Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Veille</strong> <strong>Technologique</strong> Sécurité<br />
Rapport Mensuel N°155<br />
JUIN 2011<br />
Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et<br />
publiquement accessibles: listes de diffusion, newsgroups, sites Web, ...<br />
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la<br />
précision ou de la qualité de l'information. Les URL associées à <strong>cert</strong>ains thèmes sont validées à la date de la rédaction du<br />
document.<br />
Dans ce numéro:<br />
Le TOP10 des supercalculateurs<br />
CPE, suite et fin<br />
Certification CSPN de GnuPG et WinPT<br />
CWRAF aka 'Common Weakness Risk Analysis Framework’<br />
SP800-82 'Guide to SCADA and Industrial Control Systems Security’<br />
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.<br />
CONNECTING BUSINESS & T ECHNOLOGY<br />
CERT-DEVOTEAM<br />
Pour tous renseignements:<br />
1, rue GALVANI Offre de veille http://www.<strong>cert</strong>-<strong>devoteam</strong>.com/<br />
91300 Massy Palaiseau Informations vts-info@<strong>cert</strong>-<strong>devoteam</strong>.com<br />
©CERT-DEVOTEAM - Tous droits réservés
JUIN 2011<br />
Au sommaire de ce rapport…<br />
ACTUALITES SECURITE<br />
HACK - THE LULZ BOAT ................................................................................................................. 2<br />
ISC11 – 37 IEME TOP 500............................................................................................................... 2<br />
ANALYSES ET COMMENTAIRES<br />
ETUDES<br />
CRYPTOGRAPHIE – SECURE COMPUTATION FRAMEWORK............................................................................... 4<br />
METHODOLOGIES ET STANDARDS<br />
METHODES<br />
SEI – UNE MODELISATION DU VOL D’INFORMATIONS EN INTERNE ................................................................... 6<br />
MITRE – CWRAF ‘COMMON WEAKNESS RISK ANALYSIS FRAMEWORK’ ........................................................... 7<br />
RECOMMANDATIONS<br />
NIST - SP800-82 ‘GUIDE TO INDUSTRIAL CONTROL SYSTEMS (ICS) SECURITY’ ................................................ 9<br />
NIST - IR-7697 ‘CPE DICTIONARY SPECIFICATION’ ET IR-7698 ‘CPE APPLICABILITY LANGUAGE SPECIFICATION’ ...... 11<br />
ANSSI - CERTIFICATIONS CSPN DE GNUPG ET WINPT ........................................................................... 12<br />
STANDARDS<br />
ETSI - SECURISATION DE L’ARCHIVAGE DES DONNEES NUMERIQUES.............................................................. 13<br />
TABLEAUX DE SYNTHESE<br />
INTERNET<br />
LES DECISIONS DE L’OMPI ............................................................................................................ 15<br />
CONFERENCES<br />
EICAR 2011 ............................................................................................................................. 16<br />
OWASP – APPSEC 2011 ............................................................................................................... 16<br />
PASSWORD^11 ......................................................................................................................... 17<br />
PHNEUTRAL 2011 ...................................................................................................................... 17<br />
SSTIC 2011............................................................................................................................ 18<br />
WEIS 2011............................................................................................................................. 18<br />
NANOG 52 ............................................................................................................................... 19<br />
TERENA - TNC2011 ................................................................................................................... 19<br />
USENIX – WEBAPPS’11 ................................................................................................................ 22<br />
GUIDES<br />
NIST – ETAT DES GUIDES DE LA SERIE SPECIALE 800 .............................................................................. 22<br />
DISA – GUIDES ET CHECK LISTES DE SECURISATION............................................................................... 24<br />
MAGAZINES<br />
HNS - (IN)SECURE MAG N°30 ................................................................................................... 26<br />
STANDARDS<br />
IETF – LES RFC TRAITANT DIRECTEMENT DE LA SECURITE ......................................................................... 27<br />
IETF – LES RFC LIES A LA SECURITE ................................................................................................. 27<br />
IETF – LES NOUVEAUX DRAFTS TRAITANT DE LA SECURITE......................................................................... 27<br />
IETF – LES MISES A JOUR DE DRAFTS TRAITANT DE LA SECURITE ................................................................. 27<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155<br />
Page i<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
Le mot du rédacteur<br />
Le mois de juin aura, hélas, été à l’image du mois de mai, marqué par de<br />
nombreux événements de sécurité. Nous pourrions reprendre mot à mot notre<br />
éditorial du mois dernier en changeant simplement quelques noms de la liste<br />
des sociétés ou organisations s’étant attirées les foudres des activistes<br />
d’Anonymous et depuis quelques semaines, de Lulzsec: le Centre National de<br />
calcul Indien ainsi qu’un site de l’armée Indienne pour les premiers, le<br />
gouvernement américain avec la CIA, le Senat et Infraguard, ainsi que les<br />
sociétés Besthesda, Fox, Nintendo, PBS, Sony et sa filliale SonyPictures, pour<br />
les seconds.<br />
Un jeu dangereux quand les Etats-Unis sont en passe de considérer les<br />
attaques informatiques portées sur son territoire, et envers ses actifs, comme<br />
un acte de guerre. La réaction n’a d’ailleurs pas tardé avec l’engagement de<br />
plusieurs opérations aux Etats-Unis mais aussi en Europe et en Turquie ayant<br />
conduit à l’arrestation de membres présumés des deux groupes précités, et<br />
peut-être à la renonciation de Lulzsec.<br />
http://lulzsecurity.com/releases/50%20Days%20of%20Lulz.txt<br />
Nous terminerons en recommandant la lecture du compte-rendu d’audition de<br />
M. Patrick Pailloux, directeur général de l’ANSSI, par la Commission de la<br />
défense nationale et des forces armées de l’Assemblée nationale.<br />
http://www.assemblee-nationale.fr/13/cr-cdef/10-11/c1011041.asp#P6_249<br />
Bonne lecture,<br />
et bonnes vacances à tous<br />
BERTRAND VELLE<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 1<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
ACTUALITES SECURITE<br />
HACK - THE LULZ BOAT<br />
Début juin ‘The Lulz Boat’, un groupe de ‘justiciers’ autoproclamés, s’est attaqué à Sony en<br />
