[Glossaire sécurité]
A-B-C-D-E-F-G-H-I-J-K-L-M-N-O-P-Q-R-S-T-U-V-W-X-Y-Z [A] [AES]
Advanced Encryption Standard.
Algorithme de chiffrement basé sur la cryptographie symétrique, AES est le
remplaçant de DES. Face aux vulnérabilités du DES vis-à-vis des attaques par
force brute, l'institut NIST a lancé en janvier 1997 un appel d'offre pour le
remplacement du DES par un nouvel algorithme de chiffrement par blocs de 128
bits, supportant des clés de chiffrement de 128, 192 et 256 bits minimum. Parmi
les 5 algorithmes retenus (MARS, RC6, Rijndael, Serpent, Twofish), l'algorithme
belge Rijndael a été choisi.
Référence : http://csrc.nist.gov/encryption/aes/. [Retour
en haut] [Authentification]
Service de sécurité dont l'objectif est de valider l'identité d'une entité
(utilisateur ou équipement).
Il existe classiquement trois méthodes d'authentification permettant de prouver
l'identité d'une entité :
- Authentification basée sur la connaissance d'un secret (ex. : mot de passe).
- Authentification basée sur la possession d'un objet (ex. : carte à
puce, jeton).
- Authentification basée sur la biométrie. [Retour
en haut] [Autorisation]
Service de sécurité visant à déterminer les droits d'une entité
(utilisateur ou équipement) sur une ressource informatique (ex. : permissions
sur un fichier). En général, ce service est lié avec le service d'authentification. [Retour
en haut] [Autorité
de certification]
Autorité chargée par un ou plusieurs utilisateurs de créer et d'attribuer des
certificats. Cette autorité peut, facultativement, créer des clés
d'utilisateur (ISO 9594-8).
Composant décisionnel, l'autorité de certification joue les rôles suivants :
- Application de la politique de certification de l'organisme.
- Émission de certificats en associant l'identité du demandeur à une
clé
publique et en garantissant cette association par opposition de sa signature.
- Gestion du cycle de vie des certificats (attribution, durée de vie,
révocation...). [Retour
en haut] [Autorité
de certification racine]
Autorité de certification prise comme référence par une communauté
d'utilisateurs (incluant d'autres autorités de certification). Elle est un
élément essentiel de la confiance qui peut lui être accordée dans un
contexte donné (SCSSI, PC2 v2.0). [Retour
en haut] [Autorité
d'enregistrement]
Composante d'une infrastructure de gestion de clés qui vérifie les données
propres au demandeur ou porteur de certificat ainsi que les contraintes liées
à l'usage d'un certificat, conformément à la politique de certification.
L'autorité d'enregistrement dépend directement d'au moins une autorité de
certification (SCSSI, PC2 v2.0).
L'autorité d'enregistrement est l'interface entre l'utilisateur et l'autorité
de certification. Elle joue les rôles suivants :
- Authentification des demandeurs ou porteurs de certificats.
- Application de la politique de certification vis-à-vis des requêtes des
utilisateurs.
- Récupération de la clé publique du demandeur.
- Soumission des demandes de certificats à l'autorité de certification. [Retour
en haut] [B]
[Backdoor]
Autrement appelé porte-dérobée en terminologie française, un backdoor est un
programme malicieux visant à détourner les fonctionnalités d'un service ou
d'un système en ouvrant des canaux d'accès masqués et utilisés par une
personne malveillante.
Un backdoor est souvent mis en place à l'aide d'un cheval de Troie (Trojan
horse).
BackOrifice (BO) et NetBus sont parmi les backdoors les plus célèbres. [Retour
en haut] [Bastion]
Système sécurisé dans le but de supporter une application ou un service
critique (ex. : firewall, serveur Web). [Retour
en haut] [Bi-clés]
Clé publique et sa clé privée créées par et utilisées avec un système
cryptographique asymétrique (ISO 11568-4).
On distingue en général plusieurs natures de bi-clés :
- Bi-clés de confidentialité, utilisés pour chiffrer des messages de petite
taille.
- Bi-clés de signature, dont la clé privée est utilisée pour signer les
messages et la clé publique pour vérifier les signatures.
- Bi-clés de certification, utilisés par l'autorité de certification pour
signer des certificats ou des messages de révocation.
- Bi-clés d'échange/transport de clés, utilisés pour le transport de clés
symétriques servant à sécuriser les communications. [Retour
en haut] [Biométrie]
La biométrie permet d'authentifier un individu sur la base de ces caractères
physiologiques (ex. : empreintes digitales ou rétinienne) ou traits
comportementaux (ex. : fréquence ou pression de frappe sur un clavier).
