Veille Technologique SÃ©curitÃ© - cert devoteam

Veille Technologique Sécurité 

Rapport Mensuel N°155 

JUIN 2011 

Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et 

publiquement accessibles: listes de diffusion, newsgroups, sites Web, ... 

Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la 

précision ou de la qualité de l'information. Les URL associées à certains thèmes sont validées à la date de la rédaction du 

document. 

Dans ce numéro: 

Le TOP10 des supercalculateurs 

CPE, suite et fin 

Certification CSPN de GnuPG et WinPT 

CWRAF aka 'Common Weakness Risk Analysis Framework’ 

SP800-82 'Guide to SCADA and Industrial Control Systems Security’ 

Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs. 

CONNECTING BUSINESS & T ECHNOLOGY 

CERT-DEVOTEAM 

Pour tous renseignements: 

1, rue GALVANI Offre de veille http://www.cert-devoteam.com/ 

91300 Massy Palaiseau Informations vts-info@cert-devoteam.com 

©CERT-DEVOTEAM - Tous droits réservés

JUIN 2011 

Au sommaire de ce rapport… 

ACTUALITES SECURITE 

HACK - THE LULZ BOAT ................................................................................................................. 2 

ISC11 – 37 IEME TOP 500............................................................................................................... 2 

ANALYSES ET COMMENTAIRES 

ETUDES 

CRYPTOGRAPHIE – SECURE COMPUTATION FRAMEWORK............................................................................... 4 

METHODOLOGIES ET STANDARDS 

METHODES 

SEI – UNE MODELISATION DU VOL D’INFORMATIONS EN INTERNE ................................................................... 6 

MITRE – CWRAF ‘COMMON WEAKNESS RISK ANALYSIS FRAMEWORK’ ........................................................... 7 

RECOMMANDATIONS 

NIST - SP800-82 ‘GUIDE TO INDUSTRIAL CONTROL SYSTEMS (ICS) SECURITY’ ................................................ 9 

NIST - IR-7697 ‘CPE DICTIONARY SPECIFICATION’ ET IR-7698 ‘CPE APPLICABILITY LANGUAGE SPECIFICATION’ ...... 11 

ANSSI - CERTIFICATIONS CSPN DE GNUPG ET WINPT ........................................................................... 12 

STANDARDS 

ETSI - SECURISATION DE L’ARCHIVAGE DES DONNEES NUMERIQUES.............................................................. 13 

TABLEAUX DE SYNTHESE 

INTERNET 

LES DECISIONS DE L’OMPI ............................................................................................................ 15 

CONFERENCES 

EICAR 2011 ............................................................................................................................. 16 

OWASP – APPSEC 2011 ............................................................................................................... 16 

PASSWORD^11 ......................................................................................................................... 17 

PHNEUTRAL 2011 ...................................................................................................................... 17 

SSTIC 2011............................................................................................................................ 18 

WEIS 2011............................................................................................................................. 18 

NANOG 52 ............................................................................................................................... 19 

TERENA - TNC2011 ................................................................................................................... 19 

USENIX – WEBAPPS’11 ................................................................................................................ 22 

GUIDES 

NIST – ETAT DES GUIDES DE LA SERIE SPECIALE 800 .............................................................................. 22 

DISA – GUIDES ET CHECK LISTES DE SECURISATION............................................................................... 24 

MAGAZINES 

HNS - (IN)SECURE MAG N°30 ................................................................................................... 26 

STANDARDS 

IETF – LES RFC TRAITANT DIRECTEMENT DE LA SECURITE ......................................................................... 27 

IETF – LES RFC LIES A LA SECURITE ................................................................................................. 27 

IETF – LES NOUVEAUX DRAFTS TRAITANT DE LA SECURITE......................................................................... 27 

IETF – LES MISES A JOUR DE DRAFTS TRAITANT DE LA SECURITE ................................................................. 27 

Veille Technologique Sécurité N°155 

Page i 

© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique

JUIN 2011 

Le mot du rédacteur 

Le mois de juin aura, hélas, été à l’image du mois de mai, marqué par de 

nombreux événements de sécurité. Nous pourrions reprendre mot à mot notre 

éditorial du mois dernier en changeant simplement quelques noms de la liste 

des sociétés ou organisations s’étant attirées les foudres des activistes 

d’Anonymous et depuis quelques semaines, de Lulzsec: le Centre National de 

calcul Indien ainsi qu’un site de l’armée Indienne pour les premiers, le 

gouvernement américain avec la CIA, le Senat et Infraguard, ainsi que les 

sociétés Besthesda, Fox, Nintendo, PBS, Sony et sa filliale SonyPictures, pour 

les seconds. 

Un jeu dangereux quand les Etats-Unis sont en passe de considérer les 

attaques informatiques portées sur son territoire, et envers ses actifs, comme 

un acte de guerre. La réaction n’a d’ailleurs pas tardé avec l’engagement de 

plusieurs opérations aux Etats-Unis mais aussi en Europe et en Turquie ayant 

conduit à l’arrestation de membres présumés des deux groupes précités, et 

peut-être à la renonciation de Lulzsec. 

http://lulzsecurity.com/releases/50%20Days%20of%20Lulz.txt 

Nous terminerons en recommandant la lecture du compte-rendu d’audition de 

M. Patrick Pailloux, directeur général de l’ANSSI, par la Commission de la 

défense nationale et des forces armées de l’Assemblée nationale. 

http://www.assemblee-nationale.fr/13/cr-cdef/10-11/c1011041.asp#P6_249 

Bonne lecture, 

et bonnes vacances à tous 

BERTRAND VELLE 

Veille Technologique Sécurité N°155 Page 1 


JUIN 2011 

ACTUALITES SECURITE 

HACK - THE LULZ BOAT 

Début juin ‘The Lulz Boat’, un groupe de ‘justiciers’ autoproclamés, s’est attaqué à Sony en 

mettant à disposition le code source de l’environnement de développement ‘Sony Computer 

Entertainment Developer Network’, dit ‘SCEDev’. Un nouveau camouflet - le 16 ième depuis le 

piratage du réseau PSN en avril - pour Sony devenu la cible de toutes les attentions. 

Soit. L’affaire aurait pu s’arrêter là, et LulzSec continuer d’être considéré comme un groupe d’activistes 

idéalistes. Ce groupe a cependant pris l’option de diffuser publiquement début juin un extrait du contenu 

d’un fichier dérobé sur l’un des serveurs de l’entité Sony Pictures, fichier contenant près d’un million de 

comptes d’utilisateurs. 

Une action inconsidérée, stupide, irresponsable, qui expose publiquement les noms, adresses, mots de 

passe et comptes de messageries de plusieurs milliers de personnes n’ayant rien fait qui puisse justifier 

cette atteinte à leurs droits fondamentaux, sauf d’avoir un jour utilisé légalement les services de Sony. 

On imagine sans peine les dégâts provoqués par cette action dont LulzSec refuse d’endosser la 

responsabilité renvoyant celle-ci sur Sony, et sa sécurité défaillante, dans un Tweet annonçant "Hey 

innocent people whose data we leaked: blame @Sony". 

Le site ArsTechnica indique avoir vérifié la viabilité des données diffusées après les avoir croisées avec 

les sources d’information publiques disponibles aux Etats-Unis, les comptes étant majoritairement ceux de 

personnes supposées être nées avant les années 50. Autant dire des personnes âgées, cibles idéales pour 

les escrocs et aigrefins en tout genre qui hantent l’Internet. 

Mi-juin, LulzSec réitère avec la diffusion de plus de 62000 comptes, adresses de messagerie et mots de 

passe, données extraites semble-t-il de la base des utilisateurs du service ‘WriterSpace.com’. 

Nous devons avouer être révoltés par ces actions, et les revendications associées. Au fil des jours, et des 

nouvelles informations diffusées, ce groupe apparaît s’éloigner de plus en plus du militantisme idéaliste. 

On pourra en juger à la lecture du communiqué de presse du directeur de la société ‘Unveillance’ sur le 

chantage exercé à son encontre. 

Ce n’est fort heureusement qu’une question de temps avant que justice soit faite et que l’arroseur soit à 

son tour arrosé, écrivions-nous mi-juin lors de la première rédaction de cet article, ajoutant que nous ne 

pouvions qu’espérer que des mesures exceptionnelles soient prises pour identifier les auteurs, et que des 

sanctions exemplaires soient prononcées à l’encontre de ce groupe. Sans aucune illusion toutefois sur le 

fait qu’un tel fait se reproduira tôt ou tard… 

Deux semaines plus tard, l’actualité semble nous donner raison, LulzSez annonçant l’arrêt de ses actions 

et sa dissolution. De fait, la diffusion de l’identité de la plupart des membres de LulzSez par un autre 

groupe d’activistes pourrait bien avoir précipité cette prise de décision. L’arroseur arrosé… 

Il est fort probable que les semaines à venir voient l’arrestation des personnes ayant décidés d’embarquer 

sur le ‘Lulz Boat’ (l’emblème faisant référence à la série ‘la croisière s’amuse’ choisi par ce groupe) avant 

qu’il ne coule. On appréciera à sa juste valeur, la conclusion à double sens de l’article ‘Lulzsec & The 

Jester Expose each other, Long Live Anonymous !’ publié par ‘The Hacker News’. 

Be Anonymous ! Otherwise One day FAME will cause THE END 

POUR PLUS D’INFORMATION 

http://www.thehackernews.com/2011/06/lulzsec-leaks-source-code-of-sony.html 

http://www.thehackernews.com/2011/06/lulzsec-jester-expose-each-other-long.html 

http://arstechnica.com/tech-policy/news/2011/06/lulz-sony-hackers-deny-responsibility-for-misuse-of-leaked-data.ars 

http://www.unveillance.com/latest-news/unveillance-official-statement/ 

ISC11 – 37 IEME TOP 500 

La 37 ème liste des 500 calculateurs les plus puissants a été divulguée le 16 juin quelques 

jours avant que ne débute, à Hambourg, la conférence ISC11. Mise à jour deux fois l’an, en 

juin et novembre, cette classification permet d’étudier l’évolution des supercalculateurs, tant 

sur le plan de la puissance développée que sur celui des technologies utilisées. 

Deux phénomènes auront marqué ces dernières années: l’utilisation massive du système d’exploitation 

LINUX, ou de l’un de ses dérivés, et le recours désormais systématique aux processeurs GPU issus du 

développement des cartes graphiques. Deux stratégies qui auront amené modularité, puissance de calcul 



JUIN 2011 

mais aussi optimisation de la consommation électrique. 

Cette nouvelle liste voit le record de puissance pure de calcul de deux petaflops atteint il y a tout juste six 

mois par un équipement Chinois, le Thiane 1A, battu par un calculateur Japonais, le K Computer de 

Futjitsu. Ce calculateur délivre une puissance de huit petaflops au moyen de quelques 548352 cœurs de 

processeur Sparc64 VIIIfx. Une augmentation de la puissance d’un facteur légèrement supérieur à trois 

obtenue en multipliant le nombre de processeurs d’un facteur légèrement inférieur à trois, un bel exploit. 

Pour le reste, on ne constatera guère d’évolution dans cette nouvelle édition de la liste des Top 500, les 

premières machines du classement précédent perdant pour la plupart une place au classement, voire 

deux places à la suite de la mise à jour de la configuration de deux calculateurs, l’un appartenant au 

département américain de l’énergie (DoE), l’autre à la NASA. 

Les dix premières machines du classement affichent toutes une puissance de calcul supérieure au petaflop 

quand elles n’étaient que sept il y a six mois et quatre il y a encore un an. 

N° 06/10 Cons. Système Site Pays Core C(11/10) TFlops T(11/10) 

1 - Futjitsu K Computer AICS JP 548352 - 8162 - 

2 1 NUDT Thiane 1A NSCC Tianjin CN 186368 186368 2566 2566 

3 2 CRAY XT5 HE Oak Ridge USA 224162 224162 1759 1759 

4 3 Dawning NEBULAE NSCC Shenzen CN 120640 120640 1271 1271 

5 4 NEC/HP TSUBAME GSIC Tokyo JP 73278 73278 1192 1192 

6 10 CRAY XE6 DOE/NNSA/LANL USA 142272 107152 1110 816 

7 11 SGI Altix ICE NASA USA 111104 81920 1088 772 

8 5 CRAY XE6 DOE/SC/LBNL/NERSC USA 153408 153408 1054 1054 

9 6 BULL Tera 100 CEA FR 138368 138368 1050 1050 

10 7 IBM RoadRunner DOE/NNSA/LANL USA 122400 122400 1042 1042 


http://www.top500.org/lists/2011/06 - Classement Juin 2011 

http://www.top500.org/lists/2010/11 - Classement Novembre 2010 


http://www.top500.org/lists/2009/11 - Classement Novembre 2009 




JUIN 2011 

ANALYSES ET COMMENTAIRES 

ETUDES 

CRYPTOGRAPHIE – SECURE COMPUTATION FRAMEWORK 

Quatre chercheurs des universités de Virginie et du Maryland annoncent la publication d’un 

papier destiné à être présenté à l’occasion du symposium IEEE sur la sécurité en août prochain. 

Intitulé ‘Faster Secure Two-Party Computation Using Garbled Circuits’ ce papier décrit une solution 

élégante, viable et performante pour résoudre un problème appelé ‘calcul bipartite sécurisé’ ou ‘Secure 

Two-party Computation’ dans le jargon, cas particulier d’un problème plus compliqué dit ‘Multi-Party 

Secure Computation’, ou ‘MPC’. 

Les années 80, l’âge du renouveau de la cryptographie, auront vu l’émergence de nouveaux concepts, et 

avec eux, de nouveaux protocoles cryptographiques permettant de résoudre des questions a priori 

insolvables: comment prouver la possession d’une information sans jamais la révéler, et sans que la 

preuve présentée ne puisse être utilisée pour retrouver cette information, ou encore comment évaluer 

une fonction de calcul dont les données d’entrée sont détenues par plusieurs personnes sans que ces 

données n’aient à être révélées pour effectuer le calcul, ou ne puissent être déduites des résultats de 

celui-ci. 