mettant à disposition le code source de l’environnement de développement ‘Sony Computer<br />
Entertainment Developer Network’, dit ‘SCEDev’. Un nouveau camouflet - le 16 ième depuis le<br />
piratage du réseau PSN en avril - pour Sony devenu la cible de toutes les attentions.<br />
Soit. L’affaire aurait pu s’arrêter là, et LulzSec continuer d’être considéré comme un groupe d’activistes<br />
idéalistes. Ce groupe a cependant pris l’option de diffuser publiquement début juin un extrait du contenu<br />
d’un fichier dérobé sur l’un des serveurs de l’entité Sony Pictures, fichier contenant près d’un million de<br />
comptes d’utilisateurs.<br />
Une action inconsidérée, stupide, irresponsable, qui expose publiquement les noms, adresses, mots de<br />
passe et comptes de messageries de plusieurs milliers de personnes n’ayant rien fait qui puisse justifier<br />
cette atteinte à leurs droits fondamentaux, sauf d’avoir un jour utilisé légalement les services de Sony.<br />
On imagine sans peine les dégâts provoqués par cette action dont LulzSec refuse d’endosser la<br />
responsabilité renvoyant celle-ci sur Sony, et sa sécurité défaillante, dans un Tweet annonçant "Hey<br />
innocent people whose data we leaked: blame @Sony".<br />
Le site ArsTechnica indique avoir vérifié la viabilité des données diffusées après les avoir croisées avec<br />
les sources d’information publiques disponibles aux Etats-Unis, les comptes étant majoritairement ceux de<br />
personnes supposées être nées avant les années 50. Autant dire des personnes âgées, cibles idéales pour<br />
les escrocs et aigrefins en tout genre qui hantent l’Internet.<br />
Mi-juin, LulzSec réitère avec la diffusion de plus de 62000 comptes, adresses de messagerie et mots de<br />
passe, données extraites semble-t-il de la base des utilisateurs du service ‘WriterSpace.com’.<br />
Nous devons avouer être révoltés par ces actions, et les revendications associées. Au fil des jours, et des<br />
nouvelles informations diffusées, ce groupe apparaît s’éloigner de plus en plus du militantisme idéaliste.<br />
On pourra en juger à la lecture du communiqué de presse du directeur de la société ‘Unveillance’ sur le<br />
chantage exercé à son encontre.<br />
Ce n’est fort heureusement qu’une question de temps avant que justice soit faite et que l’arroseur soit à<br />
son tour arrosé, écrivions-nous mi-juin lors de la première rédaction de cet article, ajoutant que nous ne<br />
pouvions qu’espérer que des mesures exceptionnelles soient prises pour identifier les auteurs, et que des<br />
sanctions exemplaires soient prononcées à l’encontre de ce groupe. Sans aucune illusion toutefois sur le<br />
fait qu’un tel fait se reproduira tôt ou tard…<br />
Deux semaines plus tard, l’actualité semble nous donner raison, LulzSez annonçant l’arrêt de ses actions<br />
et sa dissolution. De fait, la diffusion de l’identité de la plupart des membres de LulzSez par un autre<br />
groupe d’activistes pourrait bien avoir précipité cette prise de décision. L’arroseur arrosé…<br />
Il est fort probable que les semaines à venir voient l’arrestation des personnes ayant décidés d’embarquer<br />
sur le ‘Lulz Boat’ (l’emblème faisant référence à la série ‘la croisière s’amuse’ choisi par ce groupe) avant<br />
qu’il ne coule. On appréciera à sa juste valeur, la conclusion à double sens de l’article ‘Lulzsec & The<br />
Jester Expose each other, Long Live Anonymous !’ publié par ‘The Hacker News’.<br />
Be Anonymous ! Otherwise One day FAME will cause THE END<br />
POUR PLUS D’INFORMATION<br />
http://www.thehackernews.com/2011/06/lulzsec-leaks-source-code-of-sony.html<br />
http://www.thehackernews.com/2011/06/lulzsec-jester-expose-each-other-long.html<br />
http://arstechnica.com/tech-policy/news/2011/06/lulz-sony-hackers-deny-responsibility-for-misuse-of-leaked-data.ars<br />
http://www.unveillance.com/latest-news/unveillance-official-statement/<br />
ISC11 – 37 IEME TOP 500<br />
La 37 ème liste des 500 calculateurs les plus puissants a été divulguée le 16 juin quelques<br />
jours avant que ne débute, à Hambourg, la conférence ISC11. Mise à jour deux fois l’an, en<br />
juin et novembre, cette classification permet d’étudier l’évolution des supercalculateurs, tant<br />
sur le plan de la puissance développée que sur celui des technologies utilisées.<br />
Deux phénomènes auront marqué ces dernières années: l’utilisation massive du système d’exploitation<br />
LINUX, ou de l’un de ses dérivés, et le recours désormais systématique aux processeurs GPU issus du<br />
développement des cartes graphiques. Deux stratégies qui auront amené modularité, puissance de calcul<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 2<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
mais aussi optimisation de la consommation électrique.<br />
Cette nouvelle liste voit le record de puissance pure de calcul de deux petaflops atteint il y a tout juste six<br />
mois par un équipement Chinois, le Thiane 1A, battu par un calculateur Japonais, le K Computer de<br />
Futjitsu. Ce calculateur délivre une puissance de huit petaflops au moyen de quelques 548352 cœurs de<br />
processeur Sparc64 VIIIfx. Une augmentation de la puissance d’un facteur légèrement supérieur à trois<br />
obtenue en multipliant le nombre de processeurs d’un facteur légèrement inférieur à trois, un bel exploit.<br />
Pour le reste, on ne constatera guère d’évolution dans cette nouvelle édition de la liste des Top 500, les<br />
premières machines du classement précédent perdant pour la plupart une place au classement, voire<br />
deux places à la suite de la mise à jour de la configuration de deux calculateurs, l’un appartenant au<br />
département américain de l’énergie (DoE), l’autre à la NASA.<br />
Les dix premières machines du classement affichent toutes une puissance de calcul supérieure au petaflop<br />
quand elles n’étaient que sept il y a six mois et quatre il y a encore un an.<br />
N° 06/10 Cons. Système Site Pays Core C(11/10) TFlops T(11/10)<br />
1 - Futjitsu K Computer AICS JP 548352 - 8162 -<br />
2 1 NUDT Thiane 1A NSCC Tianjin CN 186368 186368 2566 2566<br />
3 2 CRAY XT5 HE Oak Ridge USA 224162 224162 1759 1759<br />
4 3 Dawning NEBULAE NSCC Shenzen CN 120640 120640 1271 1271<br />
5 4 NEC/HP TSUBAME GSIC Tokyo JP 73278 73278 1192 1192<br />
6 10 CRAY XE6 DOE/NNSA/LANL USA 142272 107152 1110 816<br />
7 11 SGI Altix ICE NASA USA 111104 81920 1088 772<br />
8 5 CRAY XE6 DOE/SC/LBNL/NERSC USA 153408 153408 1054 1054<br />
9 6 BULL Tera 100 CEA FR 138368 138368 1050 1050<br />
10 7 IBM RoadRunner DOE/NNSA/LANL USA 122400 122400 1042 1042<br />
POUR PLUS D’INFORMATION<br />
http://www.top500.org/lists/2011/06 - Classement Juin 2011<br />
http://www.top500.org/lists/2010/11 - Classement Novembre 2010<br />
http://www.top500.org/lists/2010/06 - Classement Juin 2010<br />
http://www.top500.org/lists/2009/11 - Classement Novembre 2009<br />
http://www.top500.org/lists/2009/06 - Classement Juin 2009<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 3<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