Référence : http://biometrie.online.fr. [Retour
en haut] [Blowfish]
Blowfish est un algorithme de chiffrement candidat à
l'AES, proposé par Bruce
Schneier (auteur du fameux "Applied cryptography).
Il s'agit d'un algorithme de chiffrement symétrique par blocs (bloc cipher),
utilisant une clé symétrique de taille variable (de 32 à 448 bits).
Référence : http://www.counterpane.com/blowfish.html [Retour
en haut] [BS7799]
British Standard 7799 (dernière version : mai 1999).
Standard de sécurité britannique composé de dix sections essentielles
permettant de certifier un système. [Retour
en haut] [Buffer
overflow]
Autrement appelé débordement de pile en terminologie française, un buffer
overflow est une attaque classique consistant à exploiter la mauvaise gestion
de la pile mémoire (réservation et relâche des espaces mémoires) dans un
programme.
La personne malveillante envoie délibérément trop d'informations dans un
champs ou une variable spécifique, entraînant un dépassement de la zone
mémoire allouée à cette variable. La personne malveillante peut alors obtenir
des droits d'accès élevés (ex. : root) ou disposer du code exécutable
malicieux dans la zone de mémoire débordée. [Retour
en haut] [C] [Carte
à puce]
Autrement appelé smartcard en langue anglaise, on définit la carte à puce de
manière générale comme "un ordinateur personnel de la taille d'une carte
de crédit" (Simon Davies). Il s'agit d'une carte disposant de moyens
intelligents dont le but est de mettre en oeuvre des calculs cryptographiques
permettant d'assurer les services de sécurité suivants : authentification,
confidentialité, intégrité et preuve.
Synonymes : carte à microprocesseurs, carte à microcircuit. [Retour
en haut] [CERT]
Computer Emergency Response Team.
Équipe de l'université de Carnegie-Mellon, créée en 1988 après une
célèbre diffusion d'un ver (worm) sur Internet, et dédiée à la
veille en sécurité informatique.
CERT publie régulièrement des avis/alertes sur les failles de sécurité
découvertes.
Le modèle du CERT est classiquement repris au sein des grandes entreprises ou
administrations pour constituer des équipes de veille en sécurité ou de
réaction sur incident de sécurité (Security incident response team).
En France, le CERT/A assure cette fonction vis-à-vis des grandes
administrations françaises.
Références :
- Site du CERT : http://www.cert.org.
- RFC 2350 - "Expectations for Computer Security Incident Response" : http://www.ietf.org/rfc/rfc2350. [Retour
en haut] [CERT/A]
CERT français, CERT/A est une structure d'alerte et d'assistance chargée de
coordonner les réactions aux attaques sur les systèmes d'informations des
administrations de l'État. Le CERT/A est rattaché à la Direction Centrale de
la Sécurité des Systèmes d'Information (DCSSI).
Référence : http://www.scssi.gouv.fr/rubriq/certa.html. [Retour
en haut] [Certificat
de clés publique]
Clé publique, identité et autres informations d'une entité rendues
infalsifiables par la signature du certificat calculée avec la clé privée de
l'autorité de certification qui l'a généré (ISO/CD 15782-1).
Le format standard de certificat est X.509 v.3 (norme PKI-X). Les informations
certifiées sont notamment :
- L'identité du porteur.
- La clé publique du porteur.
- La durée de vie du certificat.
- L'identité de l'autorité de certification émettrice.
- La signature de l'autorité de certification émettrice. [Retour
en haut] [Challenge/Response]
Autrement appelé stimulation/réponse en terminologie française, challenge/response
est un procédé d'authentification basé sur un défi émis par un
serveur. Le
client ne peut relever ce défi que s'il possède un secret particulier. Le
succès du défi prouve l'identité du client.
Remarque : le protocole NTLM utilisé dans les systèmes Windows NT de Microsoft
repose sur ce principe. [Retour
en haut] [CHAP]
Challenge-Handshake Authentication Protocol.
Protocole d'authentification basée sur le mécanisme de
challenge/response,
CHAP permet l'authentification par un serveur d' un client disposant d'un secret
commun, sans véhiculer ce secret (et améliore en ce sens le protocole PAP).
CHAP se déroule en trois étapes :
- Le serveur envoie le défi au client.
- Le client utilise une fonction de hachage à sens unique (one-way hash
function) pour forger la réponse qu'il ré-émet au serveur.
- Le serveur effectue la même opération et compare les deux résultats. La
concordance assure l'authenticité.