Les schémas dits ‘de preuve à apport nul de connaissance’ offrent une réponse à la première question 

permettant ainsi de résoudre de nombreux problèmes pratiques, en particulier dans le domaine de 

l’accréditation anonyme, de la protection de la vie privée et de la monnaie digitale. Ils permettent à un 

fournisseur de preuve – un individu dont l’identité est enregistrée sur une carte par exemple - de 

convaincre un vérificateur – un lecteur de carte – de la validité d’un énoncé – l’identité – sans révéler 

d’autre information que la véracité de cet énoncé et sans que le vérificateur ne puisse utiliser à son tour 

cette preuve en tant que fournisseur auprès d’un autre vérificateur. Pour ce faire, ces protocoles devront 

respecter trois propriétés fondamentales : la consistance (completness) – le vérificateur sera toujours 

convaincu à la fin du protocole, celui-ci et le fournisseur étant supposés être honnête, la solidité 

(soundness) – un vérificateur honnête ne pourra être convaincu de la véracité d’un énoncé faux présenté 

par une fournisseur de preuve malveillant, et enfin le non-apport d’information (zero-knowledgeness) – le 

vérificateur n’apprend aucune autre information que la véracité de l’information. 

Les schémas dits ‘de calcul multipartites sécurisé’ permettent de résoudre la seconde question en 

apportant une réponse à différents besoins, de la mise en place d’un système de vote distribué ou 

d’enchères anonymes au partage d’une signature ou d’une clef de chiffrement entre plusieurs parties. La 

restriction de ce problème à deux parties autorise la construction de protocoles plus efficaces, et 

probablement plus tolérants vis-à-vis des contraintes sur la sécurité des échanges, et la qualité des 

intervenants. Plusieurs protocoles ont été proposés offrant une protection contre les attaques externes 

passives puis actives. Tous s’appuient sur le concept fondamental en cryptographie moderne de transfert 

inconscient ou ‘oblivious transfert’ annoté ‘OT’ – soit en simplifiant, le fait qu’un message transmis puisse 

être reçu avec plus ou moins de réussite par le destinataire sans que l’émetteur ne soit informé du succès 

de la remise; une forme probabiliste de fonction de transfert à sens unique – One Way Function ou OWF. 

Ces mêmes protocoles font appel soit aux propriétés spécifiques de fonctions prédéfinies, soit à des 

fonctions combinatoires génériques décrites par leur représentation logique. 

Nous n’entrerons pas plus dans le détail des techniques ici mises en œuvre – cryptographie et probabilité 

- nos lecteurs intéressés par le sujet se tourneront vers les nombreux articles publiés bien que d’un accès 

parfois difficile pour le non spécialiste au regard des concepts manipulés. 

Yan Huang, David Evans, Jonathan Katz, et Lior Malka, se sont intéressés à une approche précise, 

dite du circuit brouillé ou ‘garbled-circuit’, développée par Yao en 1982 puis améliorée au fil du temps. En 

simplifiant à l’extrême, les deux intervenants souhaitant participer à un calcul utilisant une donnée ne 

devant pas être révélée à l’autre s’entendent sur une fonction de calcul combinatoire. Celle-ci sera décrite 

par le biais d’une équation booléenne, une représentation qui combine les données d’entrée par le biais de 

fonctions de base - ET (AND), OU (OR), NON (NOT) – et permet de définir un circuit logique. Le protocole 

assigne à chaque intervenant un rôle précis. Le ‘générateur’ prépare une variation du circuit logique de 

référence en modifiant le comportement des portes par application d’un algorithme de chiffrement sur 

leurs tables de vérité. Le ‘vérificateur’ assure les calculs en utilisant cette variations de la fonction de 



JUIN 2011 

référence directement sur sa donnée et par le biais d’un transfert inconscient pour la donnée du 

générateur assurant ainsi que celle-ci ne lui sera pas révélée. 

Ce schéma pourra être renforcé par l’intégration d’une étape de vérification préalable. Plusieurs variations 

de la fonction de référence sont générées et toutes transmises au vérificateur. Celui-ci choisit l’une 

d’entres-elles au hasard. Le générateur révèle alors les secrets de construction des autres variations au 

vérificateur. Celui-ci peut ainsi s’assurer de l’honnêteté du générateur en régénérant toutes ces variations 

à partir de sa copie de la fonction de référence. Le générateur sera alors considéré probablement 

honnête, le vérificateur n’ayant pourtant aucune connaissance du secret de construction de la fonction 

qu’il utilisera. 

Dans la pratique la construction de fonctions brouillées, construction qui fait appel à des opérations de 

chiffrement, s’avère être une opération coûteuse en ressource mémoire et impactant fortement les 

performances du protocole. Une telle approche peut être mise en œuvre avec des performances encore 

acceptables pour des circuits de petit taille sans toutefois pouvoir être étendue à des circuits plus 

importants, et donc à des données d’entrée plus grandes. 

En 2004, quatre chercheurs ont mis au point un 

système dénommé Fairplay permettant d’implémenter 

un calcul bipartite sécurisé. 

Un langage spécifique, dit SFDL (Secure Function 

Definition Language), ressemblant au langage C 

permet de spécifier la fonction combinatoire qui sera 

utilisée par le protocole. Cette spécification est ensuite 

compilée pour obtenir une description booléenne du 

circuit implémentant cette fonction, description 

effectuée dans un second langage spécifique, dit 

SHDL (Secure Hardware Definition Language). Celle-ci 

sera à son tour compilée pour générer un objet Java 

commun aux deux parties qui implémente le circuit de 

référence, et autant d’objets qu’il y a de variations de 

ce circuit, objets qui seront utilisés par le générateur 

(‘Bob’ sur la figure présentée ci-contre). 

Une construction astucieuse dont les performances 

seront directement impactées par les matériels utilisés 

par chaque partie, les opérations de compilation et de 

génération des objets java étant effectuées par 

chaque partie, et pour chaque utilisation du protocole. 

L’implémentation effectuée en 2004 montre ainsi qu’il 

faut entre 1,25s et 4,01s pour finaliser un calcul 

bipartite sécurisé sur une fonction de référence simple 

– la comparaison sur 32 bits des deux données – les 

parties étant connectées sur un réseau local dans le 

premier cas, et sur un réseau WAN dans le second. 

Les quatre chercheurs des universités de Virginie et du Maryland annoncent avoir mis au point plusieurs 

optimisations permettant d’améliorer notablement l’efficacité et les performances du système Fairplay et, 

plus largement, des systèmes utilisant la technique du circuit brouillé. Des améliorations qui trouvent leur 

origine dans la génération des variations du circuit de référence, dans le stockage en mémoire de la 

fonction brouillée mais aussi dans la fourniture de librairies de fonctions logiques optimisées pouvant être 

utilisées dans la description de la fonction de référence. Nous ne sommes pas loin des travaux effectués il 

y a quelques années maintenant dans le domaine de l’optimisation de la synthèse des descriptions VHDL 

et de l’implémentation des circuits résultant sur les circuits logiques reprogrammables et FPGA. 

Un démonstrateur écrit en langage Java, et générant des implémentations elles-mêmes décrites dans ce 

langage, est disponible sous License ‘MIT Open Source’. Il nécessite la présence de l’environnement 

Apache Ant. 

Le paquetage contient la description de quatre fonctions de référence: un chiffrement AES 128 bits 

utilisant comme clef et comme entrée les données des participants (1.6s de temps de calcul), et trois 

mesures de la distance séparant les données fournies par les participants, distance de Hamming (19ms 

de temps de calcul et 56Ko de bande passante), distance de Levenshtein (16.38s de temps de calcul et 

49Mo de bande passante) et enfin distance de Smith-Waterman (415s de temps de calcul et 1.17Go de 

trafic généré sur le réseau). 


http://www.mightbeevil.com/usenix11.pdf 

http://www.mightbeevil.com/framework/instructions.html 



JUIN 2011 

METHODOLOGIES ET STANDARDS 

METHODES 

SEI – UNE MODELISATION DU VOL D’INFORMATIONS EN INTERNE 

En février dernier, le Software Engineering Institute (SEI) de l’université de Carnegie-Mellon 

publiait les résultats d’une étude portant sur le vol d’informations propriétaires - le terme 

Intellectual Property ou IP est utilisé - interne aux entreprises et organisations (cf. notre rapport 

de mars 2011). 

L’équipe du CERT, la structure de gestion des incidents de l’université de Carnegie Mellon intégrée au 

SEI, va plus loin dans l’analyse en proposant une modélisation des processus conduisant au passage à 

l’acte. Cette modélisation devrait permettre de comprendre la nature réelle de cette classe de menace et 

d’intervenir en amont en jouant sur les paramètres qui permettront de réduire effectivement le risque. 

Elle s’appuie sur les résultats de différentes études menées par le SEI, résultats qui ont permis de 

dégager deux causes de passage à l’acte, et donc deux modèles complémentaires. 

Le premier modèle, dit ‘Entitled Independent’, traduit la tendance de tout individu impliqué dans un 

projet à considérer avoir un droit sur les résultats. L’apparition d’un motif d’insatisfaction pourra conduire 

cet individu à s’approprier des résultats qu’il aura généralement contribués à produire pour prendre son 

indépendance et aller chercher satisfaction ailleurs, dans une autre organisation ou en créant sa propre 

entreprise. Ce modèle décrit les trois étapes qui seront successivement parcourues par l’individu sans qu’il 

n’y ait obligatoirement eu préméditation: l’adhésion initiale au projet, l’apparition d’une insatisfaction et 

enfin le passage à l’acte. 

Intégration Insatisfaction Vol 

Le second modèle, dit ‘Ambitious Leader’, décrit le comportement d’un individu rejoignant un projet, ou 

une organisation, dans le seul objectif de tirer un profit personnel des informations, ou des résultats, qu’il 

pourra collecter. Un vol prémédité se déroulant en trois étapes. 

Préparation Accès Vol 

Le sommaire de cette intéressante étude de 39 pages est le suivant: 



JUIN 2011 

1 Introduction 

2 Related Work 

3 Approach 

4 The Entitled Independent Model 

4.1 Entitlement 

4.2 Dissatisfaction Leading to Compromise 

4.3 Theft and Deception 

4.4 Summary 

5 The Ambitious Leader Model 

5.1 Insider Planning of Theft 

5.2 Increasing Access 

5.3 Organization Discovery of Theft 

5.4 Insider IP Theft Benefiting a Foreign Entity 

5.5 Summary 

6 Conclusion 

Appendix A: Nature of Insider IP Theft for Business Advantage 

Appendix B: Entitled Independent Model for Insider IP Theft 

Appendix C: Ambitious Leader Model for Insider IP Theft 

Bibliography 


http://www.cert.org/archive/pdf/11tn013.pdf 

http://www.cert.org/archive/pdf/11tn006.pdf 

MITRE – CWRAF ‘COMMON WEAKNESS RISK ANALYSIS FRAMEWORK’ 

En décembre dernier le MITRE annonçait la création du système de mesure ‘Common 

Weakness Scoring System’ (CWSS) destiné à qualifier l’impact d’une vulnérabilité logicielle. 

Un démarche qui est similaire à celle engagée dans le cadre de la mesure de l’impact d’une vulnérabilité 

touchant un système d’information avec le système ‘Common Vulnerability Scoring System’ (CVSS), de la 

mesure de l’impact d’une erreur de configuration avec le système ‘Common Configuration Scoring System’ 

(CCSS) ou encore de l’impact d’une erreur de conception ou de mise en œuvre avec le système ‘Common 

Misuse Scoring System’ (CMSS). 

Ces quatre approches prennent en compte les différentes facettes d’un problème de sécurité et partagent 

les mêmes principes de calcul ou ‘scoring’, la même déclinaison en contexte ou ‘vecteurs’ et la même 

notation des résultats. Le tableau synthèse suivant permet de comparer rapidement les contextes, et les 

facteurs de mesure associés, définis par chacun de ces systèmes. Nos lecteurs pourront trouver dans les 

spécifications les valorisations de chacun des facteurs et les codes associés, ainsi que les coefficients de 

pondération et les règles de production applicables. 

CWSS CVSS 

CCSS CMSS 

Vecteur Base Vecteur Base Vecteur Base Vecteur Base 

TI Technical Impact AV Access Vector AV Access Vector AV Access Vector 

AP Acquired Privilege Au Authentication Au Authentication Au Authentication 

AL Acquired Privilege Layer C Confidentiality Impact Ac Access Complexity Ac Access Complexity 

IC Internal Control Effectiv. I Integrity Impact C Confidentiality Impact 

FC Finding Confidence A Availability Impact I Integrity Impact 

A Availability Impact 

EM Exploitation Method 

Vecteur Surface d’attaque Vecteur Temporel Vecteur Temporel Vecteur Temporel 

RP Required Privilege E Exploitability GEL General Exploit Level GEL General Exploit Level 

RL Required Privilege Layer RL Remediation Level GRL General Remediation Level GRL General Remediation Level 

AV Access Vector 

RC Report Confidence 

AS Authentication Strength 

AI Authentication Instances 

IN Level of Interaction 

SC Deployment Scope 

Vecteur Environnement Vecteur Environnement Vecteur Environnement Vecteur Environnement 

BI Business Impact TD Target Distribution LVP Local Vulnerability Prev. LVP Local Vulnerability Prev. 

DI Likelihood of Discovery CDP Collateral Dam. Potent. LRL Local Remediation Level LRL Local Remediation Level 

EX Likelihood of Exploit CR Confidentiality requirem. PTV Perceived Target Value PTV Perceived Target Value 

EC External Control Effect. IR Integrity requirement CDP Collateral Dam. Potent. CDP Collateral Dam. Potent 

RE Remediation Effort AR Availability requirement CR Confidentiality requirem. CR Confidentiality requirem. 