ANALYSES ET COMMENTAIRES<br />
ETUDES<br />
CRYPTOGRAPHIE – SECURE COMPUTATION FRAMEWORK<br />
Quatre chercheurs des universités de Virginie et du Maryland annoncent la publication d’un<br />
papier destiné à être présenté à l’occasion du symposium IEEE sur la sécurité en août prochain.<br />
Intitulé ‘Faster Secure Two-Party Computation Using Garbled Circuits’ ce papier décrit une solution<br />
élégante, viable et performante pour résoudre un problème appelé ‘calcul bipartite sécurisé’ ou ‘Secure<br />
Two-party Computation’ dans le jargon, cas particulier d’un problème plus compliqué dit ‘Multi-Party<br />
Secure Computation’, ou ‘MPC’.<br />
Les années 80, l’âge du renouveau de la cryptographie, auront vu l’émergence de nouveaux concepts, et<br />
avec eux, de nouveaux protocoles cryptographiques permettant de résoudre des questions a priori<br />
insolvables: comment prouver la possession d’une information sans jamais la révéler, et sans que la<br />
preuve présentée ne puisse être utilisée pour retrouver cette information, ou encore comment évaluer<br />
une fonction de calcul dont les données d’entrée sont détenues par plusieurs personnes sans que ces<br />
données n’aient à être révélées pour effectuer le calcul, ou ne puissent être déduites des résultats de<br />
celui-ci.<br />
Les schémas dits ‘de preuve à apport nul de connaissance’ offrent une réponse à la première question<br />
permettant ainsi de résoudre de nombreux problèmes pratiques, en particulier dans le domaine de<br />
l’accréditation anonyme, de la protection de la vie privée et de la monnaie digitale. Ils permettent à un<br />
fournisseur de preuve – un individu dont l’identité est enregistrée sur une carte par exemple - de<br />
convaincre un vérificateur – un lecteur de carte – de la validité d’un énoncé – l’identité – sans révéler<br />
d’autre information que la véracité de cet énoncé et sans que le vérificateur ne puisse utiliser à son tour<br />
cette preuve en tant que fournisseur auprès d’un autre vérificateur. Pour ce faire, ces protocoles devront<br />
respecter trois propriétés fondamentales : la consistance (completness) – le vérificateur sera toujours<br />
convaincu à la fin du protocole, celui-ci et le fournisseur étant supposés être honnête, la solidité<br />
(soundness) – un vérificateur honnête ne pourra être convaincu de la véracité d’un énoncé faux présenté<br />
par une fournisseur de preuve malveillant, et enfin le non-apport d’information (zero-knowledgeness) – le<br />
vérificateur n’apprend aucune autre information que la véracité de l’information.<br />
Les schémas dits ‘de calcul multipartites sécurisé’ permettent de résoudre la seconde question en<br />
apportant une réponse à différents besoins, de la mise en place d’un système de vote distribué ou<br />
d’enchères anonymes au partage d’une signature ou d’une clef de chiffrement entre plusieurs parties. La<br />
restriction de ce problème à deux parties autorise la construction de protocoles plus efficaces, et<br />
probablement plus tolérants vis-à-vis des contraintes sur la sécurité des échanges, et la qualité des<br />
intervenants. Plusieurs protocoles ont été proposés offrant une protection contre les attaques externes<br />
passives puis actives. Tous s’appuient sur le concept fondamental en cryptographie moderne de transfert<br />
inconscient ou ‘oblivious transfert’ annoté ‘OT’ – soit en simplifiant, le fait qu’un message transmis puisse<br />
être reçu avec plus ou moins de réussite par le destinataire sans que l’émetteur ne soit informé du succès<br />
de la remise; une forme probabiliste de fonction de transfert à sens unique – One Way Function ou OWF.<br />
Ces mêmes protocoles font appel soit aux propriétés spécifiques de fonctions prédéfinies, soit à des<br />
fonctions combinatoires génériques décrites par leur représentation logique.<br />
Nous n’entrerons pas plus dans le détail des techniques ici mises en œuvre – cryptographie et probabilité<br />
- nos lecteurs intéressés par le sujet se tourneront vers les nombreux articles publiés bien que d’un accès<br />
parfois difficile pour le non spécialiste au regard des concepts manipulés.<br />
Yan Huang, David Evans, Jonathan Katz, et Lior Malka, se sont intéressés à une approche précise,<br />
dite du circuit brouillé ou ‘garbled-circuit’, développée par Yao en 1982 puis améliorée au fil du temps. En<br />
simplifiant à l’extrême, les deux intervenants souhaitant participer à un calcul utilisant une donnée ne<br />
devant pas être révélée à l’autre s’entendent sur une fonction de calcul combinatoire. Celle-ci sera décrite<br />
par le biais d’une équation booléenne, une représentation qui combine les données d’entrée par le biais de<br />
fonctions de base - ET (AND), OU (OR), NON (NOT) – et permet de définir un circuit logique. Le protocole<br />
assigne à chaque intervenant un rôle précis. Le ‘générateur’ prépare une variation du circuit logique de<br />
référence en modifiant le comportement des portes par application d’un algorithme de chiffrement sur<br />
leurs tables de vérité. Le ‘vérificateur’ assure les calculs en utilisant cette variations de la fonction de<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 4<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
référence directement sur sa donnée et par le biais d’un transfert inconscient pour la donnée du<br />
générateur assurant ainsi que celle-ci ne lui sera pas révélée.<br />
Ce schéma pourra être renforcé par l’intégration d’une étape de vérification préalable. Plusieurs variations<br />
de la fonction de référence sont générées et toutes transmises au vérificateur. Celui-ci choisit l’une<br />
d’entres-elles au hasard. Le générateur révèle alors les secrets de construction des autres variations au<br />
vérificateur. Celui-ci peut ainsi s’assurer de l’honnêteté du générateur en régénérant toutes ces variations<br />
à partir de sa copie de la fonction de référence. Le générateur sera alors considéré probablement<br />
honnête, le vérificateur n’ayant pourtant aucune connaissance du secret de construction de la fonction<br />
qu’il utilisera.<br />
Dans la pratique la construction de fonctions brouillées, construction qui fait appel à des opérations de<br />
chiffrement, s’avère être une opération coûteuse en ressource mémoire et impactant fortement les<br />
performances du protocole. Une telle approche peut être mise en œuvre avec des performances encore<br />
acceptables pour des circuits de petit taille sans toutefois pouvoir être étendue à des circuits plus<br />
importants, et donc à des données d’entrée plus grandes.<br />
En 2004, quatre chercheurs ont mis au point un<br />
système dénommé Fairplay permettant d’implémenter<br />
un calcul bipartite sécurisé.<br />
Un langage spécifique, dit SFDL (Secure Function<br />
Definition Language), ressemblant au langage C<br />
permet de spécifier la fonction combinatoire qui sera<br />