Périodiquement, ces trois étapes sont répétées afin de garantir l'identité
des interlocuteurs.
CHAP implémente un service d'anti-rejeu.
CHAP n'assure pas l'authentification mutuelle (le serveur n'est pas authentifié
par le client).
Référence : RFC 1334 - PPP Authentication Protocols : http://www.ietf.org/rfc/rfc1334. [Retour
en haut] [Cheval
de Troie]
Autrement appelé Trojan (ou Trojan horse) en langue anglaise, un cheval de
Troie est un programme d'aspect anodin, masquant un code exécutable malicieux
déclenchant ou servant à déclencher une attaque.
Un cheval de Troie est en général utiliser pour ouvrir une porte dérobée (backdoor)
sur un système. [Retour
en haut] [Chiffrement]
Action de chiffrer. [Retour
en haut] [Chiffrer]
Appliquer un code secret à un ensemble de données pour en assurer la
confidentialité et l'authenticité. [Retour
en haut] [Chroot]
Technique utilisée dans les systèmes Unix pour restreindre l'espace
d'exécution d'un processus dans un environnement confiné, un sous-ensemble
isolé du système de fichiers (autrement appelé prison). [Retour
en haut] [CLUSIF]
CLUb de la Sécurité des systèmes d'InFormation.
Association fondée en 1984, le CLUSIF rassemble les acteurs du monde de la
sécurité des systèmes d'informations (utilisateurs, prestataires de services,
éditeurs de logiciels) au sein de groupes de travail traitant les différentes
problématiques associées à la sécurité informatique.
Référence : http://www.clusif.asso.fr. [Retour
en haut] [Confidentialité]
Qualité de l'information qui n'est pas disponible ou accessible à des
individus, entités ou processus non autorisés (ISO 7498-2). [Retour
en haut] [Cookie]
Information enregistrée par un site Web sur le disque dur d'un client/visiteur
pour en permettre la récupération lors de la prochaine visite du client.
En particulier, les cookies sont souvent utilisés pour maintenir une session
utilisateur sur un flux HTTP. [Retour
en haut] [COPS]
Computer Oracle and Password System.
COPS est un ensemble de sous-programmes destinés à évaluer et tester la
sécurité d'un système Unix notamment pour ce qui concerne :
- La robustesse des mots de passe.
- Les permissions sur le système de fichiers.
- Les services démarrés...
Attention : COPS n'est plus maintenu (dernière version : 1.04) ! [Retour
en haut] [CRACK]
Crack est un outil permettant de tester la robustesse des mots de passe Unix.
Crack s'appuie sur des dictionnaires pour effectuer des recherches de mot de
passes (version courante : 4.1). [Retour
en haut] [Cryptanalyse]
Étude de la sécurité des procédés cryptographiques. La cryptanalyse
consiste à déchiffrer un message dont on connaît généralement le
procédé de chiffrement, mais pas les secrets. [Retour
en haut] [Cryptographie]
Discipline qui englobe tous principes, moyens et méthodes destinés à la
transformation de données afin de cacher leur contenu, d'empêcher leur
modification et leur utilisation frauduleuse (ISO 8732). [Retour
en haut] [Cryptographie
symétrique]
Voir Technique de cryptographie
symétrique. [Retour
en haut] [Cryptologie]
Étude des procédés de chiffrement. Ensemble de la cryptanalyse et de la
cryptographie. [Retour
en haut] [Crypto-système
à clé publique (ou asymétrique)]
Système cryptographique consistant en deux opérations complémentaires,
chacune utilisant l'une des deux clés distinctes mais associées, la clé
publique et la clé privée et possédant la propriété selon laquelle il est
impossible de déterminer, par un calcul sur ordinateur, la clé privée à
partir de la clé publique (ISO 1168-4). [Retour
en haut] [Cyberwoozle/Cyberwoozling]
Terme commercial développé par Content Technologies désignant la collecte
illicite d'informations stockées sur un poste de travail, effectuée lorsque
celui-ci se connecte à un site Web.
Les moyens utilisés sont en général basés sur les cookies, les plug-ins des
navigateurs... [Retour
en haut] [D] [DCSSI]
Direction Centrale de la Sécurité des Systèmes d'Information (ex-SCSSI).
Placée sous l'autorité du Secrétaire Général de la défense nationale, la
DCSSI a pour missions principales l'évaluation et la certification des
systèmes d'informations et des moyens de sécurité, ainsi que le conseil
auprès des administrations et aux entreprises.
Référence : http://www.scssi.gouv.fr. [Retour
en haut] [DES]
Data Encryption Standard.