P Prevalence IR Integrity requirement IR Integrity requirement 

AR Availability requirement AR Availability requirement 

EC Confidentiality Impact 

EI Integrity Impact 

EA Availability Impact 

Exemple de vecteur Exemple de vecteur Exemple de vecteur Exemple de vecteur 

TI:H,0.9/AP:A,1.0/AL:A,1.0/ 

IC:N,1.0/FC:T,1.0/ 

AV:L/AC:H/Au:M/C:N/I:P/A:C 

AV:A/AC:H/Au:M/C:N/I:P/A:P/PL 

:R/EM:A 

AV:N/AC:L/Au:S/C:N/I:P/A:P 



JUIN 2011 

RP:G,0.9/RL:A,1.0/AV:I,1.0/AS E:H/RL:W/RC:ND GEL:L /GRL:H GEL:H/GRL:ND 

:N,1.0/AI:N,1.0/IN:Ltd,0.9/SC: 

All,1.0/ 

BI:C/0.9,DI:H,1.0/EX:H,1.0/ CDP:N/TD:M/CR:H/IR:L/AR:H LVP:H/PTV:M/LRL:L/EC:H/EI:C/E LVP:H/PTV:ND/LRL:H/CDP:N/CR: 

EC:N,1.0/RE:L,1.0/P:NA,1.0 

A:ND/CDP:ND/CR:M/IR:H/AR:L L/IR:ND/AR:M 

Le système CWSS diffère cependant des trois autres systèmes en proposant deux règles de production 

alternatives adaptées à la mesure de l’impact d’un ensemble de vulnérabilités (Generalized Scoring) et à 

la prise à la combinaison de mesures portant sur des cibles indépendantes (Aggregated Scoring). Il 

introduit aussi un concept intéressant permettant de définir des profils types de risque ou ‘Vignettes’ 

adaptés à différents secteurs d’activités: commerce en ligne, finance, systèmes industriels, réseaux 

sociaux ou encore données personnelles pour ne citer que les profils définis par défauts. 

En avril 2011, le MITRE a décidé de réorganiser les référentiels liés à la gestion de vulnérabilités 

logicielles, à savoir le système de mesure ‘Common Vulnerability Scoring System’ (CVSS) mais aussi le 

système de référencement Common Weakness Enumeration (CWE) et de regrouper les définitions, 

méthodes et concepts communs dans un document cadre dénommé ‘Common Weakness Risk Analysis 

Framework’ (CWRAF). La première version unifiée de cet ensemble documentaire a été mise à disposition 

fin Juin, les documents de spécification CWSS et CWRAF se voyant alors attribués un même numéro de 

révision. 

Ce document cadre est disponible sur le site du MITRE au format HTML. Son sommaire est le suivant: 

Framework Overview 

Relationships between CWRAF, CWSS, and CWE 

Modeling the Environment: Business Domains, Technology Groups, Archetypes, and Vignettes 

Technology Groups and Business Domains 

Business Domains 

Technology Groups and Archetypes 

Vignettes 

Business Value Context (BVC) 

Technical Impact Scorecard 

Vignette Examples 

Customizing CWRAF 

CWSS Scoring in CWRAF 

Technical Impact Scorecard: Linking Business Value with Weaknesses 

Enumeration of Technical Impacts 

Example - Technical Impact Scorecard 

Calculating the CWSS Impact Weights using the Scorecard 

Technical Impacts for CWE Entries 

Example - Variation between Vignettes for Technical Impact Scorecards 

Calculating the CWE-specific Technical Impact Subscore 



JUIN 2011 

Scoring Weakness Findings using Vignettes 

Automatically Building Custom Top-N Lists 

Considerations for Future CWRAF Versions 

Creating Your own Vignettes 

Future Activities 

Community Participation in CWRAF 

Change Log 

Cette publication vient enrichir la liste du corpus de spécifications et de méthodes mis à disposition de la 

communauté par le MITRE, le NIST mais aussi le FIRST et l’ICASI. 

Systèmes de référencement 

CVE Common Vulnerabilities and Exposures V2.0 46866 ref. MITRE 

CWE Common Weakness Enumeration V2.0 36 ref. MITRE 

CPE Common Platform Enumeration V2.2 31365 ref. NIST IR7697/IR7696/IR7695 

CME Common Malware Enumeration V0.03 39 ref. MITRE 

CCE Common Configuration Enumeration V0.1 10316 ref. MITRE 

CAPEC Common Attack Pattern Enum. & Classification V1.6 460 ref. MITRE 

Systèmes de mesure 

CVSS Common Vulnerability Scoring System V2.0 FIRST 

CCSS Common Configuration Scoring System - NIST IR7502 

CMSS Common Misuse Scoring System - NIST IR7517 

CWSS Common Weakness Scoring System V0.8 MITRE 

Systèmes de description 

CEE Common Event Expression - MITRE 

ARF Asset Reporting Format V1.1 NIST IR7694/IR7693 

CVRF Common Vulnerability Reporting Framework V1.0 ICASI 

CWARF Common Weakness Risk Analysis Framework V0.8 MITRE 

Langages 

OVAL Open Vulnerability and Assessment Language V5.1 NIST IR7669 

OCIL Open Checklist Interactive Language V2.0 NIST IR7692 

OCRL Open Checklist Reporting Language - NIST 

MAEC Malware Attribute Enum. & Characterization V1.1 MITRE 

XCCDF eXtensible Configuration Checklist Description Format NIST IR7275 

Protocoles 

SCAP Security Content Automation Protocol V1.2 NIST IR7511 

TLD Traffic Light Protocol - CNPI 


http://cwe.mitre.org/cwraf/ 

http://cwe.mitre.org/cwss/ 

- CWRAF 

- CWSS 

RECOMMANDATIONS 

NIST - SP800-82 ‘GUIDE TO INDUSTRIAL CONTROL SYSTEMS (ICS) SECURITY’ 

Le NIST vient de publier la version finale du guide SP800-32 traitant de la sécurité des 

systèmes de contrôle industriels. Une première version de ce guide avait été publiée pour 

commentaires en septembre 2006 sous le titre ‘Guide to SCADA and Industrial Control Systems 

Security’ (Rapport N°99 – Octobre 2006). Deux ans plus tard, une version quasi-finalisée était diffusée 

avec pour principal changement la suppression du terme ‘SCADA’ du titre, celui-ci désignant in-fine un 

constituant parmi d’autres. Ces constituants sont d’ailleurs énumérés dans le sous-titre du document: 

Supervisory Control and Data Acquisition (SCADA) systems, Distributed Control Systems (DCS), and 

other control system configurations such as Programmable Logic Controllers (PLC). La version définitive 

n’aura guère vu de modifications hors la réorganisation du chapitre 6.1. Un très court paragraphe a été 

ajouté à ce chapitre, qui traite de la gestion du risque et de la gestion de la sécurité de l’information, pour 

souligner l’importance des contrôles liés à la gestion de projet. 

Rappelons que ce guide de 155 pages a pour objectif d’établir les exigences de sécurité et les principes 

d’organisation permettant de concevoir et d’opérer des systèmes de gestion industrielle sûrs et résilients. 

Le NIST s’appuie pour cela sur le concept de ‘défense en profondeur’ qui, bien que remis en cause par 

certains experts pour les architectures des systèmes d’information, n’en répond pas moins parfaitement 

au besoin des systèmes industriels, par essence fermés et spécialisés. Les principes développés dans ce 

guide ont ainsi pour objet de restreindre l’accès aux constituants et aux fonctionnalités du système de 

gestion et de contrôle, couche par couche, fonction par fonction, mais aussi de protéger chaque 

composant contre des atteintes ciblées, le tout en respectant les exigences propres à ces systèmes: 



JUIN 2011 

déterminisme, sureté de fonctionnement, modes dégradés… 

Il est à noter que le NIST met ici tout particulièrement l’accent sur l’importance de la définition d’un 

programme de sécurisation et sur la nécessité d’en planifier soigneusement chacune des étapes. Il est 

alors possible d’aborder les problématiques purement techniques et de définir le modèle d’architecture le 

plus adapté au contexte. 

Il s’agira aussi de mettre en place les procédures permettant de s’assurer du respect des principes, et de 

la qualité du système de sécurité. S’agissant des systèmes d’information fédéraux américains, ces 

procédures, et les contrôles associés, sont décrits dans la révision 3 du guide de référence SP800-53 

‘Recommended Security Controls for Federal Information Systems and Organizations’ (Rapport N°131 – 

Juin 2009), et en particulier dans le catalogue des contrôles de base détaillé dans son annexe F, et dans 

la liste des aménagements spécifiques aux systèmes de gestion industriels décrits en annexe I. 

On notera à ce sujet que le NIST annonce la mise à disposition en décembre prochain de la révision 4 du 

guide SP800-53. Cette révision définira de nouveaux contrôles, en particulier pour ce qui concerne les 

systèmes industriels. 

Les distinctions existantes entre les différentes formes de systèmes de gestion industrielle, notamment 

entre ‘SCADA’ – gestion fortement décentralisée d’un réseau d’énergie par exemple, et DCS – système 

industriel localisé, sont très clairement expliquées au chapitre 2 du guide SP800-82, distinctions certes 

subtiles pour le béotien mais qui auront pourtant un fort impact sur les mesures de sécurité qui devront 

être prises. Des mesures qu’il s’agira de sélectionner avec discernement, les contraintes de 

fonctionnement tout comme les menaces n’ayant rien à voir avec celles des systèmes d’information 

traditionnels. Autant de spécificités qui sont parfaitement décrites au chapitre suivant. Le chapitre 5 traite 

en détail des bonnes pratiques en matière de conception et d’architecture. Le dernier chapitre propose 

une relecture des contrôles de sécurité pour chacune des cinq catégories spécifiées par le guide SP800-53 

à la lumière des exigences propres aux systèmes de gestion industriels. 

L’annexe C s’avère être une mine d’or pour qui désire se tenir informé de l’évolution des activités de 

recherche et de standardisation menées dans le domaine. Sont ainsi listés les projets, les normes et 

documents publiés par plus de 15 associations et organisations dont l’IEEE, l’IEC, l’ISA, l’ISO, le NIST ou 

encore le NERC. 

La table des matières du guide SP800-82 - 155 pages - est la suivante 

1. Introduction 

2. Overview of Industrial Control Systems 

2.1 Overview of SCADA, DCS, and PLCs 

2.2 ICS Operation 

2.3 Key ICS Components 

2.4 SCADA Systems 

2.5 Distributed Control Systems 

2.6 Programmable Logic Controllers 

2.7 Industrial Sectors and Their Interdependencies 

3. ICS Characteristics, Threats and Vulnerabilities 

3.1 Comparing ICS and IT Systems 

3.2 Threats 

3.3 Potential ICS Vulnerabilities 

3.4 Risk Factors 

3.5 Possible Incident Scenarios 

3.6 Sources of Incidents 



JUIN 2011 

3.7 Documented Incidents 

4. ICS Security Program Development and Deployment 

4.1 Business Case for Security 

4.2 Developing a Comprehensive Security Program 

5. Network Architecture 

5.1 Firewalls 

5.2 Logically Separated Control Network 

5.3 Network Segregation 

5.4 Recommended Defense-in-Depth Architecture 

5.5 General Firewall Policies for ICS 

5.6 Recommended Firewall Rules for Specific Services 

5.7 Network Address Translation (NAT) 

5.8 Specific ICS Firewall Issues 

5.9 Single Points of Failure 

5.10 Redundancy and Fault Tolerance 

5.11 Preventing Man-in-the-Middle Attacks 

6. ICS Security Controls 

6.1 Management Controls 

6.2 Operational Controls 

6.3 Technical Controls 

Appendix A - Acronyms and Abbreviations 

Appendix B - Glossary of Terms 

Appendix C - Current Activities in Industrial Control System Security 

Appendix D - Emerging Security Capabilities 

Appendix E - Industrial Control Systems in the FISMA Paradigm 

Appendix F - References 


http://csrc.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf 

NIST - IR-7697 ‘CPE DICTIONARY SPECIFICATION’ ET IR-7698 ‘CPE APPLICABILITY LANGUAGE SPECIFICATION’ 

Le NIST vient de publier pour commentaire deux guides venant compléter la spécification 

de la nouvelle version, voulue modulaire, du système de référencement des constituants 

d’un système d’information, système dit ‘Common Platform Enumeration’ ou CPE. 

Deux premiers guides ont été diffusés le mois dernier. Le premier, référencé IR-7695, spécifie un modèle 

logique dénommé ‘Well Formed CPE Name’, ou WFN en abrégé, permettant de décrire des ensembles, 

ou classes, de constituants par leurs caractéristiques communes. Le second, référencé IR-7696, détaille 

l’algorithme qui devra être appliqué pour déterminer la relation existant entre deux descriptions WFN: 

identité parfaite ou partielle, appartenance à un sous-ensemble ou un sur-ensemble. 

Il restait à spécifier un système d’organisation permettant de gérer efficacement ces descriptions WFN 

qu’il s’agisse d’inscrire, de modifier, de détruire, de rechercher ou d’accéder à une description. Le 

document IR-7697 ‘CPE Dictionnary Specification’ décrit le modèle de données, et les opérations de 

gestion associées, permettant de regrouper les descriptions WFN en un ensemble standardisé, dit 

‘Dictionnaire CPE’. Celui-ci sera constitué en pratique d’un dictionnaire officiel, ou ‘Official CPE 

Dictionnary’, éventuellement complété d’une ou plusieurs extensions ou ‘Extended CPE Dictionnaries’. 