utilisée par le protocole. Cette spécification est ensuite<br />
compilée pour obtenir une description booléenne du<br />
circuit implémentant cette fonction, description<br />
effectuée dans un second langage spécifique, dit<br />
SHDL (Secure Hardware Definition Language). Celle-ci<br />
sera à son tour compilée pour générer un objet Java<br />
commun aux deux parties qui implémente le circuit de<br />
référence, et autant d’objets qu’il y a de variations de<br />
ce circuit, objets qui seront utilisés par le générateur<br />
(‘Bob’ sur la figure présentée ci-contre).<br />
Une construction astucieuse dont les performances<br />
seront directement impactées par les matériels utilisés<br />
par chaque partie, les opérations de compilation et de<br />
génération des objets java étant effectuées par<br />
chaque partie, et pour chaque utilisation du protocole.<br />
L’implémentation effectuée en 2004 montre ainsi qu’il<br />
faut entre 1,25s et 4,01s pour finaliser un calcul<br />
bipartite sécurisé sur une fonction de référence simple<br />
– la comparaison sur 32 bits des deux données – les<br />
parties étant connectées sur un réseau local dans le<br />
premier cas, et sur un réseau WAN dans le second.<br />
Les quatre chercheurs des universités de Virginie et du Maryland annoncent avoir mis au point plusieurs<br />
optimisations permettant d’améliorer notablement l’efficacité et les performances du système Fairplay et,<br />
plus largement, des systèmes utilisant la technique du circuit brouillé. Des améliorations qui trouvent leur<br />
origine dans la génération des variations du circuit de référence, dans le stockage en mémoire de la<br />
fonction brouillée mais aussi dans la fourniture de librairies de fonctions logiques optimisées pouvant être<br />
utilisées dans la description de la fonction de référence. Nous ne sommes pas loin des travaux effectués il<br />
y a quelques années maintenant dans le domaine de l’optimisation de la synthèse des descriptions VHDL<br />
et de l’implémentation des circuits résultant sur les circuits logiques reprogrammables et FPGA.<br />
Un démonstrateur écrit en langage Java, et générant des implémentations elles-mêmes décrites dans ce<br />
langage, est disponible sous License ‘MIT Open Source’. Il nécessite la présence de l’environnement<br />
Apache Ant.<br />
Le paquetage contient la description de quatre fonctions de référence: un chiffrement AES 128 bits<br />
utilisant comme clef et comme entrée les données des participants (1.6s de temps de calcul), et trois<br />
mesures de la distance séparant les données fournies par les participants, distance de Hamming (19ms<br />
de temps de calcul et 56Ko de bande passante), distance de Levenshtein (16.38s de temps de calcul et<br />
49Mo de bande passante) et enfin distance de Smith-Waterman (415s de temps de calcul et 1.17Go de<br />
trafic généré sur le réseau).<br />
POUR PLUS D’INFORMATION<br />
http://www.mightbeevil.com/usenix11.pdf<br />
http://www.mightbeevil.com/framework/instructions.html<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 5<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
METHODOLOGIES ET STANDARDS<br />
METHODES<br />
SEI – UNE MODELISATION DU VOL D’INFORMATIONS EN INTERNE<br />
En février dernier, le Software Engineering Institute (SEI) de l’université de Carnegie-Mellon<br />
publiait les résultats d’une étude portant sur le vol d’informations propriétaires - le terme<br />
Intellectual Property ou IP est utilisé - interne aux entreprises et organisations (cf. notre rapport<br />
de mars 2011).<br />
L’équipe du CERT, la structure de gestion des incidents de l’université de Carnegie Mellon intégrée au<br />
SEI, va plus loin dans l’analyse en proposant une modélisation des processus conduisant au passage à<br />
l’acte. Cette modélisation devrait permettre de comprendre la nature réelle de cette classe de menace et<br />
d’intervenir en amont en jouant sur les paramètres qui permettront de réduire effectivement le risque.<br />
Elle s’appuie sur les résultats de différentes études menées par le SEI, résultats qui ont permis de<br />
dégager deux causes de passage à l’acte, et donc deux modèles complémentaires.<br />
Le premier modèle, dit ‘Entitled Independent’, traduit la tendance de tout individu impliqué dans un<br />
projet à considérer avoir un droit sur les résultats. L’apparition d’un motif d’insatisfaction pourra conduire<br />
cet individu à s’approprier des résultats qu’il aura généralement contribués à produire pour prendre son<br />
indépendance et aller chercher satisfaction ailleurs, dans une autre organisation ou en créant sa propre<br />
entreprise. Ce modèle décrit les trois étapes qui seront successivement parcourues par l’individu sans qu’il<br />
n’y ait obligatoirement eu préméditation: l’adhésion initiale au projet, l’apparition d’une insatisfaction et<br />
enfin le passage à l’acte.<br />
Intégration Insatisfaction Vol<br />
Le second modèle, dit ‘Ambitious Leader’, décrit le comportement d’un individu rejoignant un projet, ou<br />
une organisation, dans le seul objectif de tirer un profit personnel des informations, ou des résultats, qu’il<br />
pourra collecter. Un vol prémédité se déroulant en trois étapes.<br />
Préparation Accès Vol<br />
Le sommaire de cette intéressante étude de 39 pages est le suivant:<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 6<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
1 Introduction<br />
2 Related Work<br />
3 Approach<br />
4 The Entitled Independent Model<br />
4.1 Entitlement<br />
4.2 Dissatisfaction Leading to Compromise<br />
4.3 Theft and Deception<br />
4.4 Summary<br />
5 The Ambitious Leader Model<br />
5.1 Insider Planning of Theft<br />
5.2 Increasing Access<br />
5.3 Organization Discovery of Theft<br />
5.4 Insider IP Theft Benefiting a Foreign Entity<br />
5.5 Summary<br />
6 Conclusion<br />
Appendix A: Nature of Insider IP Theft for Business Advantage<br />
Appendix B: Entitled Independent Model for Insider IP Theft<br />
Appendix C: Ambitious Leader Model for Insider IP Theft<br />
Bibliography<br />
POUR PLUS D’INFORMATION<br />
http://www.<strong>cert</strong>.org/archive/pdf/11tn013.pdf<br />
http://www.<strong>cert</strong>.org/archive/pdf/11tn006.pdf<br />
MITRE – CWRAF ‘COMMON WEAKNESS RISK ANALYSIS FRAMEWORK’<br />
En décembre dernier le MITRE annonçait la création du système de mesure ‘Common<br />
Weakness Scoring System’ (CWSS) destiné à qualifier l’impact d’une vulnérabilité logicielle.<br />
Un démarche qui est similaire à celle engagée dans le cadre de la mesure de l’impact d’une vulnérabilité<br />
touchant un système d’information avec le système ‘Common Vulnerability Scoring System’ (CVSS), de la<br />
mesure de l’impact d’une erreur de configuration avec le système ‘Common Configuration Scoring System’<br />
(CCSS) ou encore de l’impact d’une erreur de conception ou de mise en œuvre avec le système ‘Common<br />
Misuse Scoring System’ (CMSS).<br />