Algorithme de chiffrement basé sur la technique de cryptographie symétrique
publié par IBM et adopté par le département de la défense américaine en
1977.
DES repose sur une clé symétrique de 56 bits et effectue un chiffrement par
blocs de 64 bits.
Du fait de sa vulnérabilité aux attaques de type force brute, l'usage de DES
décline au profit d'autres algorithmes, notamment 3-DES et AES (Rijndael). [Retour
en haut] [Décrypter]
Action consistant à retrouver un ensemble de données en clair à partir d'un
message chiffré, sans connaître le code secret de chiffrement. [Retour
en haut] [Déni
de service]
Attaque consistant à saturer une ressource en effectuant de manière
malveillante des demandes de réservation excessives ou en occupant le service
illicitement.
Parmi les attaques de déni de service les plus connues : SYN flooding, UDP
flooding, ping of death, LAND attack, SMURF attack, mail bombing...
Référence : CERT Advisory - CA 99-17 - "Denial of Service tools"
: http://www.cert.org/advisories/CA-99-17-denial-of-service-tools.html. [Retour
en haut] [Déni
de service distribué]
Le déni de service distribué (DDOS, Distributed Denial of Service) est une
forme particulière de déni de service, simple et efficace, particulièrement
répandue.
Un déni de service distribué consiste en l'utilisation synchronisée de
plusieurs machines, en général des victimes de chevaux de Troie qui, a leur insu,
déclenchent une attaque par déni de service sur une cible particulière.
Les outils classiquement utilisés pour générer des dénis de service
distribués sont :
- TFN/TFN2K (Tribe Flood Network) permettant de générer des attaques de type
ICMP echo, SYN flooding et SMURF attack.
- TrinOO génère des attaques distribuées de type UDP flooding.
Ce type d'attaque a notamment été utilisé par le hacker canadien MafiaBoy
contre les sites de CNN, Yahoo...
Référence : ISS/X Force - "Denial of service attack using the
trin00 and Tribe Flood Network programs" : http://xforce.iss.net/alerts/advise40.php. [Retour
en haut] [DMZ]
DeMilitarised Zone.
Littéralement zone démilitarisée, zone intermédiaire (ou neutre) entre un
réseau informatique interne sensible et devant être sécurisé et un réseau
externe non maîtrisé (ex. : Internet). La DMZ est un sas dans lequel sont
obligatoirement véhiculés les flux échangés entre les deux réseaux afin de
garantir le caractère sain et inoffensif de ces flux.
Une DMZ est en général délimitée par un équipement de sécurité réseau
(ex. : firewall).
Dans certains cas, on met en oeuvre des DMZs de nature différente :
- DMZ publique : recevant les flux en provenance de l'extérieur. Cette zone
peut héberger le serveur de messagerie, le serveur Web et le DNS de
l'entreprise.
- DMZ privée : recevant les flux en provenance du réseau interne et à
destination de l'extérieur. Cette zone peut héberger un relais de messagerie
sortant, un proxy-cache pour l'accès au Web. [Retour
en haut] [DNSSEC]
Domain Name Service Security Extensions.
Service de résolution de noms, DNS assure la traduction des adresses IP en noms
et inversement. Dans le fonctionnement d'Internet, il s'agit d'un élément
essentiel et critique. Ainsi, DNS est sensible aux attaques d'usurpation
d'identité (DNS spoofing) consistant à rediriger un nom de machine vers
l'adresse IP d'une machine pirate.
DNSSEC, standardisé par l'IETF (RFC 2065), utilise la cryptographie
asymétrique pour assurer :
- L'authentification de l'origine des données.
- L'intégrité des données.
DNSSEC s'appuie sur la technique de signature numérique pour garantir l'origine
des informations (par exemple, en provenance d'un administrateur).
Référence : http://www.ietf.org/rfc/rfc2065. [Retour
en haut] [E] [Exploit]
Anglicisme désignant toute faille de sécurité ou vulnérabilité exploitable
par une personne malveillante. [Retour
en haut] [F] [Firewall]
Système (ou réseau de systèmes) configuré spécialement pour contrôler le
trafic circulant entre plusieurs réseaux.
Un firewall peut être de deux natures : à filtre de paquets (packet filter)
ou à relais applicatifs (proxy). [Retour
en haut] [Fonction
de hachage]
Fonction non-réversible qui associe un ensemble de chaînes de caractères arbitraires à un ensemble de chaînes
d'octets de longueur fixe. Une fonction de hachage résistant à la collision possède la propriété selon laquelle il est impossible de construire, par un calcul sur ordinateur, des données d’entrées distinctes associées aux mêmes données de sortie (ISO 11568-4). [Retour
en haut] [G] [H] [HOAX]
En français : canular.