La table des matières du document de spécification IR7697 (39 pages) est la suivante: 


2. Definitions and Abbreviations 

3. Relationship to Existing Specifications and Standards 

3.1 Other CPE Version 2.3 Specifications 

3.2 CPE Version 2.2 

4. Conformance 

4.1 Dictionary Use Conformance 

4.2 Dictionary Creation and Maintenance Conformance 

5. CPE Dictionary Data Model 

5.1 The cpe-list Element 

5.2 The generator Element 

5.3 The cpe-item Element 

5.4 The cpe23-item Element 

5.5 The provenance-record Element 

5.6 The deprecation Element 

5.7 Extension Points 

6. Dictionary Creation and Maintenance 

6.1 Acceptance Criteria 

6.2 CPE Dictionary Deprecation Process 

6.3 CPE Dictionary Provenance Data 

6.4 CPE Dictionary Management Documents 



JUIN 2011 

7. Dictionary Use 

7.1 Identifier Lookup 

7.2 Dictionary Searching 

7.3 Use of Deprecated Identifier Names 

8. CPE Dictionary Operations and Pseudocode 

8.1 Operations on a CPE Dictionary 

8.2 Acceptance Criteria Pseudocode 

8.3 Dictionary Use Pseudocode 

Appendix A— References 

Appendix B— Change Log 

Nous nous inquiétions dans notre analyse des deux premiers guides de ne pas retrouver la possibilité qui 

était offerte dans les versions précédentes du système CPE de pouvoir assembler des descriptions WFN 

de constituants élémentaires de nature différente - matériel, système ou application - pour désigner un 

constituant complexe. 

De fait, et dans la logique d’une modularité 

accrue, ce mécanisme fait désormais l’objet d’un 

document de spécification dédié. Le document 

IR7698 formalise ainsi un langage d’assemblage 

qui permettra de définir, à l’aide de connecteurs 

logiques, une quelconque combinaison de 

descriptions WFN. L’exemple ci-contre, extrait de 

la spécification, permet de décrire un composant 

complexe constitué de l’application Internet 

Explorer, en version 7 ou 8, hébergée sur un 

système Windows XP. 

La table des matières du document de spécification IR7698 (25 pages) est la suivante: 


2. Definitions and Abbreviations 

3. Relationship to existing Specifications and Standards 

3.1 Other CPE Version 2.3 Specifications 

3.2 CPE Version 2.2 

4. Conformance 

4.1 Product Conformance 

4.2 Organization Conformance 

5. Data Model Overview 

5.1 The Platform-Specification Element 

5.2 The Platform Element 

5.3 The Logical-Test Element 

5.4 The Check-Fact-Ref Element 

6. Content Design Requirements and Recommendations 

6.1 CPE Applicability Language Document Contents 

6.2 The Platform Element 

6.3 The Logical-Test Element 

6.4 The Fact-Ref Element 

6.5 The Check-Fact-Ref Element 

7. Processing Requirements and Recommendations 

7.1 CPE Bound Name Conversions 

7.2 Graceful Error Handling 

7.3 Evaluating Elements 

8. CPE Applicability Language Pseudocode 

8.1 Core Function 

8.2 Support Functions 


http://csrc.nist.gov/publications/drafts/nistir-7697/2nd-draft-NISTIR-7697-CPE-Dictionary.pdf 

http://csrc.nist.gov/publications/drafts/ir7698/Draft-NISTIR-7698-CPE-Language.pdf 

ANSSI - CERTIFICATIONS CSPN DE GNUPG ET WINPT 

L’ANSSI vient d’annoncer la certification CSPN de deux produits phares dans le domaine des 

outils de signatures et chiffrement Open Source, à savoir le logiciel ‘GnuPG’, et son interface 

graphique Windows ‘WinPT’ T dont le développement a hélas été arrêté fin 2009 ! 

Cette certification n’en reste pas moins une excellente nouvelle qui ne devra cependant pas 

masquer le principal défaut de ce système de certification: l’absence d’un suivi systématique des 

évolutions des versions certifiées, en particulier s’agissant de produits Open Source indispensable. Il en 

va ainsi du remarquable logiciel de chiffrement TrueCrypt certifié en 2008 sur la base de la version 6.0a 



JUIN 2011 

désormais obsolète et actuellement remplacé par la version 7.0a. 

Rappelons que la procédure dite de ‘Certification de Sécurité de Premier Niveau’, ou CSPN, permet 

d’obtenir un label au terme d’une expertise moins formelle que celle des Critères Communs, ou CC, et 

dont la charge est limitée à 25 homme.jour 

La présentation de la CSPN précise ainsi que les travaux d’évaluation ont pour objectifs: 

- de vérifier que le produit est conforme à ses spécifications de sécurité, 

- de coter les mécanismes de façon théorique, de recenser les vulnérabilités connues de produits de sa catégorie, 

- de soumettre le produit à des tests visant à contourner ses fonctions de sécurité. 

Dix-sept produits sont donc désormais certifiés CSPN dont certains, nous l’avons dit, sont obsolètes. 

Produit Cat Date Commanditaire CESTI Vers. actuelle 

GnuPG v1.4.10b et WinPT v1.4.3 8 09/05/11 Ministère Budget AQL 1.4.11 / 1.4.3 

Coffre-fort de jeux en ligne V2.0 

9 31/03/11 Cecurity.com OPPIDA NA 

ATOS Worldline eGambling SB V1.0 9 05/05/11 Atos Wordline OPPIDA NA 

Keypass V2.10 portable 9 19/01/11 ANSSI THALES V2.14 

Coffre-fort électronique D3S V4.4 9 17/11/10 ARJEL OPPIDA V4.4 

ModSecurity V2.5.12 3 20/12/10 ANSSI SOGETI IS V2.6 

Middleware IAS-ECC V2.0 pour Linux 6 20/12/10 Dictao/Gemalto SOGETI IS NA 

DESIIR V1.0 

3 12/04/10 EDF R&D AQL NA 

Middleware IAS-ECC V2.0.12 pour Wind. 6 07/05/10 Dictao/Gemalto SOGETI IS V2.0.17 

Logiciel UCOPIA pour boîtiers UCOPIA 6 22/02/10 UCOPIA Comm. THALES NA 

Bro V1.4 1 21/12/09 LBNL 

AMOSSYS V1.4 

VSC-TOOAL v1.1 6 15/10/09 Mediscs AQL V1.1 

Netfilter Linux v2.6.27 - IPtables v1.4.2 3 31/08/09 SGDN OPPIDA V1.4.10 

TrueCrypt V6.0a 9 01/12/08 SGDN SOGETI V7.0a 

Blancco Data Cleaner+ V4.8 4 12/11/08 Blancco France AMOSSYS NA 

TRANGO Hypervisor V1.5.61 / OMAP 2430 11 11/09/08 Trango Virtual Proc. AQL Acquis VMwAre 

Catégories : 1- détection d’intrusions 2- anti-virus, protection malware 3- firewall 

4- effacement de données 5- administration, supervision 6- identification, authen, contrôle accès 

7- communication sécurisée 8- messagerie sécurisée 9- stockage sécurisé 

10- matériel et logiciel embarqué 11- Autre 

On notera que le site de l’ANSSI a subi une importante refonte, les liens de la version précédente de la 

forme ‘site_rubriqueXX’ ne sont plus valides. 


http://www.ssi.gouv.fr/fr/produits/produits-certifies-cspn/certificat_cspn_2011_05.html 

http://www.ssi.gouv.fr/fr/produits/produits-certifies-cspn/ 

- Catalogue CSPN 

STANDARDS 

ETSI - SECURISATION DE L’ARCHIVAGE DES DONNEES NUMERIQUES 

L’ETSI, l’Institut Européen des Normes de Télécommunications, annonce la publication d’un 

standard traitant de la sécurisation de l’archivage des données numériques. 

Edité par le comité technique pour la signature électronique et les infrastructures de l’ETSI, le TC ESI, le 

standard ‘Information Preservation Systems Security’ comporte deux parties: 

- une spécification technique de 68 pages, référencée TS 101 533-1, qui décrit les obligations 

applicables à l’implémentation et à la gestion d’un système d’archivage sécurisé de données, 

- un rapport technique de 40 pages, référencé TR 101 533-2, qui détaille les principes et lignes 

directrices applicables à l’étude et à l’audit d’un système d’archivage sécurisé de données. 

Son objectif est de définir un cadre de référence fiable et objectif pour l’implémentation, mais aussi pour 

le contrôle, de services d’archivage sécurisés répondant aux exigences de qualité et de sécurité 

exprimées par la Directive Européenne 2006/123/EC relative aux services dans le marché Européen 

intérieur. 

Les Etats membres doivent ainsi au titre de l’article 26 prendre notamment: 

Les mesures d'accompagnement pour encourager les prestataires à garantir, à titre volontaire, la 

qualité des services, en particulier à travers l'utilisation de l'une des méthodes suivantes 

a) la certification ou l'évaluation de leurs activités par des organismes indépendants ou accrédités; 

b) l'élaboration de leur propre charte de qualité ou la participation aux chartes ou labels de qualité 

élaborés par des organismes professionnels au niveau communautaire. 

Au titre de ces services figurent les services d’archivage des données numériques, ou ‘Information 

Preservation Systems’ pour reprendre l’intitulé utilisé. L’ETSI cite le cas de l’utilisation de tels services 

dans le cadre de la conservation des documents fiscaux par le contribuable tenu responsable de leur 



JUIN 2011 

bonne conservation et de leur intégrité, laquelle pourra être garantie par une signature électronique des 

pièces. 

La spécification technique TS 101 533-1 reprend dans son annexe A les obligations exprimées par la 

norme ISO/IEC 27002 ‘Code de bonnes pratiques pour la gestion de la sécurité de l'information’ pour 

ce qui concerne la gestion des services et dans les chapitre 5 et 6 certaines des exigences formulées par 

le standard ETSI TS 102 573 ‘Policy requirements for trust service providers signing and/or storing data 

for digital accounting’ pour tout ce qui touche à la signature électronique. L’ETSI précise à ce sujet que la 

liste ainsi ‘compilée’ n’est ni officielle, ni exhaustive. 

Ce standard n’en reste pas moins intéressant car fournissant un intéressant état de l’art – la spécification 

technique - doublé d’un guide de bonnes pratiques – le rapport technique. Ce dernier reprend in extenso 

la structure du document principal pour annoter chacune des obligations en précisant l’approche qu’il 

conviendra de suivre pour vérifier sa bonne application. L’annexe A des deux documents référence les 

contrôles et objectifs ISO 27001, en reprenant la numérotation originale de la norme. 

Cette approche pour rigoureuse qu’elle soit ne facilite hélas pas la lecture du standard, le lecteur étant 

amené à sans cesse passer d’un document à l’autre pour bien appréhender la nature des contrôles 

applicables au regard de chaque exigence. Un comble à l’ère de l’édition électronique laquelle devrait 

normalement faciliter cette tâche ! 

Le sommaire commun à ces deux documents est le suivant. 

1 Scope 

2 References 

3 Definitions and abbreviations 

4 Overview 

4.1 Preservation Service types 

4.2 User Community and Applicability 

4.3 Conformance requirements 

5 Provisions based on TS 102 573 

5.1 IPSP Obligations specified in TS 102 573, clause 6 

5.1.1 Arrangements to cover liabilities and financial stability 

5.1.2 Conformance by sub-contractors 

5.1.3 IPSP service provisions in abidance by the applicable legislation 

5.1.4 Compliance with the present document provisions 

5.1.5 Contractual aspects 

5.1.6 Resolution of complaints and disputes 

5.1.7 Organisation independence 

5.1.8 IPSP Subscriber Obligations 

5.1.9 Information for trading partners 

5.1.10 Information for auditor/regulatory/tax authorities 

6 Objectives and controls in TS 102 573, annex A 

6.1 SS.1. Signature 

6.1.1 SS.1.1. Class of Electronic Signature 

6.1.2 SS.1.2. Certification 

6.1.3 SS.1.3. Signature Creation Data 

6.1.4 SS.1.4. Certificate subject's Registration 

6.1.5 SS.1.5. Certificate Revocation 

6.2 SS.2. Maintenance of Signature over storage period 

6.3 SS.3. Storage 

6.3.1 SS.3.1. Authorized Access 

6.3.2 SS.3.2. Authenticity and Integrity 

6.3.3 SS.3.3. Document Readability 

6.3.4 SS.3.4. Storage media type 

6.3.5 SS.3.5. Documents Format 

6.3.6 SS.3.6. Requirements on Separation and Confidentiality 

6.4 SS.4. Reporting to and Exchanges with Authorities 

6.5 SS.5. Conversion of Analog Originals to Digital Formats 

Annex A: 

ISO/IEC 27001 related Long Term Preservation-specific ISMS control objectives, controls and 

implementation guidance 

Ces deux documents sont accessibles sur le site de l’ETSI moyennant une identification préalable par 

simple enregistrement de l’adresse de messagerie de l’accédant. Celui-ci ne pourra cependant 

télécharger plus de trois documents gratuitement. 


http://www.etsi.org/WebSite/NewsandEvents/2011_05_secure_electronic_data_archives.aspx 

http://pda.etsi.org/exchangefolder/ts_10153301v010101p.pdf - TS 101 533-1 

http://pda.etsi.org/exchangefolder/tr_10153302v010101p.pdf - TR 101 533-2 

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:376:0036:01:FR:HTML - EC/2006/123/CE 



JUIN 2011 

TABLEAUX DE SYNTHESE 

INTERNET 

LES DECISIONS DE L’OMPI 

L’Organisation Mondiale de la Propriété Intellectuelle, OMPI ou WIPO, est chargée de 

l’arbitrage et de la résolution des litiges relatifs aux noms de domaine. Parmi tous les 

litiges jugés, nous commentons ceux liés à l’usage de marques connues en France. 

Les noms de domaine enregistrés en Iran ne semblent guère faire l’objet de contentieux, du moins si l’on 

se réfère aux nombres de litiges traités par l’OMPI: sept litiges en 2010, et à ce jour, un seul litige pour 

2011. Celui-ci porte sur le nom de domaine ‘michelin.ir’ qu’un inconscient a souhaité se réserver. Peine 

perdue, l’expert en charge du litige DIR2011-0001 ordonne le transfert à la société Michelin. 