Ces quatre approches prennent en compte les différentes facettes d’un problème de sécurité et partagent<br />
les mêmes principes de calcul ou ‘scoring’, la même déclinaison en contexte ou ‘vecteurs’ et la même<br />
notation des résultats. Le tableau synthèse suivant permet de comparer rapidement les contextes, et les<br />
facteurs de mesure associés, définis par chacun de ces systèmes. Nos lecteurs pourront trouver dans les<br />
spécifications les valorisations de chacun des facteurs et les codes associés, ainsi que les coefficients de<br />
pondération et les règles de production applicables.<br />
CWSS CVSS<br />
CCSS CMSS<br />
Vecteur Base Vecteur Base Vecteur Base Vecteur Base<br />
TI Technical Impact AV Access Vector AV Access Vector AV Access Vector<br />
AP Acquired Privilege Au Authentication Au Authentication Au Authentication<br />
AL Acquired Privilege Layer C Confidentiality Impact Ac Access Complexity Ac Access Complexity<br />
IC Internal Control Effectiv. I Integrity Impact C Confidentiality Impact<br />
FC Finding Confidence A Availability Impact I Integrity Impact<br />
A Availability Impact<br />
EM Exploitation Method<br />
Vecteur Surface d’attaque Vecteur Temporel Vecteur Temporel Vecteur Temporel<br />
RP Required Privilege E Exploitability GEL General Exploit Level GEL General Exploit Level<br />
RL Required Privilege Layer RL Remediation Level GRL General Remediation Level GRL General Remediation Level<br />
AV Access Vector<br />
RC Report Confidence<br />
AS Authentication Strength<br />
AI Authentication Instances<br />
IN Level of Interaction<br />
SC Deployment Scope<br />
Vecteur Environnement Vecteur Environnement Vecteur Environnement Vecteur Environnement<br />
BI Business Impact TD Target Distribution LVP Local Vulnerability Prev. LVP Local Vulnerability Prev.<br />
DI Likelihood of Discovery CDP Collateral Dam. Potent. LRL Local Remediation Level LRL Local Remediation Level<br />
EX Likelihood of Exploit CR Confidentiality requirem. PTV Perceived Target Value PTV Perceived Target Value<br />
EC External Control Effect. IR Integrity requirement CDP Collateral Dam. Potent. CDP Collateral Dam. Potent<br />
RE Remediation Effort AR Availability requirement CR Confidentiality requirem. CR Confidentiality requirem.<br />
P Prevalence IR Integrity requirement IR Integrity requirement<br />
AR Availability requirement AR Availability requirement<br />
EC Confidentiality Impact<br />
EI Integrity Impact<br />
EA Availability Impact<br />
Exemple de vecteur Exemple de vecteur Exemple de vecteur Exemple de vecteur<br />
TI:H,0.9/AP:A,1.0/AL:A,1.0/<br />
IC:N,1.0/FC:T,1.0/<br />
AV:L/AC:H/Au:M/C:N/I:P/A:C<br />
AV:A/AC:H/Au:M/C:N/I:P/A:P/PL<br />
:R/EM:A<br />
AV:N/AC:L/Au:S/C:N/I:P/A:P<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 7<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
RP:G,0.9/RL:A,1.0/AV:I,1.0/AS E:H/RL:W/RC:ND GEL:L /GRL:H GEL:H/GRL:ND<br />
:N,1.0/AI:N,1.0/IN:Ltd,0.9/SC:<br />
All,1.0/<br />
BI:C/0.9,DI:H,1.0/EX:H,1.0/ CDP:N/TD:M/CR:H/IR:L/AR:H LVP:H/PTV:M/LRL:L/EC:H/EI:C/E LVP:H/PTV:ND/LRL:H/CDP:N/CR:<br />
EC:N,1.0/RE:L,1.0/P:NA,1.0<br />
A:ND/CDP:ND/CR:M/IR:H/AR:L L/IR:ND/AR:M<br />
Le système CWSS diffère cependant des trois autres systèmes en proposant deux règles de production<br />
alternatives adaptées à la mesure de l’impact d’un ensemble de vulnérabilités (Generalized Scoring) et à<br />
la prise à la combinaison de mesures portant sur des cibles indépendantes (Aggregated Scoring). Il<br />
introduit aussi un concept intéressant permettant de définir des profils types de risque ou ‘Vignettes’<br />
adaptés à différents secteurs d’activités: commerce en ligne, finance, systèmes industriels, réseaux<br />
sociaux ou encore données personnelles pour ne citer que les profils définis par défauts.<br />
En avril 2011, le MITRE a décidé de réorganiser les référentiels liés à la gestion de vulnérabilités<br />
logicielles, à savoir le système de mesure ‘Common Vulnerability Scoring System’ (CVSS) mais aussi le<br />
système de référencement Common Weakness Enumeration (CWE) et de regrouper les définitions,<br />
méthodes et concepts communs dans un document cadre dénommé ‘Common Weakness Risk Analysis<br />
Framework’ (CWRAF). La première version unifiée de cet ensemble documentaire a été mise à disposition<br />
fin Juin, les documents de spécification CWSS et CWRAF se voyant alors attribués un même numéro de<br />
révision.<br />
Ce document cadre est disponible sur le site du MITRE au format HTML. Son sommaire est le suivant:<br />
Framework Overview<br />
Relationships between CWRAF, CWSS, and CWE<br />
Modeling the Environment: Business Domains, Technology Groups, Archetypes, and Vignettes<br />
Technology Groups and Business Domains<br />
Business Domains<br />
Technology Groups and Archetypes<br />
Vignettes<br />
Business Value Context (BVC)<br />
Technical Impact Scorecard<br />
Vignette Examples<br />
Customizing CWRAF<br />
CWSS Scoring in CWRAF<br />
Technical Impact Scorecard: Linking Business Value with Weaknesses<br />
Enumeration of Technical Impacts<br />
Example - Technical Impact Scorecard<br />
Calculating the CWSS Impact Weights using the Scorecard<br />
Technical Impacts for CWE Entries<br />
Example - Variation between Vignettes for Technical Impact Scorecards<br />
Calculating the CWE-specific Technical Impact Subscore<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 8<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
Scoring Weakness Findings using Vignettes<br />
Automatically Building Custom Top-N Lists<br />
Considerations for Future CWRAF Versions<br />
Creating Your own Vignettes<br />
Future Activities<br />
Community Participation in CWRAF<br />
Change Log<br />
Cette publication vient enrichir la liste du corpus de spécifications et de méthodes mis à disposition de la<br />
communauté par le MITRE, le NIST mais aussi le FIRST et l’ICASI.<br />
Systèmes de référencement<br />
CVE Common Vulnerabilities and Exposures V2.0 46866 ref. MITRE<br />
CWE Common Weakness Enumeration V2.0 36 ref. MITRE<br />
CPE Common Platform Enumeration V2.2 31365 ref. NIST IR7697/IR7696/IR7695<br />
CME Common Malware Enumeration V0.03 39 ref. MITRE<br />
CCE Common Configuration Enumeration V0.1 10316 ref. MITRE<br />
CAPEC Common Attack Pattern Enum. & Classification V1.6 460 ref. MITRE<br />
Systèmes de mesure<br />
CVSS Common Vulnerability Scoring System V2.0 FIRST<br />
CCSS Common Configuration Scoring System - NIST IR7502<br />
CMSS Common Misuse Scoring System - NIST IR7517<br />
CWSS Common Weakness Scoring System V0.8 MITRE<br />
Systèmes de description<br />
CEE Common Event Expression - MITRE<br />
ARF Asset Reporting Format V1.1 NIST IR7694/IR7693<br />
CVRF Common Vulnerability Reporting Framework V1.0 ICASI<br />
CWARF Common Weakness Risk Analysis Framework V0.8 MITRE<br />
Langages<br />
OVAL Open Vulnerability and Assessment Language V5.1 NIST IR7669<br />
OCIL Open Checklist Interactive Language V2.0 NIST IR7692<br />
