement des données échangées).
- Intégrité des données (au cours de leur transport).
HTTPS s'appuie sur le protocole SSL et les algorithmes cryptographiques associés, de sorte qu'il supporte les certificats X.509.
HTTPS utilise le port standard 443.
Remarque : ne pas confondre HTTPS et SHTTP.

[Retour en haut]

[I]

[Infrastructure de gestion de clés]
Une infrastructure de gestion de clés offre un environnement de confiance, ainsi qu'un ensemble de garanties et services relatifs aux certificats de clés publiques (SCSSI, PC2 v2.0).
Une infrastructure de gestion de clés est composée des éléments suivants :
- Autorité de certification.
- Autorité d'enregistrement.
- Système de publication/distribution des certificats (ex. annuaire).
- Autorité d'horodatage.
- Applications compatibles.
Une infrastructure de gestion de clés utilise les objets suivants :
- Bi-clés.
- Certificats.

[Retour en haut]

[Intégrité de données]
Qualité de données qui n'ont pas été altérées ou détruites de manière frauduleuse (ISO 7498-2).

[Retour en haut]

[IPSEC]
Internet Protocol SECurity.
IPSEC est un ensemble de protocoles normalisés sous la conduite de l'IETF, afin d'améliorer la sécurité du protocole IPv4 (natif en IPv6) face aux attaques de type écoute (IP-sniffing), usurpation d'identité (IP-spoofing), prédiction de séquences de paquets, re-jeu de trafic...
IPSEC garantit l'authenticité, l'intégrité, la confidentialité et le non-re-jeu des paquets IP échangés de bout en bout entre deux entités en s'appuyant sur les techniques de cryptographie asymétrique.
IPSEC définit principalement :
- Deux protocoles d'encapsulation sécurisée : AH (Authentication Header) et ESP (Encryption Security Payload).
- Deux structures de gestion de la sécurité par les protagonistes de la communication IPSEC : SA (Security Association) et SPD (Security Policy Database).
- Des procédures d'échange et de gestion des clés : IKE (Internet Key Exchange). 
Références :
- RFC 2401 - Security Architecture for the Internet.
- RFC 2402 - IP Authentication Header.
- RFC 2406 - IP Encapsulating Security Payload.
- RFC 2409 - The Internet Key Exchange.
- RFC 2411 - IP Security.

[Retour en haut]

[J]

[Jeton]
Voir Token.

[Retour en haut]

[K]

[Kerberos]
Kerberos est une méthode évoluée et extrêmement répandue d'authentification mutuelle (client et serveur), sans circulation de mot de passe sur le réseau et avec solution d'anti-rejeu.
Les principes de Kerberos reposent sur :
- La notion de "tickets" (tickets d'autorisation de tickets et ticket de session).
- Un centre de distribution des clés (Key Distribution Center), autorité approuvée dans le système Kerberos. Le tryptique KDC, serveur, client forme les trois têtes du chien Cerbère !
- Les techniques de cryptographie symétrique.
Kerberos v.4 a été développé au MIT (projet Athena) et déployé massivement en environnement Unix. La version courante, Kerberos v.5, compense certaines lacunes de sécurité mais n'est pas inter-opérable avec la version 4.
Windows 2000 implémente la méthode d'authentification Kerberos en natif.
Références :
- RFC 1510 - Implémentation du protocole Kerberos.
- RFC 1964 - Mécanisme et format d'insertion des jetons de sécurité dans les messages Kerberos.

[Retour en haut]

[L]

[L2TP]
Layer 2 Tunneling Protocol.
VPN de niveau 2 (couche liaison du système OSI) basé sur les propositions PPTP et L2F (RFC 2341 obsolète), L2TP permet l'établissement de tunnels de bout en bout et assure les services de sécurité suivants :
- Authentification (CHAP, PAP).
- Confidentialité (chiffrement par secret partagé, ou par clé publique en utilisant l'algorithme RC4 à 40 ou 128 bits).
L2TP encapsule des trames PPP. Les paquets L2TP ainsi formés sont ensuite encapsulés dans un protocole de transport (Frame Relay, ATM, IP/UDP).
L2TP complète PPTP en proposant une solution de transport des trames PPP sur un réseau non-IP.

[Retour en haut]

[M]

[Mot de passe]
Un mot de passe est un moyen utilisé pour authentifier une entité. Il s'agit d'une suite secrète de caractères.