Le litige D2011-0592 porte sur l’enregistrement de différents noms de domaine reprenant tels quelles, ou 

altérées, les marques ‘Parions WEB’ et ‘Parions Sport’ déposées par la Française des Jeux. Les domaines 

sont, sans surprise, transférés au plaignant. 

Le détenteur du nom de domaine ‘sanofi-aventisshares.info’ objet du litige D2011-0567 ne parle 

couramment que l’espagnol, ou le castillan. Il demande à ce que la procédure soit traitée dans l’une de 

ces deux langues. L’expert objecte que la langue utilisée pour traiter un litige porté devant l’OMPI est la 

langue du contrat finalisant l’enregistrement du nom de domaine, l’anglais pour ce qui concerne ce litige. 

La réponse du détenteur rédigée en espagnol est considérée non recevable. Il eut été ici préférable pour 

le défendeur de choisir un bureau d’enregistrement proposant un contrat dans sa langue maternelle… 

Les noms de domaine ‘affaire-guerlain.fr’ - litige ‘DFR2011-0014’ - ‘dassault-serge.fr’ et ‘dassaultserge.fr’ 

- litige ‘DFR2011-0013’ – ont été déposés par un particulier qui dit avoir agit ainsi pour permettre aux 

Internautes de s’exprimer sur diverses affaires publiques liées aux propos tenus par Messieurs Guerlain et 

Serge Dassault. L’expert considère que le défenseur ne justifie pas d’un droit ou d’un intérêt légitime sur 

les noms de domaine litigieux et ne peut prétendre agir de bonne foi. Il note par ailleurs qu’aucun 

contenu éditorial n’a été développé sur ces sites qui ne donnent aucun détail ou information sur les dites 

affaires et ne reproduisent pas plus les prétendus avis des internautes. Les noms de domaine sont 

transférés. 

Le litige ‘DCO2011-0026’ concerne le nom de domaine ‘champagne.co’. Celui-ci a été acheté avec 

d’autres noms de domaine liés à une boisson, ‘brandy.co’ ou ‘gin.co’ par exemple, par un particulier lors 

de l’ouverture du TLD ‘.com’. Celui-ci confirme son intention de les revendre en dégageant une marge. 

L’acquéreur dit aussi considérer le terme ‘champagne’ comme une simple référence à un vin mousseux. 

L’expert tranche en sa faveur en rappelant que l’OMPI n’a pas jugé devoir étendre la protection à des 

identifiants ou appellations géographiques. Le terme ‘Champagne’ est une localisation géographique ainsi 

qu’une appellation d’origine mais pas une marque. 

Le détenteur du nom de domaine ‘hépar.com’ ([xn--hpar-bpa.com]) tente de revendre son domaine à la 

société Nestlé détentrice de la marque ‘Hépar’ pour la somme de 6000€ puis de 5000€ et enfin de 

2500€. Il tente de justifier la future utilisation de ce domaine pour une étude de la roche ‘hépar’ 

« presentation of the rock ‘hépar’ and scientific data and history » et pour la vente du médicament 

homéopathique «hepar sulfur». Le domaine est bien évidemment transféré et son détenteur ne touchera 

pas les 300€ proposés au titre du défraiement des coûts engagés. A trop tirer, on rompt la corde... 

* D2011-0514 hermes-birkins.net Hermès International 

31/05 

* D2011-0527 sncftgv.com SNCF 27/05 

* D2011-0555 caisse6epargne.com BCPE 25/05 

D2011-0567 sanofi-aventisshares.info Sanofi-Aventis 30/05 

D2011-0574 ⌧ sanofigenzyme.com Sanofi-Aventis 08/06 

* D2011-0590 seniorsncf.com SNCF 22/05 

D2011-0592 parionsport.org 

parionssports.info 

La Francaise des Jeux 24/05 

parionssports.org 

parionsweb.biz 

parionsweb.org 

parionswebs.com 

parionswebsite.com 



JUIN 2011 

webparions.com 

webparions.info 

webparions.net 

webparions.org 

* D2011-0644 feiyue.eu.com Feiyue of Paris 26/05 

* D2011-0695 chaussuresfeiyue.net 

Feiyue of Paris 07/06 

feiyueshoes.net 

* D2011-0714 hépar.com [xn--hpar-bpa.com] Nestlé Waters France S.A 13/06 

* DIR2011-0001 michelin.ir Michelin 25/05 

* DFR2011-0012 guadeloupe-premiere.fr 

guadeloupepremiere.fr 

martiniquepremiere.fr 

DFR2011-0013 dassault-serge.fr 

dassaultserge.fr 

France Télévisions 

TheFlyingMedia 

06/06 

Groupe Industriel Marcel Dassault 06/06 

DFR2011-0014 affaire-guerlain.fr Guerlain SA 09/06 

* DFR2011-0017 laboratoireservier.fr Les Laboratoires Servier 15/06 

DCO2011-0026 champagne.co Comité Interprof. du vin de Champagne 21/06 

DCO2011-0027 schlumberger.co Schlumberger Ltd 02/06 

: Transfert du domaine, : maintien du domaine, ⌧: Annulation du domaine *: pas de réponse du détenteur 


http://www.wipo.int/rss/index.xml?col=dnddocs 

http://www.wipo.int/freepublications/fr/arbitration/779/wipo_pub_779.pdf 

- Dernières décisions 

- Procédure de règlement des litiges 

CONFERENCES 

EICAR 2011 

La 20ième édition de la conférence EICAR consacrée aux malwares et aux techniques de 

défense s’est tenue du 9 au 10 mai à Krems, Autriche. Les supports des présentations sont 

tous accessibles en ligne. 

Keynote Talk Averify: An Open-Source Anti-Virus Test Suite 

Sogeti 

A Single Metric For Evaluating A Security Product 

Mcafee Labs 

A View Into New Testing Techniques 

West Coast Labs 

Backdooor.Tdss (Aka Tdl3) 

Dr. Web 

Benchmarking Program Behaviour For Detecting Malware Infection 

Tata Institute 

CJ-Unpack: Efficient Runtime Unpacking System 

BitDefender 

Entropy Based Detection Of Polymorphic Malware 

AVG Technologies 

In Combat Against Rootkits 

ESET 

Is There A Future For Crowdsourcing Security? 

HCL 

Parasitics. The Next Generation 

McAfee Labs 

Perception, Security, And Worms In The Apple 

ESET 

Real Performance? 

ESET 

Security Risk Analysis Using Markov Chain Model 

College Of Dunaújváros 

Typhoid AdWare 

University Of Calgary 


http://www.eicar.org/38-0-Conference-Slides.html 

OWASP – APPSEC 2011 

L’édition Européenne de la conférence AppSec organisée par l’OWASP s’est déroulée le 

9 et 10 juin à Dublin. La plupart des supports de présentation sont disponibles. 

Defend 

Building Large Scale Detectors for Web-based Malware 

EURECOM 

How to become Twitter's admin: An introduction to Modern Web Service Attacks 

RUB 

New standards and upcoming technologies in browser security 

IETF 

OWASP AppSensor Project 

Watson Hall Ltd 

OWASP Secure Coding Practices Quick Reference Guide 

The Boeing Company 

Practical Browser Sandboxing on Windows with Chromium 

Verizon Business 

Putting the Smart into Smartphones: Security Testing Mobile Applications 

Denim Group 

Software Security: Is OK Good Enough? 

Denim Group Ltd. 

Threat modeling of banking malware-based attacks using the P.A.S.T.A. framework VerSprite 



JUIN 2011 

Prevent 

A buffer overflow Story: From Responsible Disclosure to Closure 

A Critical Look at the Classification Schemes for Privacy Risks 

An Overview of Threat Modeling 

Building a Robust Security Plan 

Infosec Stats: Reading between the lines 

Integrating security testing into a SDLC: what we learned and have the scars to prove it 

PCI DSS v2.0: a new challenge for web application security testing? 

Simple Approach to Sepcifying Security Requirements for Online Developments 

The missing link: Turning Securable apps into secure installations using SCAP 

Wordpress Security 

Attack 

A Case Study on Enterprise E-mail (in) Security Solutions 

An Introduction to the OWASP Zed Attack Proxy 

APT in a Nutshell 

CTF: Bringing back more than sexy! 

Intranet Footprinting: Discovering Resources from outside 

Practical Crypto Attacks Against Web Applications 

Python Basics for Web App Pentesters 

Testing Security Testing: Evaluating Quality of Security Testing 

The Buzz about Fuzz: An enhanced approach to finding vulnerabilities 

The Dark Side: Measuring and Analyzing Malicious Activity On Twitter 


https://www.owasp.org/index.php/AppSecEU2011 

Fortify (HP) 

Ohm University 

Cigital Inc. 

Foundstone 

Veracode 

IBM 

Espion, Ltd. 

RITS 

MITRE Corp. 

Mandalorian Security 

Genworth Financial 

OWASP 

7 Elements Ltd 

KTF 

IBM 

Gotham Dig. Science 

InGuardians Inc 

Seeker Security 

Security Innovation 

Barracuda Networks 

PASSWORD^11 

Les 7 et 8 juin s’est tenue à Bergen, Norvège, l’édition 2011 de la conférence ‘Password’. Il 

s’agit d’une conférence gratuite organisée par quelques passionnés et qui traite exclusivement 

de la sécurité des mots de passe et des codes confidentiels. 

Les résumés des présentations ont été regroupés dans un fichier PDF accessible en ligne. Certaines vidéos 

peuvent être chargées au format MP4 via … le réseau BitTorrent. 

A Method for Ranking Authentication Products 

Kirsi Helkala 

Boring password statistics. 

Per Thorsheim 

Endpoint Security & Mobility 

Carsten Maartman-Moe 

Evolution of Password Verification Methods in Software 

Elcomsoft 

Fastwords – Rethinking Passwords to Adapt to Constrained Keyboards 

PayPal, Mahidol Univ. 

Pico: no more passwords! 

Frank Stajano 

Rainbow Tables: Hybrids and Subkeyspaces 

James Nobis 

Yubikey 

Simon Josefsson 


http://home.online.no/~putilutt/passwords11/ 

http://home.online.no/~putilutt/passwords11/Passwords11_abstracts.pdf 

PHNEUTRAL 2011 

La conférence ‘PhNeutral 0x7db’ (7DB = 2011 en hexadécimal) s’est tenue les 27, 28 et 

29 mai à Berlin. Les résumés des présentations effectuées à l’occasion de cette conférence 

très technique sont accessibles en ligne. 

98% Zero-Day Virus Detection (by natural language training) shirtie 

Advances in Win32 ASLR evasion 

JF 

Airtravel hacking 

Hendrik Scholz 

Building your own TETRA radio sniffer 

Harald Welte 

Chip & PIN is definitely broken 

Andrea Barisani 

Exploit Next Generation ++ 

Nelson Brito 

Exploiting the Hard-Working DWARF: Trojans with no Native Executable Code 

J.Oakley, S.Bratus 

FreeBSD Kernel Exploitation 

argp 

How I walked in and destroyed your company 

Jayson E.Street 

Modern Heap Exploitation using the Low Fragmentation Heap 

Chris Valasek 

Offensive XSLT 

nicob 

Printer hacking 

Andrei C 

SniffJoke 

vecna 

WLAN router horror stories 

ViBi and 5M7X 




T 

JUIN 2011 

http://www.ph-neutral.org/ 

SSTIC 2011 

L’édition 2011 de la conférence technique SSTIC s’est tenue les 8,9 et 10 juin à Rennes. 

Les supports des présentations sont disponibles au chargement. 

Architecture DNS sécurisée 

Valadon, Perez 

Attacking and Fixing PKCS#11 Security Tokens with Tookan 

Graham Steel 

Attaque d'implémentations cryptographiques par canaux cachés 

Philippe Nguyen 

Attaques DMA peer-to-peer et contremesures 

Duflot & Als 

BitLocker 

Aurélien Bordes 

Faille de sécurité ou défaut de sécurité 

Eric Barbry 

Memory Eye 

Yoann Guillot 

Peut-on éteindre l'Internet ? 

Stéphane Bortzmeyer 

Rainbow Tables probabilistes 

Alain SCHNEIDER 

RRABBIDS, un système de détection d'intrusion pour les applications Ruby on Rails Totel, Le Henaff 

Sécurité du système Android 

Nicolas RUFF 

Silverlight ou comment surfer à travers .NET 

Thomas Caplin 

Sticky fingers & KBC Custom Shop 

Alexandre Gazet 

Système de stockage-en-ligne de photos avec confidentialité des données personnelles Luis Montalvo 

Thoughts on Client Systems Security 

Joanna Rutkowska 

Typologie des attaques contre nos libertés online 

Jérémie Zimmermann 

Un framework de fuzzing pour cartes à puce: application aux protocoles EMV 

Julien Lancia 

Usages offensifs de XSLT 

Nicolas Gregoire 

Virtualisation d'un poste physique depuis le boot 

Stephane Duverger 

XSSF : démontrer le danger des XSS 

Ludovic Courgnaud 


http://www.sstic.org/2011/actes/ 

WEIS 2011 

WEIS2011, le 10 ième atelier de travail sur l’économie de la sécurité de l’information (Workshop 

on the Economics of Information Security) s’est tenu les 14 et 15 juin à l’université George 

Mason. Cette conférence présente essentiellement le résultat de travaux universitaires. Les 

supports des communications sont tous accessibles en ligne. 

Attacks 

Sex, Lies and Cyber-crime Survey 

D.Florencio, C.Herley 

The Impact of Immediate Disclosure on Attack Diffusion and Volume 

S.Ransbotham, S.Mitra 

The Underground Economy of Fake Antivirus Software 

B.Stone-Gross & als 

Where Do All the Attacks Go? 