OCRL Open Checklist Reporting Language - NIST<br />
MAEC Malware Attribute Enum. & Characterization V1.1 MITRE<br />
XCCDF eXtensible Configuration Checklist Description Format NIST IR7275<br />
Protocoles<br />
SCAP Security Content Automation Protocol V1.2 NIST IR7511<br />
TLD Traffic Light Protocol - CNPI<br />
POUR PLUS D’INFORMATION<br />
http://cwe.mitre.org/cwraf/<br />
http://cwe.mitre.org/cwss/<br />
- CWRAF<br />
- CWSS<br />
RECOMMANDATIONS<br />
NIST - SP800-82 ‘GUIDE TO INDUSTRIAL CONTROL SYSTEMS (ICS) SECURITY’<br />
Le NIST vient de publier la version finale du guide SP800-32 traitant de la sécurité des<br />
systèmes de contrôle industriels. Une première version de ce guide avait été publiée pour<br />
commentaires en septembre 2006 sous le titre ‘Guide to SCADA and Industrial Control Systems<br />
Security’ (Rapport N°99 – Octobre 2006). Deux ans plus tard, une version quasi-finalisée était diffusée<br />
avec pour principal changement la suppression du terme ‘SCADA’ du titre, celui-ci désignant in-fine un<br />
constituant parmi d’autres. Ces constituants sont d’ailleurs énumérés dans le sous-titre du document:<br />
Supervisory Control and Data Acquisition (SCADA) systems, Distributed Control Systems (DCS), and<br />
other control system configurations such as Programmable Logic Controllers (PLC). La version définitive<br />
n’aura guère vu de modifications hors la réorganisation du chapitre 6.1. Un très court paragraphe a été<br />
ajouté à ce chapitre, qui traite de la gestion du risque et de la gestion de la sécurité de l’information, pour<br />
souligner l’importance des contrôles liés à la gestion de projet.<br />
Rappelons que ce guide de 155 pages a pour objectif d’établir les exigences de sécurité et les principes<br />
d’organisation permettant de concevoir et d’opérer des systèmes de gestion industrielle sûrs et résilients.<br />
Le NIST s’appuie pour cela sur le concept de ‘défense en profondeur’ qui, bien que remis en cause par<br />
<strong>cert</strong>ains experts pour les architectures des systèmes d’information, n’en répond pas moins parfaitement<br />
au besoin des systèmes industriels, par essence fermés et spécialisés. Les principes développés dans ce<br />
guide ont ainsi pour objet de restreindre l’accès aux constituants et aux fonctionnalités du système de<br />
gestion et de contrôle, couche par couche, fonction par fonction, mais aussi de protéger chaque<br />
composant contre des atteintes ciblées, le tout en respectant les exigences propres à ces systèmes:<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 9<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
déterminisme, sureté de fonctionnement, modes dégradés…<br />
Il est à noter que le NIST met ici tout particulièrement l’accent sur l’importance de la définition d’un<br />
programme de sécurisation et sur la nécessité d’en planifier soigneusement chacune des étapes. Il est<br />
alors possible d’aborder les problématiques purement techniques et de définir le modèle d’architecture le<br />
plus adapté au contexte.<br />
Il s’agira aussi de mettre en place les procédures permettant de s’assurer du respect des principes, et de<br />
la qualité du système de sécurité. S’agissant des systèmes d’information fédéraux américains, ces<br />
procédures, et les contrôles associés, sont décrits dans la révision 3 du guide de référence SP800-53<br />
‘Recommended Security Controls for Federal Information Systems and Organizations’ (Rapport N°131 –<br />
Juin 2009), et en particulier dans le catalogue des contrôles de base détaillé dans son annexe F, et dans<br />
la liste des aménagements spécifiques aux systèmes de gestion industriels décrits en annexe I.<br />
On notera à ce sujet que le NIST annonce la mise à disposition en décembre prochain de la révision 4 du<br />
guide SP800-53. Cette révision définira de nouveaux contrôles, en particulier pour ce qui concerne les<br />
systèmes industriels.<br />
Les distinctions existantes entre les différentes formes de systèmes de gestion industrielle, notamment<br />
entre ‘SCADA’ – gestion fortement décentralisée d’un réseau d’énergie par exemple, et DCS – système<br />
industriel localisé, sont très clairement expliquées au chapitre 2 du guide SP800-82, distinctions <strong>cert</strong>es<br />
subtiles pour le béotien mais qui auront pourtant un fort impact sur les mesures de sécurité qui devront<br />
être prises. Des mesures qu’il s’agira de sélectionner avec discernement, les contraintes de<br />
fonctionnement tout comme les menaces n’ayant rien à voir avec celles des systèmes d’information<br />
traditionnels. Autant de spécificités qui sont parfaitement décrites au chapitre suivant. Le chapitre 5 traite<br />
en détail des bonnes pratiques en matière de conception et d’architecture. Le dernier chapitre propose<br />
une relecture des contrôles de sécurité pour chacune des cinq catégories spécifiées par le guide SP800-53<br />
à la lumière des exigences propres aux systèmes de gestion industriels.<br />
L’annexe C s’avère être une mine d’or pour qui désire se tenir informé de l’évolution des activités de<br />
recherche et de standardisation menées dans le domaine. Sont ainsi listés les projets, les normes et<br />
documents publiés par plus de 15 associations et organisations dont l’IEEE, l’IEC, l’ISA, l’ISO, le NIST ou<br />
encore le NERC.<br />
La table des matières du guide SP800-82 - 155 pages - est la suivante<br />
1. Introduction<br />
2. Overview of Industrial Control Systems<br />
2.1 Overview of SCADA, DCS, and PLCs<br />
2.2 ICS Operation<br />
2.3 Key ICS Components<br />
2.4 SCADA Systems<br />
2.5 Distributed Control Systems<br />
2.6 Programmable Logic Controllers<br />
2.7 Industrial Sectors and Their Interdependencies<br />
3. ICS Characteristics, Threats and Vulnerabilities<br />
3.1 Comparing ICS and IT Systems<br />
3.2 Threats<br />
3.3 Potential ICS Vulnerabilities<br />
3.4 Risk Factors<br />
3.5 Possible Incident Scenarios<br />
3.6 Sources of Incidents<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 10<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
3.7 Documented Incidents<br />
4. ICS Security Program Development and Deployment<br />
4.1 Business Case for Security<br />
4.2 Developing a Comprehensive Security Program<br />
5. Network Architecture<br />
5.1 Firewalls<br />
5.2 Logically Separated Control Network<br />
5.3 Network Segregation<br />
5.4 Recommended Defense-in-Depth Architecture<br />
5.5 General Firewall Policies for ICS<br />
5.6 Recommended Firewall Rules for Specific Services<br />
5.7 Network Address Translation (NAT)<br />
5.8 Specific ICS Firewall Issues<br />
5.9 Single Points of Failure<br />
5.10 Redundancy and Fault Tolerance<br />
5.11 Preventing Man-in-the-Middle Attacks<br />
6. ICS Security Controls<br />
6.1 Management Controls<br />
6.2 Operational Controls<br />
6.3 Technical Controls<br />
Appendix A - Acronyms and Abbreviations<br />
Appendix B - Glossary of Terms<br />