Un HOAX est un message créé pour être largement diffusé (ex. : par
messagerie électronique) et annonçant la présente d'un virus fictif.
L'attaque proprement dite consiste en une utilisation abusive, voir une
négation de service, des ressources informatiques (ex. : serveur de
messagerie). [Retour
en haut] [HTTPS]
Secure HyperText Transfer Protocol.
HTTPS est une version sécurisée de HTTP assurant les services de sécurité :
- Authentification (éventuellement mutuelle).
- Confidentialité (chiffrement des données échangées).
- Intégrité des données (au cours de leur transport).
HTTPS s'appuie sur le protocole SSL et les algorithmes cryptographiques
associés, de sorte qu'il supporte les certificats X.509.
HTTPS utilise le port standard 443.
Remarque : ne pas confondre HTTPS et SHTTP. [Retour
en haut] [I] [Infrastructure
de gestion de clés]
Une infrastructure de gestion de clés offre un environnement de confiance,
ainsi qu'un ensemble de garanties et services relatifs aux certificats de clés
publiques (SCSSI, PC2 v2.0).
Une infrastructure de gestion de clés est composée des éléments suivants :
- Autorité de certification.
- Autorité d'enregistrement.
- Système de publication/distribution des certificats (ex. annuaire).
- Autorité d'horodatage.
- Applications compatibles.
Une infrastructure de gestion de clés utilise les objets suivants :
- Bi-clés.
- Certificats. [Retour
en haut] [Intégrité
de données]
Qualité de données qui n'ont pas été altérées ou détruites de manière
frauduleuse (ISO 7498-2). [Retour
en haut] [IPSEC]
Internet Protocol SECurity.
IPSEC est un ensemble de protocoles normalisés sous la conduite de l'IETF, afin
d'améliorer la sécurité du protocole IPv4 (natif en IPv6) face aux attaques
de type écoute (IP-sniffing), usurpation d'identité (IP-spoofing), prédiction
de séquences de paquets, re-jeu de trafic...
IPSEC garantit l'authenticité, l'intégrité, la confidentialité et le
non-re-jeu des paquets IP échangés de bout en bout entre deux entités en
s'appuyant sur les techniques de cryptographie
asymétrique.
IPSEC définit principalement :
- Deux protocoles d'encapsulation sécurisée : AH (Authentication Header) et
ESP (Encryption Security Payload).
- Deux structures de gestion de la sécurité par les protagonistes de la
communication IPSEC : SA (Security Association) et SPD (Security Policy Database).
- Des procédures d'échange et de gestion des clés : IKE (Internet Key
Exchange).
Références :
- RFC 2401 - Security Architecture for
the Internet.
- RFC 2402 - IP Authentication
Header.
- RFC 2406 - IP Encapsulating Security
Payload.
- RFC 2409 - The Internet Key
Exchange.
- RFC 2411 - IP
Security. [Retour
en haut] [J] [Jeton]
Voir Token. [Retour
en haut] [K] [Kerberos]
Kerberos est une méthode évoluée et extrêmement répandue d'authentification
mutuelle (client et serveur), sans circulation de mot de passe sur le réseau et
avec solution d'anti-rejeu.
Les principes de Kerberos reposent sur :
- La notion de "tickets" (tickets d'autorisation de tickets et ticket
de session).
- Un centre de distribution des clés (Key Distribution Center), autorité
approuvée dans le système Kerberos. Le tryptique KDC, serveur, client forme
les trois têtes du chien Cerbère !
- Les techniques de cryptographie
symétrique.
Kerberos v.4 a été développé au MIT (projet Athena) et déployé massivement
en environnement Unix. La version courante, Kerberos v.5, compense certaines
lacunes de sécurité mais n'est pas inter-opérable avec la version 4.
Windows 2000 implémente la méthode d'authentification Kerberos en natif.
Références :
- RFC 1510 - Implémentation du
protocole Kerberos.
- RFC 1964 - Mécanisme et format
d'insertion des jetons de sécurité dans les messages Kerberos. [Retour
en haut] [L] [L2TP]
Layer 2 Tunneling Protocol.
VPN de niveau 2 (couche liaison du système OSI) basé sur les propositions PPTP
et L2F (RFC 2341 obsolète), L2TP permet l'établissement de tunnels de bout en
bout et assure les services de sécurité suivants :
- Authentification (CHAP, PAP).
- Confidentialité (chiffrement par secret partagé, ou par clé publique en
utilisant l'algorithme RC4 à 40 ou 128 bits).