D.Florencio, C.Herley 

Identity 

Economic Tussles in Federated Identity Management 

S.Landau, T.Moore 

Negative Information Looms Longer than Positive Information 

L.Brandimarte & Als 

Social Networks, Personalized Advertising, and Privacy Controls 

Catherine Tucker 

The Inconvenient Truth about Web Certificates 

N.Vratonjic & als 

Resilience 

Modeling Internet-Scale Policies for Cleaning up Malware 

S.Hofmeyr & als 

Resilience of the Internet Interconnection Ecosystem 

Hall, Anderson, Clayton 

Theory 

An Organizational Learning Perspective on Proactive vs. Reactive investment 

J. Kwon, E.Johnson 

Assessing Home Internet Users' Demand for Security: Will They Pay ISPs? 

D.Wood, B.Rowe 

Fixed Costs, Investment Rigidities, and Risk Aversion in Information Security 

C.Ioannidis & als 

Who Should be Responsible for Software Security? 

T. August, T.Tunca 

Paying for security 

Economic Methods and Decision Making by Security Professionals 

Simon Shiu & als 

Information Targeting and Coordination: An Experimental Study 

M.Hashim & als 

Security Standardization in the Presence of Unverifiable Control 

Chul H. Lee & als 

Privacy 

Health Disclosure Laws and Health Information Exchanges 

Idris Adjerid & als 

Real Name Verification Law on the Internet: a Poison or Cure for Privacy? 

Daegon Cho 

The Privacy Landscape: Product Differentiation on Data Collection 

Sören Preibusch 


http://weis2011.econinfosec.org/program.html 



JUIN 2011 

NANOG 52 

La 52 ième édition des rencontres du NANOG, le North American Network Operator’s 

Group, a eu lieu du 12 au 15 juin à Denver. Tous les textes des communications sont 

accessibles. Cinq d’entres-elles traitent d’un sujet lié à la sécurité des réseaux. 

Plusieurs présentations proposent un retour d’expérience de la journée mondiale de l’IP V6 qui s’est tenue 

le 8 juin. On pourra méditer sur l’architecture de démonstration mise en place à l’occasion de ces 

rencontres, architecture présentée dans le discours de bienvenue de J.Tindall, Alcatel Lucent. 

Welcome to NANOG52 

Alcatel Lucent 

A DNS(SEC) troubleshooting tutorial 

ESNET 

CloudNet: Enterprised Ready Virtual Private Clouds 

AT&T 

Passive DNS: A Tool that is Making a Different to Track Down Badness 

ISC 

Remediating Conficker Via Automated Customer Notifications 

Century Link 

The RPKI Workshop Routing Lab 1 

Psg, Sigpipe, Isc, Juniper 

The RPKI Workshop Routing Lab 2 


The RPKI & Origin Validation 


The RPKI Status of Various Development Efforts 


IPv6 day observations 

NTT America 

IPv6 Day Recap 

Akamai 

World IPv6 Day 

CISCO 

World IPv6 Day 

Internet Society 

World IPv6 Day Debrief 

Yahoo! 

World IPv6 Day Update 

Comcast 

0 to IPv6 in 3 months - A customer's view Georgian College 

100 GbE and Beyond Brocade 

100GE Peering 

AMSix 

A Service Provider Case Study 

Qwest / Century Link 

AMT Multicast 

AT&T Labs 

AMT Multicast 

Octoshape 

APAC Submarine Cables and their impact to IP Backbone Design 

Pacnet 

ARP Traffic Study 

Merit Network 

Bufferbloat: "Dark" Buffers in the Internet 

Alcatel-Lucent Bell Labs 

Cell us. Wifi: On the Performance of Metro Area Mobile Connections 

5Nines Data 

Datacenter Scalability Recent Trends Yahoo ! 

Dawn of the Terabit Age: Scaling Optical Capacity to Meet Internet Demand 

Infinera 

Idealized BGPsec: Formally Verifiable BGP 

PSG 

IPv4 Address Transfers in the ARIN Region 

ARIN 

Let the Market Drive Deployment: A Strategy for Transitioning to BGP Security Boston University 

Measuring Dual Stack Performance 

APNIC 

Meeting Future Demand for IP Video 

Time Warner 

Mobile Wireless Evolution 

Sprint 

Network Capacity Planning 

Verizon 

OCN Experience to Handle the Internet Growth and the Future 

NTT Communications 

Promoting and Protecting the Free Flow of Information 

US FCC 

Research Networks: The “Other” Internet 

ESNet 

System Changes at ARIN 

ARIN 

The Carrier Ethernet Exchange 

Equinix 

Towards Network Reputation -- Analyzing the Makeup of RBLs 

Merit Network 

Virtual Subnet: A Scalable Data Center Interconnection Solution 

Huawei Technologies 

What I saw at the Revolution (or) An Abridged History of the Internet 

Google 


http://www.nanog.org/meetings/nanog52/agenda.php 

TERENA - TNC2011 

Organisée par l’association Européenne ‘TERENA’ (Trans-European Research and Education 

Networking Association), la conférence TNC2011 (Terena Networking Conference) s’est déroulée 

du 15 au 19 mai juin à Prague, République Tchèque. 

Plus de 90 communications traitant de divers sujets techniques et sociaux organisés autour de 28 thèmes 

auront été présentées. Bien que souvent éloignées du sujet de la sécurité des systèmes d’information, ces 

présentations offrent un intéressant panorama des centres d’intérêts et des projets traités dans les pays 

membres de la communauté Européenne. Les supports des présentations sont disponibles en ligne. 

User interaction & information security 



JUIN 2011 

Managing information security while enabling communities 

The Provisioning and Deprovisioningn Problem from a Federated Identity Management Perspective 

The user perspective on consent for identity federations 

Federations, architectures & measurements 

A World of Research Resources Just a Click Away -- The Canadian Perspective 

Harvesting the benefits of different identity federation architectures 

Monitoring and Accounting for AAI using RAPTOR 

Total information awareness: hub-and-spoke federation monitoring 

Federations & AAI 

Social2SAML 

The JISC’s Access & Identity Management (AIM) Programme – Supporting Innovation 

tiqr: secure and user-friendly authentication using mobile phones 

Interfederation, practicalities and principles 

Identity Provider Discovery Usability 

Scalability of trust and metadata exchange across federations 

Trimming your AAI federation fit for eduGAIN… technically 

Privacy & Governance 

How to satisfy the data protection regulations in federated identity management? 

Internet Governance: A View From the RIPE NCC 

Privacy, anonymity and other confusing words 

NRENs : User communities 

Over-stepping boundaries 

The impact of communities: Learning from and with NRN Special Interest Groups 

The JISC’s Virtual Research Environment (VRE) Programme – Supporting Collaborative Research 

NRENs: Roles 

Build a FLOSS community from scratch? Ways of building open source projects and pitfalls to avoid. 

Campus best practices 

Exchanging services between NRENs: Challenges, Initiatives and recent results 

Dynamic bandwidth on demand -- end-to-end 

Fighting a Culture of 'Bad is Good Enough' 

MANTYCHORE: An Open Source system for deploying Networks as a Service. 

Motivation, Design, Deployment and Evolution of a Guaranteed Bandwidth Network Service 

Dynamic Network Services 

Challenges in Topology Exchange for Emerging Network Services 

GENUS: Virtualisation Service for GÉANT and European NRENs 

Network Service Interface: Concepts and Architecture 

High quality multimedia applications 

Multi-channel streaming for medical and multimedia industry application 

The research on stereoscopic 4K multimedia streaming technologies for future internet 

VoIP Anomaly Detection Engine 

Multimedia support for communities 

CineGrid Amsterdam 

EVO (From EVO to SeeVogh) 

Use of high speed photonic networks for efective use of very high quality media production 

Media distribution 

Opencast, the Opencast Community and Opencast Matterhorn 

QoS Management for Multimedia Services Based on Session Reconfiguration: A Future Internet Case Study 

Videotorium – video sharing for Hungarian research and education 

100 G 

DFN@100G – A Field Trial of 100G Technologies related to Real World Research Scenarios 

Extending a Network's Longevity by 40% 

Future networking... in GÉANT: What next? 

Future Networking: Challenges and Opportunities 

Circuits vs. Packets, 5 Years Later 

Ethernet Operation Administration and Maintenance – Opportunities for the NREN community 

Is the Internet an unfinished demo? Meet RINA! 

IETF 

IPv6 transition 

Privacy and the IETF 

Securing Internet Routing through RPKI Resource Certification 

IPv6 



JUIN 2011 

How the RIPE NCC promotes IPv6 Deployment 

IPv6 - The time has come 

IPv6 adoption: a case study 

Monitoring 

Enhancing E2Emon monitoring with NML topology exchange 

Network performance event management based upon the perfSONAR framework 

perfSONAR NC - a NETCONF based perfSONAR implementation 

RIPE Atlas – a distributed Internet measurement network 

Networking with Extra-Regional Partners 

Africa Connect 

Arab States Research and education Network (ASREN). Where are we now? 

Emerging research networks in Albania and Kosovo 

ZAMREN, the Zambian NREN 

Optical networking 

Design and OAM&P aspects of a DWDM system equipped with a 40Gb/s PM-QPSK 

Photonic Trends in Future Networks 

Time and Frequency Transfer in All-optical Network 

Transport networks industry 

Advances in Large Scale Photonic Integration for Next Generation Optical Transmission Architectures 

Network Evolution Enablers 

Next-Generation Ultra-High-Speed DWDM Transport 

Mobility support services 

Access everywhere 

eduCONF Business Case: The quest for the Videoconference Community’s needed services 

How to Make Paperless Mobility between Higher Education Institutions possible? 

Middleware for advanced users 

Easing Access to Grids Using Moonshot 

Getting Real about Virtual Collaboration on the GRID – technologies for AAI in non-web e-Infrastructures 

Moonshot 

Advanced applications 

A Universe of Data on Your Desktop 

LifeWatch - ICT infrastructure for Biodiversity Research in Europe 

Supporting Pan-European advanced applications - GÉANT Project liaison and support 

The LOFAR LTA distributed information system for Radio Astronomical data 

The NEXPReS project 

The Sea Level Station Monitoring Facility: examine the performance and delay of 430 tsunami warning stations 

Composable services 

Integration of Inter-Domain Reservation Systems with Other Composable Services 

Integration perfSONAR with the GEMBus as realization of the Enterprise Service Bus 

The GEMBus Architecture and Core Components 

Collaboration tools and technology 

Domestication: The Next Step in Collaborative Application Design 

FileSender: collaborating to make file transfers easy 

SURFconext, showcasing a new collaboration paradigm 

Clouds and Virtualisation 

Scaling up your virtualization infrastructure 

StratusLab 

The NIIFI Cloud 

e-Infrastructure policy issues 

Green Datacenter - Policy Issues, Partnerships and Practical Considerations 

HEAnet's National Data Storage Infrastructure 

The potential role of NRENs in Cloud provision 

Virtual Organisations 

EGI - Virtual Research Communities: connecting the user to the grid 

SMXL: Tailoring Technology to Collaboration 

SWITCHtoolbox - Group-based collaboration made easy 

Lightning Talks 

0day Collaboration 

Calculating the Return on Investment of an NREN 

Central Asian Research and Education Network (CAREN) 

Delivering multicast network services to rural communities 

dUMA: comprehensive personal information management 



JUIN 2011 

Help Make Complexity Simple! 

Instant Page Load (IPL) 

IP – what happens now? 

Monitoring of Electrical Power Consumption in ICT rooms 

Open Source Implementation of IEEE 802.1ag 

Some mind-blowing things you can do with Moonshot 

SSEDIC - Scoping the Single European Digital Identity Community 

TERENA Service Provider proxy 


https://tnc2011.terena.org/core/schedule/list/day/all 

USENIX – WEBAPPS’11 

Le 2 ième atelier de travail sur le développement des applications WEB – Web Application 

Development – organisé par Usenix s’est déroulé les 15 et 16 juin à Portland. 

Les papiers publiés seront publiquement disponibles en ligne sous peu. 

Server-side Security 

GuardRails: A Data-Centric Web Application Security Framework Univ. Virginia 

PHP Aspis: Using Partial Taint Tracking to Protect Against Injection Attacks Imperial College London 

Secure Data Preservers for Web Services Google, Intel, Yahoo! 

Researchers' Workbench 

An Experimental, Extensible, Reconfigurable Platform for HTML-based Applications 

BenchLab: An Open Testbed for Realistic Benchmarking of Web Applications 

Resource Provisioning of Web Applications in Heterogeneous Clouds 

Lessons and Experience 

Experiences on a Design Approach for Interactive Web Applications 

Exploring the Relationship Between Web Application Development Tools & Security 

The Effectiveness of Application Permissions 

Extending and Protecting the Client 

Detecting Malicious Web Links and Identifying Their Attack Types 

Integrating Long Polling with an MVC Web Framework 

Maverick: Providing Web Applications with Safe and Flexible Access to Local Devices 


http://www.usenix.org/events/webapps11/tech/ 

UWash., Microsoft 

Univ. Massachusetts 

Univ. Amsterdam 

Univ. Tampere 

Univ. Berkeley 

Univ. Berkeley 

Univ. Korea, Microsoft 

Univ. Stanford 

UWash. 

GUIDES 

NIST – ETAT DES GUIDES DE LA SERIE SPECIALE 800 

Le NIST vient de publier la version finale du guide SP800-82 ‘Guide to Industrial Control 

Systems (ICS) Security’ sur la sécurité des systèmes de contrôle industriels, un guide de 

toute première importance. 