[Retour en haut]

[Mot de passe non re-jouable]
Autrement dénommé One-time-password (OTP) en terminologie anglaise, un mot de passe non re-jouable est un mot de passe éphémère qui ne peut être utilisé qu'une seule fois pour authentifier une entité.
Les jetons (ou token) constituent un exemple typique de générateur de mots de passe non re-jouables.

[Retour en haut]

[N]

[NAT]
Network Address Translation.
Voir traduction d'adresse.

[Retour en haut]

[Non-répudiation]
Service de sécurité dont l'objectif est de générer, récolter, maintenir, rendre disponible et valider l'évidence (information utilisée pour établir une preuve) concernant un évènement ou une action revendiquée afin de résoudre les possibles disputes sur l'occurrence ou non de l'évènement ou de l'action (dérivé de ISO/IEC DIS 13888-1).

[Retour en haut]

[NSA]
National Security Agency.
Organisation américaine très connue des amateurs d'histoire d'espionnage !
La NSA travaille sur les problématiques de cryptographie (et de cryptanalyse) et s'appuie sur le réseau Échelon pour intercepter tout type de communication électronique.
La NSA est réputée pour pouvoir intercepter et décrypter des communications confidentielles sur toute la planète (courriers électroniques, fax, appels téléphoniques...). Elle est souvent désignée comme l'élément essentiel des USA dans la bataille que se livre les pays industrialisés en matière d'intelligence économique.
Le nombre d'employés de la NSA est confidentiel et son budget est, parait-il, illimité.
Référence : http://www.nsa.gov.

[Retour en haut]

[O]

[One time password]
Voir mot de passe non re-jouable.

[Retour en haut]

[P]

[PAP]
Password Authentication Protocol.
PAP est un protocole élémentaire d'authentification d'un client par un serveur basée sur la connaissance d'un secret commun (ex. : le mot de passe du client). PAP se déroule en deux phases :
- Le client émet périodiquement son  couple identifiant/mot de passe au serveur.
- Le serveur, une fois vérifié la conformité du couple identiant/mot de passe du client, lui émet un message de succès d'authentification.
PAP ne fournit pas de mécanisme d'anti-rejeu.
PAP véhicule l'identifiant et le mot de passe du client en clair sur le réseau de transport.
Référence : RFC 1334 - PPP Authentication Protocols : http://www.ietf.org/rfc/rfc1334.

[Retour en haut]

[Porte-dérobée]
Voir Backdoor.

[Retour en haut]

[PPTP]
Point to Point Tunneling Protocol.
Développé initialement par Microsoft, 3COM et Ascend, puis normalisé par l'IETF, PPTP est un protocole de tunneling de niveau 2 (couche liaison du système OSI), à l'image de L2TP, assurant les services de sécurité suivants :
- Authentification (CHAP, PAP).
- Confidentialité (chiffrement par secret partagé, ou par clé publique en utilisant l'algorithme RC4 à 40 ou 128 bits).
PPTP encapsule des trames PPP dans des paquets IP uniquement, pour un transport sur le réseau Internet ou tout réseau IP, IPX , NetBEUI.
PPTP permet de prolonger l'encapsulation PPP et d'utiliser ses fonctionnalités pour gérer la sécurité de bout en bout (authentification et chiffrement).
PPTP utilise le port TCP 1723 et l'identifiant (proto) 47 au niveau IP.

[Retour en haut]

[Q]

 

[R]

[RACF]
Resource Access Control Facility.
RACF est l'outil de gestion de la sécurité proposé par IBM sur ses environnements grands systèmes (AS/X, OS/X) et sur son système d'exploitation VM.

[Retour en haut]

[Rijndael]
Voir AES.

[Retour en haut]

[Rootkit]
Ensemble de programmes destinés à compromettre une machine, majoritairement de type Unix, un rootkit est en général installé par un cheval de Troie et a pour but principal de remplacer les commandes standards (ex. : ls, netstat, ifconfig...) par des binaires malicieux permettant à un pirate d'obtenir des informations ou de prendre le contrôle total de la machine.
La présence d'un rootkit est difficile a détecter. On utilise souvent des outils de calcul d'empreintes (ex. : Tripwire) pour s'assurer que les binaires utilisés sont d'origine et n'ont pas subi de modification malveillante.