L2TP encapsule des trames PPP. Les paquets L2TP ainsi formés sont ensuite
encapsulés dans un protocole de transport (Frame Relay, ATM, IP/UDP).
L2TP complète PPTP en proposant une solution de transport des trames PPP sur un
réseau non-IP. [Retour
en haut] [M] [Mot
de passe]
Un mot de passe est un moyen utilisé pour authentifier une entité. Il s'agit
d'une suite secrète de caractères. [Retour
en haut] [Mot de passe non
re-jouable]
Autrement dénommé One-time-password (OTP) en terminologie anglaise, un mot de
passe non re-jouable est un mot de passe éphémère qui ne peut être utilisé
qu'une seule fois pour authentifier une entité.
Les jetons (ou token) constituent un exemple typique de générateur de mots de
passe non re-jouables. [Retour
en haut] [N] [NAT]
Network Address Translation.
Voir traduction d'adresse. [Retour
en haut] [Non-répudiation]
Service de sécurité dont l'objectif est de générer, récolter, maintenir,
rendre disponible et valider l'évidence (information utilisée pour établir
une preuve) concernant un évènement ou une action revendiquée afin de
résoudre les possibles disputes sur l'occurrence ou non de l'évènement ou de
l'action (dérivé de ISO/IEC DIS 13888-1). [Retour
en haut] [NSA]
National Security Agency.
Organisation américaine très connue des amateurs d'histoire d'espionnage !
La NSA travaille sur les problématiques de cryptographie (et de cryptanalyse)
et s'appuie sur le réseau Échelon pour intercepter tout type de communication
électronique.
La NSA est réputée pour pouvoir intercepter et décrypter des communications
confidentielles sur toute la planète (courriers électroniques, fax, appels
téléphoniques...). Elle est souvent désignée comme l'élément essentiel des
USA dans la bataille que se livre les pays industrialisés en matière
d'intelligence économique.
Le nombre d'employés de la NSA est confidentiel et son budget est, parait-il,
illimité.
Référence : http://www.nsa.gov. [Retour
en haut] [O] [One
time password]
Voir mot de passe non re-jouable. [Retour
en haut] [P] [PAP]
Password Authentication Protocol.
PAP est un protocole élémentaire d'authentification d'un client par un serveur
basée sur la connaissance d'un secret commun (ex. : le mot de passe du client).
PAP se déroule en deux phases :
- Le client émet périodiquement son couple identifiant/mot de passe au
serveur.
- Le serveur, une fois vérifié la conformité du couple identiant/mot de passe
du client, lui émet un message de succès d'authentification.
PAP ne fournit pas de mécanisme d'anti-rejeu.
PAP véhicule l'identifiant et le mot de passe du client en clair sur le réseau
de transport.
Référence : RFC 1334 - PPP Authentication Protocols : http://www.ietf.org/rfc/rfc1334. [Retour
en haut] [Porte-dérobée]
Voir Backdoor. [Retour
en haut] [PPTP]
Point to Point Tunneling Protocol.
Développé initialement par Microsoft, 3COM et Ascend, puis normalisé par l'IETF,
PPTP est un protocole de tunneling de niveau 2 (couche liaison du système OSI),
à l'image de L2TP, assurant les services de sécurité suivants :
- Authentification (CHAP, PAP).
- Confidentialité (chiffrement par secret partagé, ou par
clé publique en
utilisant l'algorithme RC4 à 40 ou 128 bits).
PPTP encapsule des trames PPP dans des paquets IP uniquement, pour un transport
sur le réseau Internet ou tout réseau IP, IPX , NetBEUI.
PPTP permet de prolonger l'encapsulation PPP et d'utiliser ses fonctionnalités
pour gérer la sécurité de bout en bout (authentification et chiffrement).
PPTP utilise le port TCP 1723 et l'identifiant (proto) 47 au niveau IP. [Retour
en haut] [Q] [R] [RACF]
Resource Access Control Facility.
RACF est l'outil de gestion de la sécurité proposé par IBM sur ses
environnements grands systèmes (AS/X, OS/X) et sur son système d'exploitation
VM. [Retour en haut] [Rijndael]
Voir AES. [Retour
en haut] [Rootkit]
Ensemble de programmes destinés à compromettre une machine, majoritairement de
type Unix, un rootkit est en général installé par un cheval de Troie et a
pour but principal de remplacer les commandes standards (ex. : ls, netstat,
ifconfig...) par des binaires malicieux permettant à un pirate d'obtenir des
informations ou de prendre le contrôle total de la machine.