SP800-147 Basic Input/Output System (BIOS) Protection Guidelines [R] 02/11 

SP800-146 Cloud Computing Synopsis and Recommendations [R] 05/11 N 

SP800-145 NIST Definition of Cloud Computing [R] 01/11 

SP800-144 Guidelines on Security and Privacy in Public Cloud Computing [R] 01/11 

SP800-142 Practical Combinatorial Testing [R] 10/10 

SP800-137 Information Security Continuous Monitoring for Federal IS and Organizations [R] 12/10 

SP800-135 Recommendation for Existing Application-Specific Key Derivation Functions [F] 12/10 

SP800-132 Recommendation for Password-Based Key Derivation - Part 1: Storage Applications [F] 12/10 

SP800-131C Validating the Transition from FIPS 186-2 to FIPS 186-3 [F] 02/11 

SP800-131B Validation of Transitioning Cryptographic Algorithm and Key Lengths [F] 02/11 

SP800-131A Recommendation for the Transitioning of Cryptographic Algorithms & Key Lenghts [F] 01/11 

SP800-130 Framework for Designing Cryptographic Key Management Systems [R] 06/10 

SP800-128 Guide for Security Configuration Management of Information Systems [R] 03/10 

SP800-127 Guide to Securing WiMAX Wireless Communications [F] 09/10 

SP800-126r1 The Technical Specification for SCAP [R] 01/11 

SP800-126 The Technical Specification for SCAP [F] 11/09 

SP800-125 Guide to Security for Full Virtualization Technologies [R] 07/10 

SP800-124 Guidelines on Cell Phone and PDA Security [F] 11/08 

SP800-123 Guide to General Server Security [F] 07/08 



JUIN 2011 

SP800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information [F] 04/10 

SP800-121 Guide to Bluetooth Security [F] 09/08 

SP800-120 EAP Methods used in Wireless Network Access Authentication [F] 09/09 

SP800-119 Guidelines for the Secure Deployment of IPv6 [F] 12/10 M 

SP800-118 Guide to Enterprise Password Management [R] 04/09 

SP800-117 Guide to Adopting and Using the Security Content Automation Protocol [F] 07/10 

SP800-116 Recommendation for the Use of PIV Credentials in Physical Access Control Systems [F] 11/08 

SP800-115 Technical Guide to Information Security Testing [F] 09/08 

SP800-114 User’s Guide to Securing External Devices for Telework and Remote Access [F] 11/07 

SP800-113 Guide to SSL VPNs [F] 07/08 

SP800-111 Guide to Storage Encryption Technologies for End User Devices [R] 11/07 

SP800-110 Information System Security Reference Data Model [R] 09/07 

SP800-108 Recommendation for Key Derivation Using Pseudorandom Functions [F] 11/08 

SP800-107 Recommendation for Using Approved Hash Algorithms [F] 02/09 

SP800-106 Randomized Hashing Digital Signatures [F] 02/09 

SP800-104 A Scheme for PIV Visual Card Topography [F] 06/07 

SP800-103 An Ontology of Identity Credentials, Part I: Background and Formulation [R] 09/06 

SP800-102 Recommendation for Digital Signature Timeliness [F] 09/09 

SP800-101 Guidelines on Cell Phone Forensics [F] 05/07 

SP800-100 Information Security Handbook: A Guide for Managers [F] 03/07 

SP800-98 Guidance for Securing Radio Frequency Identification (RFID) Systems [F] 04/07 

SP800-97 Guide to IEEE 802.11i: Robust Security Networks [F] 02/07 

SP800-96 PIV Card / Reader Interoperability Guidelines [R] 09/06 

SP800-95 Guide to Secure Web Services [F] 08/07 

SP800-94 Guide to Intrusion Detection and Prevention (IDP) Systems [F] 02/07 

SP800-92 Guide to Computer Security Log Management [F] 09/06 

SP800-90A Random Number Generation Using Deterministic Random Bit Generators [R] 05/11 M 

SP800-90 Random Number Generation Using Deterministic Random Bit Generators [F] 03/07 

SP800-89 Recommendation for Obtaining Assurances for Digital Signature Applications [F] 11/06 

SP800-88 Guidelines for Media Sanitization [F] 09/06 

SP800-87r1 Codes for the Identification of Federal and Federally-Assisted Organizations [F] 04/08 

SP800-86 Computer, Network Data Analysis: Forensic Techniques to Incident Response [F] 08/06 

SP800-85A2 PIV Card Application and Middleware Interface Test Guidelines [F] 07/10 

SP800-85A1 PIV Card Application and Middleware Interface Test Guidelines [F] 03/09 

SP800-85B1 PIV Middleware and PIV Card Application Conformance Test Guidelines [R] 09/09 

SP800-85B PIV Middleware and PIV Card Application Conformance Test Guidelines [F] 07/06 

SP800-84 Guide to Single-Organization IT Exercises [F] 09/06 

SP800-83 Guide to Malware Incident Prevention and Handling [F] 11/05 

SP800-82 Guide to Industrial Control Systems (ICS) Security [F] 05/11 M 

SP800-81r1 Secure Domain Name System (DNS) Deployment Guide [F] 08/10 

SP800-80 Guide for Developing Performance Metrics for Information Security [R] 05/06 

SP800-79r1 Guidelines for Certification & Accreditation of PIV Card Issuing Organizations [F] 06/08 

SP800-78-3 Cryptographic Algorithms and Key Sizes for Personal Identity Verification [F] 12/10 

SP800-78-2 Cryptographic Algorithms and Key Sizes for Personal Identity Verification [F] 02/10 

SP800-77 Guide to Ipsec VPNs [F] 12/05 

SP800-76r2 Biometric Data Specification for Personal Identity Verification [R] 04/11 

SP800-76r1 Biometric Data Specification for Personal Identity Verification [F] 01/07 

SP800-73r3 Interfaces to Personal Identity Verification [R] 08/09 

SP800-73r2 Interfaces to Personal Identity Verification [F] 09/08 

SP800-72 Guidelines on PDA Forensics [F] 11/04 

SP800-70r2 NCP for IT Products - Guidelines for Checklist Users and Developers [R] 12/10 

SP800-70r1 NCP for IT Products - Guidelines for Checklist Users and Developers [F] 09/09 

SP800-70 The NIST Security Configuration Checklists Program [F] 05/05 

SP800-69 Guidance for Securing Microsoft Windows XP Home Edition [F] 08/06 

SP800-68r1 Guidance for Securing Microsoft Windows XP Systems for IT Professionals [F] 07/08 

SP800-67 Recommendation for the Triple Data Encryption Algorithm Block Cipher [F] 06/08 

SP800-66r1 An Introductory Resource Guide for Implementing the HIPAA Security Rule [F] 10/08 

SP800-65r1 Integrating IT Security into the Capital Planning and Investment Control Process [R] 07/09 

SP800-65 Integrating IT Security into the Capital Planning and Investment Control Process [F] 01/05 

SP800-64r2 Security Considerations in the Information System Development Life Cycle [F] 10/08 

SP800-63r1 Electronic Authentication Guidelines [R] 12/08 

SP800-61r1 Computer Security Incident Handling Guide [F] 03/08 

SP800-60r1 Guide for Mapping Types of Information & IS to Security Categories [F] 08/08 

SP800-59 Guideline for Identifying an Information System as a National Security System [F] 08/03 

SP800-58 Security Considerations for Voice Over IP Systems [F] 03/05 

SP800-57p1r3 Recommendation for Key Management, 1: General Guideline [R] 05/11 M 

SP800-57p1 Recommendation for Key Management, 1: General Guideline [F] 03/07 



JUIN 2011 

SP800-57p2 Recommendation for Key Management, 2: Best Practices [F] 08/05 

SP800-57p3 Recommendation for Key Management, 3: Application-Specific Key Management [D] 10/08 

SP800-56A Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography [F] 03/07 

SP800-56B Pair-Wise Key Establishment Using Integer Factorization Cryptography [F] 09/09 

SP800-56C Recommendation for Key Derivation through Extraction-then-Expansion [R] 10/10 

SP800-55r1 Security Metrics Guide for Information Technology Systems [F] 08/08 

SP800-54 Border Gateway Protocol Security [F] 07/07 

SP800-53r3 Recommended Security Controls for Federal Information Systems [F] 08/09 

SP800-53r2 Recommended Security Controls for Federal Information Systems [F] 12/07 

SP800-53Ar1 Guide for Assessing the Security Controls in Federal Information Systems [F] 05/10 

SP800-53A Guide for Assessing the Security Controls in Federal Information Systems [F] 06/08 

SP800-52 Guidelines on the Selection and Use of Transport Layer Security [F] 06/05 

SP800-51r1 Guide to Using Vulnerability Naming Schemes [R] 12/10 

SP800-51 Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme [F] 09/02 

SP800-50 Building an Information Technology Security Awareness & Training Program [F] 03/03 

SP800-49 Federal S/MIME V3 Client Profile [F] 11/02 

SP800-48r1 Guide to Securing Legacy IEEE 802.11 Wireless Networks [F] 08/08 

SP800-47 Security Guide for Interconnecting Information Technology Systems [F] 08/02 

SP800-46r1 Guide to Enterprise Telework and Remote Access Security [F] 06/09 

SP800-46 Security for Telecommuting and Broadband Communications [F] 08/02 

SP800-45V2 Guide On Electronic Mail Security [F] 02/07 

SP800-44V2 Guidelines on Securing Public Web Servers [F] 09/07 

SP800-43 System Administration Guidance for Windows00 [F] 11/02 

SP800-42 Guidelines on Network Security testing [F] 10/03 

SP800-41r1 Guidelines on Firewalls and Firewall Policy [F] 09/09 

SP800-41 Guidelines on Firewalls and Firewall Policy [F] 01/02 

SP800-40-2 Creating a Patch and Vulnerability Management Program [F] 11/05 

SP800-39 Integrated Enterprise-Wide Risk Management: Organization, Mission,… [R] 12/10 

SP800-38E Recommendation for Block Cipher Modes of Operation – XTS-AES [F] 01/10 

SP800-38D Recommendation for Block Cipher Modes of Operation – GCM [F] 11/07 

SP800-38C Recommendation for Block Cipher Modes of Operation – CCM [F] 05/04 

SP800-38B Recommendation for Block Cipher Modes of Operation – RMAC [F] 05/05 

SP800-38Aa Recommendation for Block Cipher Modes of Operation: Ciphertext Stealing for CBC [R] 07/10 

SP800-38A Recommendation for Block Cipher Modes of Operation – Method and Techniques [F] 12/01 

SP800-37r1 Guidelines for the Security C&A of Federal Information Technology Systems [R] 11/09 

SP800-37 Guidelines for the Security C&A of Federal Information Technology Systems [F] 04/04 

SP800-36 Guide to IT Security Services [F] 10/03 

SP800-35 Guide to Selecting IT Security Products [F] 10/03 

SP800-34r1 Contingency Planning Guide for Information Technology Systems [R] 10/09 

SP800-34 Contingency Planning Guide for Information Technology Systems [F] 06/02 

SP800-33 Underlying Technical Models for Information Technology Security [F] 12/01 

SP800-32 Introduction to Public Key Technology and the Federal PKI Infrastructure [F] 02/01 

SP800-31 Intrusion Detection Systems [F] 11/01 

SP800-30 Risk Management Guide for Information Technology Systems [F] 01/04 

SP800-29 Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2 [F] 10/01 

SP800-28v2 Guidelines on Active Content and Mobile Code [F] 03/08 

SP800-27A Engineering Principles for Information Technology Security – Rev A [F] 06/04 

SP800-26r1 Guide for Inform. Security Program Assessments & System Reporting Form [R] 08/05 

SP800-26 Security Self-Assessment Guide for Information Technology Systems [F] 11/01 

SP800-25 Federal Agency Use of PK Technology for Digital Signatures and Authentication [F] 10/00 

SP800-24 Finding Holes in Your PBX Before Someone Else Does [F] 08/00 

SP800-23 Guidelines to Federal Organizations on Security Assurance [F] 08/00 

SP800-22r1a Statistical Test Suite for Random and Pseudorandom Number Generators [F] 04/10 

SP800-21 Guideline for Implementing Cryptography in the Federal Government [F] 12/05 

SP800-16r1 Information Security Training Requirements: A Role & Performance Based Model [R] 03/09 

SP800-12 An Introduction to Computer Security: The NIST Handbook [F] 10/95 

[F] Finalisé 


http://csrc.nist.gov/publications/PubsSPs.html 

[R] Relecture 

- Catalogue des publications 

DISA – GUIDES ET CHECK LISTES DE SECURISATION 

La DISA a mis à jour un grand nombre de ses guides de sécurisation: Microsoft Windows 

et Exchange, UNIX, zOS, DNS, Wireless, Réseaux… 

De nouveaux guides sont publiés qui traitent des environnements Microsoft Office 2010, HP-UX 11, 



JUIN 2011 

Windows Mobile 6.5, iPhone et iPad. 