Appendix C - Current Activities in Industrial Control System Security<br />
Appendix D - Emerging Security Capabilities<br />
Appendix E - Industrial Control Systems in the FISMA Paradigm<br />
Appendix F - References<br />
POUR PLUS D’INFORMATION<br />
http://csrc.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf<br />
NIST - IR-7697 ‘CPE DICTIONARY SPECIFICATION’ ET IR-7698 ‘CPE APPLICABILITY LANGUAGE SPECIFICATION’<br />
Le NIST vient de publier pour commentaire deux guides venant compléter la spécification<br />
de la nouvelle version, voulue modulaire, du système de référencement des constituants<br />
d’un système d’information, système dit ‘Common Platform Enumeration’ ou CPE.<br />
Deux premiers guides ont été diffusés le mois dernier. Le premier, référencé IR-7695, spécifie un modèle<br />
logique dénommé ‘Well Formed CPE Name’, ou WFN en abrégé, permettant de décrire des ensembles,<br />
ou classes, de constituants par leurs caractéristiques communes. Le second, référencé IR-7696, détaille<br />
l’algorithme qui devra être appliqué pour déterminer la relation existant entre deux descriptions WFN:<br />
identité parfaite ou partielle, appartenance à un sous-ensemble ou un sur-ensemble.<br />
Il restait à spécifier un système d’organisation permettant de gérer efficacement ces descriptions WFN<br />
qu’il s’agisse d’inscrire, de modifier, de détruire, de rechercher ou d’accéder à une description. Le<br />
document IR-7697 ‘CPE Dictionnary Specification’ décrit le modèle de données, et les opérations de<br />
gestion associées, permettant de regrouper les descriptions WFN en un ensemble standardisé, dit<br />
‘Dictionnaire CPE’. Celui-ci sera constitué en pratique d’un dictionnaire officiel, ou ‘Official CPE<br />
Dictionnary’, éventuellement complété d’une ou plusieurs extensions ou ‘Extended CPE Dictionnaries’.<br />
La table des matières du document de spécification IR7697 (39 pages) est la suivante:<br />
1. Introduction<br />
2. Definitions and Abbreviations<br />
3. Relationship to Existing Specifications and Standards<br />
3.1 Other CPE Version 2.3 Specifications<br />
3.2 CPE Version 2.2<br />
4. Conformance<br />
4.1 Dictionary Use Conformance<br />
4.2 Dictionary Creation and Maintenance Conformance<br />
5. CPE Dictionary Data Model<br />
5.1 The cpe-list Element<br />
5.2 The generator Element<br />
5.3 The cpe-item Element<br />
5.4 The cpe23-item Element<br />
5.5 The provenance-record Element<br />
5.6 The deprecation Element<br />
5.7 Extension Points<br />
6. Dictionary Creation and Maintenance<br />
6.1 Acceptance Criteria<br />
6.2 CPE Dictionary Deprecation Process<br />
6.3 CPE Dictionary Provenance Data<br />
6.4 CPE Dictionary Management Documents<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 11<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
7. Dictionary Use<br />
7.1 Identifier Lookup<br />
7.2 Dictionary Searching<br />
7.3 Use of Deprecated Identifier Names<br />
8. CPE Dictionary Operations and Pseudocode<br />
8.1 Operations on a CPE Dictionary<br />
8.2 Acceptance Criteria Pseudocode<br />
8.3 Dictionary Use Pseudocode<br />
Appendix A— References<br />
Appendix B— Change Log<br />
Nous nous inquiétions dans notre analyse des deux premiers guides de ne pas retrouver la possibilité qui<br />
était offerte dans les versions précédentes du système CPE de pouvoir assembler des descriptions WFN<br />
de constituants élémentaires de nature différente - matériel, système ou application - pour désigner un<br />
constituant complexe.<br />
De fait, et dans la logique d’une modularité<br />
accrue, ce mécanisme fait désormais l’objet d’un<br />
document de spécification dédié. Le document<br />
IR7698 formalise ainsi un langage d’assemblage<br />
qui permettra de définir, à l’aide de connecteurs<br />
logiques, une quelconque combinaison de<br />
descriptions WFN. L’exemple ci-contre, extrait de<br />
la spécification, permet de décrire un composant<br />
complexe constitué de l’application Internet<br />
Explorer, en version 7 ou 8, hébergée sur un<br />
système Windows XP.<br />
La table des matières du document de spécification IR7698 (25 pages) est la suivante:<br />
1. Introduction<br />
2. Definitions and Abbreviations<br />
3. Relationship to existing Specifications and Standards<br />
3.1 Other CPE Version 2.3 Specifications<br />
3.2 CPE Version 2.2<br />
4. Conformance<br />
4.1 Product Conformance<br />
4.2 Organization Conformance<br />
5. Data Model Overview<br />
5.1 The Platform-Specification Element<br />
5.2 The Platform Element<br />
5.3 The Logical-Test Element<br />
5.4 The Check-Fact-Ref Element<br />
6. Content Design Requirements and Recommendations<br />
6.1 CPE Applicability Language Document Contents<br />
6.2 The Platform Element<br />
6.3 The Logical-Test Element<br />
6.4 The Fact-Ref Element<br />
6.5 The Check-Fact-Ref Element<br />
7. Processing Requirements and Recommendations<br />
7.1 CPE Bound Name Conversions<br />
7.2 Graceful Error Handling<br />
7.3 Evaluating Elements<br />
8. CPE Applicability Language Pseudocode<br />
8.1 Core Function<br />
8.2 Support Functions<br />
POUR PLUS D’INFORMATION<br />
http://csrc.nist.gov/publications/drafts/nistir-7697/2nd-draft-NISTIR-7697-CPE-Dictionary.pdf<br />
http://csrc.nist.gov/publications/drafts/ir7698/Draft-NISTIR-7698-CPE-Language.pdf<br />
ANSSI - CERTIFICATIONS CSPN DE GNUPG ET WINPT<br />
L’ANSSI vient d’annoncer la <strong>cert</strong>ification CSPN de deux produits phares dans le domaine des<br />
outils de signatures et chiffrement Open Source, à savoir le logiciel ‘GnuPG’, et son interface<br />
graphique Windows ‘WinPT’ T dont le développement a hélas été arrêté fin 2009 !<br />
Cette <strong>cert</strong>ification n’en reste pas moins une excellente nouvelle qui ne devra cependant pas<br />
masquer le principal défaut de ce système de <strong>cert</strong>ification: l’absence d’un suivi systématique des<br />
évolutions des versions <strong>cert</strong>ifiées, en particulier s’agissant de produits Open Source indispensable. Il en<br />
va ainsi du remarquable logiciel de chiffrement TrueCrypt <strong>cert</strong>ifié en 2008 sur la base de la version 6.0a<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 12<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
désormais obsolète et actuellement remplacé par la version 7.0a.<br />
Rappelons que la procédure dite de ‘Certification de Sécurité de Premier Niveau’, ou CSPN, permet<br />
d’obtenir un label au terme d’une expertise moins formelle que celle des Critères Communs, ou CC, et<br />
dont la charge est limitée à 25 homme.jour<br />
La présentation de la CSPN précise ainsi que les travaux d’évaluation ont pour objectifs:<br />
- de vérifier que le produit est conforme à ses spécifications de sécurité,<br />
- de coter les mécanismes de façon théorique, de recenser les vulnérabilités connues de produits de sa catégorie,<br />
- de soumettre le produit à des tests visant à contourner ses fonctions de sécurité.<br />