[Retour en haut]

[RSA]
Algorithme créé par Rivest, Shamir et Adleman (RSA) en 1977, et basé sur la cryptographie asymétrique, RSA est l'algorithme le plus utilisé dans le monde et offre les services de sécurité essentiels tels que l'authentification, la confidentialité, l'intégrité et la signature.
RSA connaît un essor important avec les développement des infrastructures de gestion de clés (PKI).
Anciennement propriété de la société RSA Security, mais ouvert au domaine public depuis la fin 2000, l'algorithme RSA repose sur la difficulté de factoriser un grand nombre suivant ses facteurs premiers.
Les clés asymétriques utilisées dans le cadre de RSA sont classiquement de taille 512, 1024, 2048, 4096 bits. On considère à l'heure actuelle qu'une clé de 512 bits à une durée de résistance trop faible pour être utilisée.
Référence : RSA Labs FAQ : http://www.rsasecurity.com/rsalabs/faq.

[Retour en haut]

[S]

[SATAN]
System Administrative Tool for Analysing Networks.
Célèbre outil d'analyse de la sécurité réseau diffusé librement.
Attention : SATAN n'est plus maintenu.

[Retour en haut]

[SET]
Secure Electronic Transactions.
Protocole de sécurisation des transactions financières sur Internet, SET a été initié par Visa, Mastercard, Microsoft et Netscape en particulier.
SET repose sur la technique de cryptographie asymétrique RSA pour l'authentification mutuelle, la confidentialité et la signature, et fait intervenir une tierce partie de confiance entre le marchand, le client et la banque.
Référence : http://www.globeset.com.

[Retour en haut]

[SID]
Security IDentifier.
SID est une suite de caractères alphanumériques unique identifiant, sous Windows 2000 et Windows NT, chaque système d'exploitation et chaque utilisateur d'un domaine.

[Retour en haut]

[Signature numérique]
Données ajoutées à un ensemble de données, ou transformation cryptographique d'un ensemble de données, qui permet au récepteur de l'ensemble de donnée de prouver son origine et son intégrité et qui protège contre la fraude (ISO 7498-2).

[Retour en haut]

[Smart card]
Voir Carte à puce

[Retour en haut]

[S/MIME]
Secure Multi-purpose Internet Mail Extensions.
S/MIME est un protocole de chiffrement de messages électroniques reposant sur la technique de cryptographie asymétrique RSA.
S/MIME fournit des services de sécurité pour assurer l'authenticité d'un message et sa confidentialité. Le format des messages S/MIME est défini dans le standard PKCS #7 (Public Key Cryptography System).
Référence : PKCS #7 : http://www.rsa.com/rsalabs/pubs/PKCS/html/pkcsè-7.html.

[Retour en haut]

[Source routing]
Routage à la source.
Ce mécanisme, nativement inclus dans le format des paquets IPv4, permet à l'émetteur d'un paquet IP de spécifier le chemin que devra parcourir ce paquet afin d'atteindre sa destination. Cette option, initialement prévue pour facilité la tâche de certains administrateurs, constitue une faiblesse de sécurité dans le sens où elle permet notamment à un individu de construire un chemin particulier pour ses paquets afin d'éviter les obstacles ou équipements de sécurité réseau, et contredire ainsi la politique de sécurité.
La plupart des équipements réseau actuels ne véhiculent pas, par défaut, les paquets IP munis de cette option.

[Retour en haut]

[SSH]
Secure Shell.
Secure Shell est un protocole de communication sécurisée permettant l'accès distant à des machines Unix (notamment pour les commandes telles que rlogin, rsh et rcp). SSH permet de pallier les faiblesses de sécurité des accès distants aux systèmes Unix (ex. : telnet, X11) en fournissant les services de sécurité essentiels : authentification du serveur, confidentialité des flux (notamment des mots de passe).
SSH repose sur la technique de cryptographie asymétrique RSA. SSH utilise les algorithmes symétrique IDEA (par défaut), Blowfish et DES pour la confidentialité des données.
Référence : http://www.ssh.org.