[26 Mise(s) à jour, 6Nouveau(x) Document(s)] Guide (STIG) Check Liste 

APPLICATIONS 

Applications Sécurité et Développement 3.3 26/04/11 3.3 26/04/11 M 

Services 1.1 17/01/06 1.1.1 21/09/06 

Active Directory Service 2.1 07/06/11 M 

Microsoft Exchange 2003 1.4 28/01/11 1.2 05/01/10 

ESM 1.1 05/06/06 1.1.3 10/04/07 

ERP 1.1 10/04/07 1.1.1 10/04/07 

Database Générique 8.1 19/10/07 8.1.6 27/08/10 

Oracle 9, 10 et 11 8.1.8 27/08/10 

MS SQL Server 7, 2000, 2005 8.1.7 27/08/10 

ISA Server 2006 OWA Proxy 1.2 29/06/10 

ENVIRONNEMENTS 

Access Control 2.3 29/10/10 

Directory Service 1.1 10/03/06 1.1.5 28/08/09 

Collaboration 1.1 28/03/07 1.1 28/03/07 

Desktop Générique 4.1 03/12/10 3.1.11 09/03/07 

Windows 4.1 03/12/10 

Enclave Périmètre 4.2 31/03/08 4.2 31/03/08 

.NET 1.2.3 18/02/09 

Personal Computer Clients Voix, Vidéo et Collaboration 1.1 26/06/08 1.1.1 15/08/08 

Secure Remote Computing 2.4 28/01/11 2.1 02/10/09 

Instant Messaging 1.2 15/02/08 1.2.5 15/04/09 

Biométrie 1.3 10/11/05 2.1.1 17/10/07 

VoIP Voix sur IP 2.2 21/04/06 2.2.4 12/08/08 

VVoIP Voix et Video sur IP 3.2 27/08/10 

Vidéo Téléconférence 1.1 08/01/08 1.1.2 06/11/08 

PERIPHERIQUES 

Sharing peripheral across the network 1.2 27/07/10 

- Multi-Function Device (MFD) and Printer Checklist 2.1 28/04/11 1.1.3 09/04/09 M 

- Keyboard, Video, and Mouse (KVM) Switch Checklist 2.1 28/04/11 1.1.3 19/12/08 M 

- Storage Area Network (SAN) Checklist 2.1 28/04/11 1.1.4 26/06/09 M 

- Universal Serial Bus (USB) Checklist 1.1.3 19/12/08 

Removable Storage and External Connection Technologies 1.2 28/01/11 

RESEAUX 

Network Policy 8.6 27/04/11 M 

L2 Switch 8.6 27/04/11 M 

Infrastucture router L3 switch 8.6 27/04/11 M 

Perimeter router L3 switch 8.6 27/04/11 M 

IDS/IPS 8.6 27/04/11 M 

Firewall 8.6 27/04/11 M 

Other devices 8.6 27/04/11 M 

Mobile Liste de contôle générique 6.4 28/01/11 

Blackberry Guidance for BES 1.3 28/01/11 

BlackBerry 1.4 26/04/11 M 

Apriva 5.2.2 15/04/09 

Motorola 5.2.3 15/04/09 

Good 6.3 23/04/10 

Windows 5.2.4 15/04/09 

Windows Mobile 6.5 1.1 28/04/11 N 

Apple iPhone / iPad 1.03 08/06/11 N 

Wireless LAN Security Framework 2.1 31/10/05 

LAN Site Survey 1.1 31/10/05 

LAN Secure Remote Access 1.1 31/10/05 

Mobile Computing 1.1 31/10/05 

SERVICES 

DNS Générique 4.1 17/10/07 4.1.12 26/04/11 M 

Web Servers Générique 7.1 12/09/10 

IIS 6.1.12 23/04/10 

Netscape/Sun 6.1.6 26/06/09 

Apache 6.1.12 23/04/10 

TomCAT 6.1.5 14/04/09 

WebLogic 6.1.4 14/04/09 

SYSTEMES 

IBM HMC (Hardware Mngt Cons.) 1.1 08/11/10 

VM 2.2 04/03/05 2.2.1 04/06 

OS/390 & z/OS Générique 6.1.1 06/08/09 5.2.7 17/01/08 



JUIN 2011 

Logical Partition 2.2 04/03/05 2.1.4 04/06 

RACF 6.7 29/04/11 M 

ACF2 6.6 28/01/11 

TSS 6.7 29/04/11 M 

HP HP-UX 11.29 / 11.31 1.1 13/06/11 N 

LINUX RedHat 1.0 11/05/11 N 

MacOS/X 1.1 15/06/04 1.1.3 28/04/06 

TANDEM 2.2 04/03/05 2.1.2 17/04/06 

UNISYS 7.2 28/08/06 7.2 24/11/06 

UNIX 5.1 04/04/06 5.1.29 28/04/11 M 

SUN Solaris 2.6 à 2.9 - 20/01/04 

RAY 4 1.1.1 17/04/09 1.1.1 17/04/09 

OPEN VMS 2.2.3 17/04/06 

WINDOWS NT 3.1 26/12/02 4.1.21 28/07/08 

2000 6.1.19 27/08/10 

XP 6.1.21 28/04/11 M 

Vista 6.1.21 28/04/11 M 

2003 6.1.21 28/04/11 M 

2008 6.1.21 28/04/11 M 

7 1.4 28/01/11 M 

Addendum 2000/XP/Vista/2003 6.1 21/05/07 

VMWare ESX 1.1.0 28/04/08 1.4.0 15/10/09 

Citrix XENApp 1.1.2 15/10/09 1.1.2 15/10/09 

AUTRES 

AntiVirus Security Guidance Générique 4.1 03/12/09 

McAfee 4.4 27/04/11 M 

Symantec 4.1 03/12/09 

Apache Guidance 2.0 et 2.2 draft 26/04/11 N 

Best Practice Security Générique 2.1 29/01/07 

Browser Security Guidance IE6 4.3 28/01/11 

IE7 4.4 27/04/11 M 

IE8 1.5 27/04/11 M 

Firefox 4.2 23/04/10 

Cloud Computing Guidance 1.0.2 01/07/10 

Medical Devices 1.1 27/07/10 

Office Security Guidance Microsoft Office 2003 4.1 03/12/09 

Microsoft Office 2007 4.4 27/04/11 M 

Microsoft Office 2010 1.1 10/06/11 N 


http://iase.disa.mil/stigs/checklist/index.html 

http://measurablesecurity.mitre.org/about/index.html 

MAGAZINES 

HNS - (IN)SECURE MAG N°30 

Le 30 ième numéro du magazine ‘(In)Secure’ – 13 articles, 72 pages et 9 Mo – est paru mijuin. 

En voici le sommaire: 

Security World 

Microsoft's Exploit Mitigation Experience Toolkit 

Transaction monitoring as an issuer fraud risk management technique 

Twitter security spotlight 

IPv6: Saviour and threat 

The hard truth about mobile application security: Separating hype from reality 

Events around the world 

Don't fear the auditor 

Book review: Kingpin 

Malware World 

Secure mobile platforms: CISOs faced with new strategies 

Security needs to be unified, simplified and proactive 

Whose computer is it anyway? 

Security Software Spotlight 

10 golden rules of information security 

The token is dead 

Security Videos 



JUIN 2011 

Book review: IPv6 for Enterprise Networks 

Cyber security revisited: Change from the ground up? 


http://www.net-security.org/dl/insecure/INSECURE-Mag-30.pdf 

STANDARDS 

IETF – LES RFC TRAITANT DIRECTEMENT DE LA SECURITE 

Thème Num Date Etat Titre 

CRYPTO 6278 06/11 Inf Use of Static-Static Elliptic Curve Diffie-Hellman Key Agreement in Cryptographic Message Syntax 

GRE 6245 05/11 Pst Generic Routing Encapsulation (GRE) Key Extension for Mobile IPv4 

IBAKE 6267 06/11 Inf MIKEY-IBAKE: Identity-Based Authenticated Key Exchange (IBAKE) Mode of 

IKE 6290 06/11 Pst A Quick Crash Detection Method for the Internet Key Exchange Protocol (IKE) 

OCSP 6277 06/11 Pst Online Certificate Status Protocol Algorithm Agility 

SEND 6273 06/11 Inf The Secure Neighbor Discovery (SEND) Hash Threat Analysis 

IETF – LES RFC LIES A LA SECURITE 

Thème Num Date Etat Titre 

DNS 6168 05/11 Inf Requirements for Management of Name Servers for the DNS 

GRID 6272 06/11 Inf Internet Protocols for the Smart Grid 

IP 6127 05/11 Inf IPv4 Run-Out and IPv4-IPv6 Co-Existence Scenarios 

6235 05/11 Exp IP Flow Anonymization Support 

6250 05/11 Inf Evolution of the IP Model 

OATH 6287 06/11 Inf OCRA: OATH Challenge-Response Algorithm 

IETF – LES NOUVEAUX DRAFTS TRAITANT DE LA SECURITE 

Thème Nom du Draft Date Titre 

BGP draft-ietf-sidr-bgpsec-threats-00 24/06 Threat Model for BGP Path Security 

draft-ietf-sidr-bgpsec-reqs-00 

24/06 Security Requirements for BGP Path Validation 

DHCP draft-xu-dhc-cadhcp-00 16/06 A authentication method based on certificate for DHCP 

DNS draft-agl-dane-serializechain-00 28/06 Serializing DNS Records with DNSSEC Authentication 

GEOPRIV draft-thomson-geopriv-lying-00 28/06 A Privacy-Preserving Policy Transformation for Location 

GSS-EAP draft-perez-abfab-eap-gss-preauth-00 14/06 GSS-EAP pre-authentication for Kerberos 

HIGHT draft-kisa-hight-00 23/06 The HIGHT Encryption Algorithm 

IMAP draft-jia-imap-multiaccount-authentication-00 13/06 IMAP4 Multi-Account Authentication 

IPV6 draft-dec-6man-rs-access-harmful-00 20/06 IPv6 Router Solicitation Driven Access Considered Harmful 

KARP draft-ietf-karp-routing-tcp-analysis-00 27/06 Analysis of BGP, LDP, PCEP, MSDP Security According to KARP 

KERB draft-ietf-krb-wg-clear-text-cred-00 28/06 The Unencrypted Form Of Kerberos 5 KRB-CRED Message 

MARF draft-ietf-marf-authfailure-report-00 28/06 Authentication Failure Reporting using the Abuse Report Fmt 

draft-ietf-marf-spf-reporting-00 

28/06 SPF Authentication Failure Reporting using the Abuse Report Fmt 

NFS draft-ietf-nfsv4-rpcsec-gssv3-00 14/06 Remote Procedure Call (RPC) Security Version 3 

RTCWEB draft-johnston-rtcweb-media-privacy-00 31/05 RTCWEB Media Privacy 

draft-kaufman-rtcweb-security-ui-00 

29/06 Client Security User Interface Requirements for RTCWEB 

TLS draft-ietf-nea-pt-tls-00 13/06 PT-TLS: A Posture Transport (PT) Protocol Based on TLS 

draft-bjhan-tls-seed-00 

15/06 Addition of SEED Cipher Suites to Transport Layer Security (TLS) 

draft-melnikov-email-tls-certs-00 

15/06 TLS Server Identity Check Procedure for Email Related Protocols 

IETF – LES MISES A JOUR DE DRAFTS TRAITANT DE LA SECURITE 

Thème Nom du Draft Date Titre 

CMS draft-gutmann-cms-hmac-enc-05 22/06 Using MAC-authenticated Encryption in the CMS 

CORE draft-sarikaya-core-sbootstrapping-02 22/06 Security Bootstrapping of Resource-Constrained Devices 

DANE draft-ietf-dane-use-cases-04 29/06 Use Cases for DNS-based Authentication of Named Entities 

DHCP draft-ietf-csi-dhcpv6-cga-ps-07 29/05 DHCPv6 and CGA Interaction: Problem Statement 

draft-ietf-dhc-secure-dhcpv6-03 

16/06 Secure DHCPv6 Using CGAs 

DIAMETER draft-ietf-dime-local-keytran-11 17/06 Diameter Attribute-Value Pairs for Cryptographic Key Transport 

DNS draft-mekking-dnsop-dnssec-key-timing-bis-01 22/06 DNSSEC Key Timing Considerations Follow-Up 

EAP draft-ietf-hokey-rfc5296bis-03 31/05 EAP Extensions for EAP Re-authentication Protocol (ERP) 

HTTPS draft-meadors-certificate-exchange-13 17/06 Specified for use in digital signatures, data encryption or HTTPS 

IPSEC draft-seokung-ipsecme-seed-ipsec-modes-01 12/06 Using SEED CTR, CCM, GCM modes with IPsec ESP 

draft-zhang-ipsecme-anti-replay-02 

27/06 IPsec anti-replay algorithm without bit-shifting 

KARP draft-ietf-karp-threats-reqs-03 18/06 Threat Analysis and Requirements 

KCIPHER draft-kiyomoto-kcipher2-05 23/06 A Description of KCipher-2 Encryption Algorithm 



JUIN 2011 

KERB draft-ietf-krb-wg-kdc-model-10 31/05 An information model for Kerberos version 5 

KX509 draft-hotz-kx509-03 10/06 KX509 Kerberized Certificate Issuance Protocol 

MPLS draft-ietf-mpls-ldp-gtsm-01 11/06 The Generalized TTL Security Mechanism (GTSM) for LDP 

draft-zheng-mpls-ldp-hello-crypto-auth-02 28/06 LDP Hello Cryptographic Authentication 

NETCONF draft-ietf-netconf-access-control-04 15/06 Network Configuration Protocol Access Control Model 

OPENID draft-ietf-kitten-sasl-openid-03 14/06 A SASL & GSS-API Mechanism for OpenID 

PCP draft-maglione-pcp-radius-ext-02 23/06 RADIUS Extensions for Port Control Protocol 

PKIX draft-ietf-pkix-cmp-transport-protocols-12 16/06 Internet X.509 PKI -- Transport Protocols for CMP 

RADIUS draft-ietf-netext-radius-pmip6-03 27/06 RADIUS Support for Proxy Mobile IPv6 

ROLL draft-ietf-roll-security-framework-06 15/06 Security Framework for Routing over Low Power & Lossy Networks 

RSVP draft-ietf-tsvwg-rsvp-security-groupkeying-10 24/06 Applicability of Keying Methods for RSVP Security 

SAML draft-ietf-kitten-sasl-saml-03 15/06 A SASL and GSS-API Mechanism for SAML 

SCS draft-secure-cookie-session-protocol-02 25/06 SCS: Secure Cookie Sessions for HTTP 

SMIME draft-hernandez-ardieta-smime-eesp-01 19/06 Extended Electronic Signature Policies 

SRTP draft-nsri-avt-aria-srtp-02 23/06 The ARIA Algorithm and Its Use with SRTP 

SSL draft-mavrogiannopoulos-ssl-version3-06 10/06 The SSL Protocol Version 3.0 

TCP draft-ietf-tcpm-rfc1948bis-01 28/06 Defending Against Sequence Number Attacks 

TLS draft-nir-tls-eap-12 23/06 Flexible Authentication Framework for the TLS Protocol using EAP 

draft-kanno-tls-camellia-03 

15/06 Addition of the Camellia Cipher Suites to TLS

Veille Technologique SÃ©curitÃ© - cert devoteam

Create successful ePaper yourself

Delete template?

Save as template?