La présence d'un rootkit est difficile a détecter. On utilise souvent des
outils de calcul d'empreintes (ex. : Tripwire) pour s'assurer que les binaires
utilisés sont d'origine et n'ont pas subi de modification malveillante. [Retour
en haut] [RSA]
Algorithme créé par Rivest, Shamir et Adleman (RSA) en 1977, et basé sur la
cryptographie asymétrique, RSA est l'algorithme le plus utilisé dans le monde
et offre les services de sécurité essentiels tels que l'authentification, la
confidentialité, l'intégrité et la
signature.
RSA connaît un essor important avec les développement des infrastructures de
gestion de clés (PKI).
Anciennement propriété de la société RSA Security, mais ouvert au domaine
public depuis la fin 2000, l'algorithme RSA repose sur la difficulté de
factoriser un grand nombre suivant ses facteurs premiers.
Les clés asymétriques utilisées dans le cadre de RSA sont classiquement de
taille 512, 1024, 2048, 4096 bits. On considère à l'heure actuelle qu'une clé
de 512 bits à une durée de résistance trop faible pour être utilisée.
Référence : RSA Labs FAQ : http://www.rsasecurity.com/rsalabs/faq. [Retour
en haut] [S] [SATAN]
System Administrative Tool for Analysing Networks.
Célèbre outil d'analyse de la sécurité réseau diffusé librement.
Attention : SATAN n'est plus maintenu. [Retour
en haut] [SET]
Secure Electronic Transactions.
Protocole de sécurisation des transactions financières sur Internet, SET a
été initié par Visa, Mastercard, Microsoft et Netscape en particulier.
SET repose sur la technique de cryptographie asymétrique RSA pour
l'authentification mutuelle, la confidentialité et la
signature, et fait
intervenir une tierce partie de confiance entre le marchand, le client et la
banque.
Référence : http://www.globeset.com. [Retour
en haut] [SID]
Security IDentifier.
SID est une suite de caractères alphanumériques unique identifiant, sous
Windows 2000 et Windows NT, chaque système d'exploitation et chaque utilisateur
d'un domaine. [Retour
en haut] [Signature
numérique]
Données ajoutées à un ensemble de données, ou transformation cryptographique
d'un ensemble de données, qui permet au récepteur de l'ensemble de donnée de
prouver son origine et son intégrité et qui protège contre la fraude (ISO
7498-2). [Retour en
haut] [Smart card]
Voir Carte à puce. [Retour
en haut] [S/MIME]
Secure Multi-purpose Internet Mail Extensions.
S/MIME est un protocole de chiffrement de messages électroniques reposant sur
la technique de cryptographie asymétrique RSA.
S/MIME fournit des services de sécurité pour assurer l'authenticité d'un
message et sa confidentialité. Le format des messages S/MIME est défini dans le
standard PKCS #7 (Public Key Cryptography System).
Référence : PKCS #7 : http://www.rsa.com/rsalabs/pubs/PKCS/html/pkcsè-7.html. [Retour
en haut] [Source
routing]
Routage à la source.
Ce mécanisme, nativement inclus dans le format des paquets IPv4, permet à
l'émetteur d'un paquet IP de spécifier le chemin que devra parcourir ce paquet
afin d'atteindre sa destination. Cette option, initialement prévue pour
facilité la tâche de certains administrateurs, constitue une faiblesse de
sécurité dans le sens où elle permet notamment à un individu de construire
un chemin particulier pour ses paquets afin d'éviter les obstacles ou
équipements de sécurité réseau, et contredire ainsi la politique de
sécurité.
La plupart des équipements réseau actuels ne véhiculent pas, par défaut, les
paquets IP munis de cette option. [Retour
en haut] [SSH]
Secure Shell.
Secure Shell est un protocole de communication sécurisée permettant l'accès
distant à des machines Unix (notamment pour les commandes telles que rlogin,
rsh et rcp). SSH permet de pallier les faiblesses de sécurité des accès
distants aux systèmes Unix (ex. : telnet, X11) en fournissant les services de
sécurité essentiels : authentification du serveur,
confidentialité des flux
(notamment des mots de passe).
SSH repose sur la technique de cryptographie asymétrique RSA. SSH utilise les
algorithmes symétrique IDEA (par défaut), Blowfish et
DES pour la
confidentialité des données.
Référence : http://www.ssh.org. [Retour
en haut] [SSL]
Secure Socket Layer.
SSL est un protocole de communication sécurisée fournissant
des services de sécurité basés sur les techniques de cryptographie
symétriques (DES, 3-DES, RCx) et asymétriques
(RSA) :
- Authentification (unidirectionnelle ou mutuelle).
- Confidentialité des données.