[Retour en haut]

[SSL]
Secure Socket Layer.
SSL est un protocole de communication sécurisée fournissant des services de sécurité basés sur les techniques de cryptographie symétriques (DES, 3-DES, RCx) et asymétriques (RSA) :
- Authentification (unidirectionnelle ou mutuelle).
- Confidentialité des données.
- Intégrité des données.
SSL a été développé par Netscape (1ère version testée en interne, version 2.0 publiée en 1994, version actuelle 3.0 publié dans un draft IETF en 1996). SSL est en cours de standardisation par l'IETF sous le nom TLS (Transport Layer Security).
SSL est une couche supplémentaire au système OSI située entre la couche transport (TCP) et la couche des services applicatifs (niveau 7).
SSL est composé de deux niveaux :
- 1er niveau : protocole au dessus de TCP/IP : Record Layer Protocol.
- 2nd niveau : 3 sous-protocoles : Handshake protocol, Change cipher spe protocol, Alert protocol.
Références :
- Informations Netscape : http://home.netscape.com/eng/ssl3/index.html.
- Analysis of the SSL v.3 protocol - D. Wagner/B. Schneier, April 1997 : http://www.counterpane.com/ssl-revised.pdf.

[Retour en haut]

[T]

[Technique cryptographique symétrique]
Technique cryptographique qui utilise la même clé secrète pour la transformation cryptographique de l'émetteur ou du destinataire. Sans connaissance de la clé secrète, il est impossible de calculer la transformation cryptographique de l'émetteur ou du destinataire (ISO/IEC 11770-1).

[Retour en haut]

[TFN]
Tribe Flood Network.
Voir déni de service distribué.

[Retour en haut]

[Token]
Également dénommé jeton, un token est un mot de passe non re-jouable émis par un dispositif électronique. Il s'agit en général d'une calculette capable de dérouler un algorithme identique à celui déroulé par le serveur d'authentification. La calculette génère ainsi des mots de passe en même temps que le serveur. L'utilisateur se contente de recopier le mot de passe présenter sur l'écran de la calculette à un instant donné. Ce type de dispositif nécessite en général une synchronisation temporelle du serveur et du token.
Les token SecurID de la société RSA Security et ActivCard One et la société ActivCard sont les plus connus et utilisés.

[Retour en haut]

[Traduction d'adresse]
La traduction d'adresse (NAT : Network Address Translation), communément et abusivement dénommée translation d'adresse, est un mécanisme initialement mis en oeuvre pour lutter contre la pénurie d'adresses IPv4.
Le principe consiste, pour un paquet IP donné, à modifier son adresse IP source ou destination. En particulier, certains équipements réseaux ou de sécurité (ex. : firewalls) réalisent de la traduction d'adresses pour masquer le plan d'adressage d'une entreprise, classiquement respectant le RFC 1918.
La traduction d'adresse peut-être réalisée de deux manières :
- 1 pour 1 : une adresse est systémtiquement masquée par une autre et identique adresse.
- N pour 1 : N adresses IP sont masquées par la même adresse IP. Les paquets sont alors différencier par l'affectation de numéro de ports particuliers.

[Retour en haut]

[TrinOO]
Voir déni de service distribué.

[Retour en haut]

[Tunneling]
Le principe de tunneling consiste à utiliser un réseau public non sécurisé (ex. : Internet) comme élément/extension d'un réseau privé sécurisé. On utilise ainsi les capacités de télécommunication de l'Internet en ajoutant une couche de sécurité afin d'établir un VPN. Sont souvent utilisés les protocoles PPTP, L2TP ou IPSEC pour établir cette couche supplémentaire de sécurité.

[Retour en haut]

[U]

 

[V]

[VPN]
Virtual Private Network (Réseau Privé Virtuel).
Un VPN est un réseau de données qui utilise les moyens de télécommunications d'un réseau public en ajoutant des services de sécurité et des protocoles de tunneling.
Internet est en général utilisé pour établir un VPN pour des raisons de coûts.

[Retour en haut]

[VRRP]
Virutal Router Redundancy Protocol.
VRRP est un protocole utilisé pour assurer un service de haute-disponibilité entre équipements réseaux (ex. : routeurs, firewalls).
VRRP repose sur la définition d'une adresse IP virtuelle partagée entre plusieurs équipements, dont l'un est désigné comme maître (il est actif) et les autres comme esclaves (ils sont inactifs mais en éveil). Lorsque l'équipement maître ne répond plus, un des esclaves est promu maître et assure le service.
VRRP peut également être utilisé par assurer du partage de charge entre plusieurs équipements.

[Retour en haut]

[W]

 

[X]

 

[Y]

 

[Z]

[Zoo]
On désigne habituellement par zoo un site Internet hébergeant des collections de virus mises volontairement à disposition des Internautes. Dans certains pays, ce type d'activité est interdit.

[Retour en haut]

ligne
 securIT@free.fr - Plein accès