- Intégrité des données.
SSL a été développé par Netscape (1ère version testée en
interne, version 2.0 publiée en 1994, version actuelle 3.0 publié dans un
draft IETF en 1996). SSL est en cours de standardisation par l'IETF sous le nom
TLS (Transport Layer Security).
SSL est une couche supplémentaire au système OSI située entre la couche
transport (TCP) et la couche des services applicatifs (niveau 7).
SSL est composé de deux niveaux :
- 1er niveau : protocole au dessus de TCP/IP : Record Layer Protocol.
- 2nd niveau : 3 sous-protocoles : Handshake protocol, Change cipher
spe protocol, Alert protocol.
Références :
- Informations Netscape : http://home.netscape.com/eng/ssl3/index.html.
- Analysis of the SSL v.3 protocol - D. Wagner/B. Schneier, April 1997 : http://www.counterpane.com/ssl-revised.pdf. [Retour
en haut] [T] [Technique
cryptographique symétrique]
Technique cryptographique qui utilise la même clé secrète pour la
transformation cryptographique de l'émetteur ou du destinataire. Sans
connaissance de la clé secrète, il est impossible de calculer la
transformation cryptographique de l'émetteur ou du destinataire (ISO/IEC
11770-1). [Retour
en haut] [TFN]
Tribe Flood Network.
Voir déni de service distribué. [Retour
en haut] [Token]
Également dénommé jeton, un token est un mot de passe non re-jouable émis
par un dispositif électronique. Il s'agit en général d'une calculette capable
de dérouler un algorithme identique à celui déroulé par le serveur
d'authentification. La calculette génère ainsi des mots de passe en même
temps que le serveur. L'utilisateur se contente de recopier le mot de passe
présenter sur l'écran de la calculette à un instant donné. Ce type de
dispositif nécessite en général une synchronisation temporelle du serveur et
du token.
Les token SecurID de la société RSA
Security et ActivCard One et la société ActivCard
sont les plus connus et utilisés. [Retour
en haut] [Traduction
d'adresse]
La traduction d'adresse (NAT : Network Address Translation), communément et
abusivement dénommée translation d'adresse, est un mécanisme
initialement mis en oeuvre pour lutter contre la pénurie d'adresses IPv4.
Le principe consiste, pour un paquet IP donné, à modifier son adresse IP
source ou destination. En particulier, certains équipements réseaux ou de
sécurité (ex. : firewalls) réalisent de la traduction d'adresses pour masquer
le plan d'adressage d'une entreprise, classiquement respectant le RFC 1918.
La traduction d'adresse peut-être réalisée de deux manières :
- 1 pour 1 : une adresse est systémtiquement masquée par une autre et
identique adresse.
- N pour 1 : N adresses IP sont masquées par la même adresse IP. Les paquets
sont alors différencier par l'affectation de numéro de ports particuliers. [Retour
en haut] [TrinOO]
Voir déni de service distribué. [Retour
en haut] [Tunneling]
Le principe de tunneling consiste à utiliser un réseau public non sécurisé
(ex. : Internet) comme élément/extension d'un réseau privé sécurisé. On
utilise ainsi les capacités de télécommunication de
l'Internet en ajoutant une couche de sécurité afin d'établir un VPN. Sont
souvent utilisés les protocoles PPTP, L2TP ou
IPSEC pour établir cette couche
supplémentaire de sécurité. [Retour
en haut] [U] [V] [VPN]
Virtual Private Network (Réseau Privé Virtuel).
Un VPN est un réseau de données qui utilise les moyens de télécommunications
d'un réseau public en ajoutant des services de sécurité et des protocoles de tunneling.
Internet est en général utilisé pour établir un VPN pour des raisons de
coûts. [Retour en
haut] [VRRP]
Virutal Router Redundancy Protocol.
VRRP est un protocole utilisé pour assurer un service de haute-disponibilité
entre équipements réseaux (ex. : routeurs, firewalls).
VRRP repose sur la définition d'une adresse IP virtuelle partagée entre
plusieurs équipements, dont l'un est désigné comme maître (il est actif) et
les autres comme esclaves (ils sont inactifs mais en éveil). Lorsque
l'équipement maître ne répond plus, un des esclaves est promu maître et
assure le service.
VRRP peut également être utilisé par assurer du partage de charge entre
plusieurs équipements. [Retour
en haut] [W] [X] [Y] [Z] [Zoo]
On désigne habituellement par zoo un site Internet hébergeant des collections
de virus mises volontairement à disposition des Internautes. Dans certains
pays, ce type d'activité est interdit. [Retour
en haut] |