Dix-sept produits sont donc désormais <strong>cert</strong>ifiés CSPN dont <strong>cert</strong>ains, nous l’avons dit, sont obsolètes.<br />
Produit Cat Date Commanditaire CESTI Vers. actuelle<br />
GnuPG v1.4.10b et WinPT v1.4.3 8 09/05/11 Ministère Budget AQL 1.4.11 / 1.4.3<br />
Coffre-fort de jeux en ligne V2.0<br />
9 31/03/11 Cecurity.com OPPIDA NA<br />
ATOS Worldline eGambling SB V1.0 9 05/05/11 Atos Wordline OPPIDA NA<br />
Keypass V2.10 portable 9 19/01/11 ANSSI THALES V2.14<br />
Coffre-fort électronique D3S V4.4 9 17/11/10 ARJEL OPPIDA V4.4<br />
ModSecurity V2.5.12 3 20/12/10 ANSSI SOGETI IS V2.6<br />
Middleware IAS-ECC V2.0 pour Linux 6 20/12/10 Dictao/Gemalto SOGETI IS NA<br />
DESIIR V1.0<br />
3 12/04/10 EDF R&D AQL NA<br />
Middleware IAS-ECC V2.0.12 pour Wind. 6 07/05/10 Dictao/Gemalto SOGETI IS V2.0.17<br />
Logiciel UCOPIA pour boîtiers UCOPIA 6 22/02/10 UCOPIA Comm. THALES NA<br />
Bro V1.4 1 21/12/09 LBNL<br />
AMOSSYS V1.4<br />
VSC-TOOAL v1.1 6 15/10/09 Mediscs AQL V1.1<br />
Netfilter Linux v2.6.27 - IPtables v1.4.2 3 31/08/09 SGDN OPPIDA V1.4.10<br />
TrueCrypt V6.0a 9 01/12/08 SGDN SOGETI V7.0a<br />
Blancco Data Cleaner+ V4.8 4 12/11/08 Blancco France AMOSSYS NA<br />
TRANGO Hypervisor V1.5.61 / OMAP 2430 11 11/09/08 Trango Virtual Proc. AQL Acquis VMwAre<br />
Catégories : 1- détection d’intrusions 2- anti-virus, protection malware 3- firewall<br />
4- effacement de données 5- administration, supervision 6- identification, authen, contrôle accès<br />
7- communication sécurisée 8- messagerie sécurisée 9- stockage sécurisé<br />
10- matériel et logiciel embarqué 11- Autre<br />
On notera que le site de l’ANSSI a subi une importante refonte, les liens de la version précédente de la<br />
forme ‘site_rubriqueXX’ ne sont plus valides.<br />
POUR PLUS D’INFORMATION<br />
http://www.ssi.gouv.fr/fr/produits/produits-<strong>cert</strong>ifies-cspn/<strong>cert</strong>ificat_cspn_2011_05.html<br />
http://www.ssi.gouv.fr/fr/produits/produits-<strong>cert</strong>ifies-cspn/<br />
- Catalogue CSPN<br />
STANDARDS<br />
ETSI - SECURISATION DE L’ARCHIVAGE DES DONNEES NUMERIQUES<br />
L’ETSI, l’Institut Européen des Normes de Télécommunications, annonce la publication d’un<br />
standard traitant de la sécurisation de l’archivage des données numériques.<br />
Edité par le comité technique pour la signature électronique et les infrastructures de l’ETSI, le TC ESI, le<br />
standard ‘Information Preservation Systems Security’ comporte deux parties:<br />
- une spécification technique de 68 pages, référencée TS 101 533-1, qui décrit les obligations<br />
applicables à l’implémentation et à la gestion d’un système d’archivage sécurisé de données,<br />
- un rapport technique de 40 pages, référencé TR 101 533-2, qui détaille les principes et lignes<br />
directrices applicables à l’étude et à l’audit d’un système d’archivage sécurisé de données.<br />
Son objectif est de définir un cadre de référence fiable et objectif pour l’implémentation, mais aussi pour<br />
le contrôle, de services d’archivage sécurisés répondant aux exigences de qualité et de sécurité<br />
exprimées par la Directive Européenne 2006/123/EC relative aux services dans le marché Européen<br />
intérieur.<br />
Les Etats membres doivent ainsi au titre de l’article 26 prendre notamment:<br />
Les mesures d'accompagnement pour encourager les prestataires à garantir, à titre volontaire, la<br />
qualité des services, en particulier à travers l'utilisation de l'une des méthodes suivantes<br />
a) la <strong>cert</strong>ification ou l'évaluation de leurs activités par des organismes indépendants ou accrédités;<br />
b) l'élaboration de leur propre charte de qualité ou la participation aux chartes ou labels de qualité<br />
élaborés par des organismes professionnels au niveau communautaire.<br />
Au titre de ces services figurent les services d’archivage des données numériques, ou ‘Information<br />
Preservation Systems’ pour reprendre l’intitulé utilisé. L’ETSI cite le cas de l’utilisation de tels services<br />
dans le cadre de la conservation des documents fiscaux par le contribuable tenu responsable de leur<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 13<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
bonne conservation et de leur intégrité, laquelle pourra être garantie par une signature électronique des<br />
pièces.<br />
La spécification technique TS 101 533-1 reprend dans son annexe A les obligations exprimées par la<br />
norme ISO/IEC 27002 ‘Code de bonnes pratiques pour la gestion de la sécurité de l'information’ pour<br />
ce qui concerne la gestion des services et dans les chapitre 5 et 6 <strong>cert</strong>aines des exigences formulées par<br />
le standard ETSI TS 102 573 ‘Policy requirements for trust service providers signing and/or storing data<br />
for digital accounting’ pour tout ce qui touche à la signature électronique. L’ETSI précise à ce sujet que la<br />
liste ainsi ‘compilée’ n’est ni officielle, ni exhaustive.<br />
Ce standard n’en reste pas moins intéressant car fournissant un intéressant état de l’art – la spécification<br />
technique - doublé d’un guide de bonnes pratiques – le rapport technique. Ce dernier reprend in extenso<br />
la structure du document principal pour annoter chacune des obligations en précisant l’approche qu’il<br />
conviendra de suivre pour vérifier sa bonne application. L’annexe A des deux documents référence les<br />
contrôles et objectifs ISO 27001, en reprenant la numérotation originale de la norme.<br />
Cette approche pour rigoureuse qu’elle soit ne facilite hélas pas la lecture du standard, le lecteur étant<br />
amené à sans cesse passer d’un document à l’autre pour bien appréhender la nature des contrôles<br />
applicables au regard de chaque exigence. Un comble à l’ère de l’édition électronique laquelle devrait<br />
normalement faciliter cette tâche !<br />
Le sommaire commun à ces deux documents est le suivant.<br />
1 Scope<br />
2 References<br />
3 Definitions and abbreviations<br />
4 Overview<br />
4.1 Preservation Service types<br />
4.2 User Community and Applicability<br />
4.3 Conformance requirements<br />
5 Provisions based on TS 102 573<br />
5.1 IPSP Obligations specified in TS 102 573, clause 6<br />
5.1.1 Arrangements to cover liabilities and financial stability<br />
5.1.2 Conformance by sub-contractors<br />
5.1.3 IPSP service provisions in abidance by the applicable legislation<br />
5.1.4 Compliance with the present document provisions<br />
5.1.5 Contractual aspects<br />
5.1.6 Resolution of complaints and disputes<br />
5.1.7 Organisation independence<br />
5.1.8 IPSP Subscriber Obligations<br />
5.1.9 Information for trading partners<br />
5.1.10 Information for auditor/regulatory/tax authorities<br />
6 Objectives and controls in TS 102 573, annex A<br />
6.1 SS.1. Signature<br />
6.1.1 SS.1.1. Class of Electronic Signature<br />
6.1.2 SS.1.2. Certification<br />
6.1.3 SS.1.3. Signature Creation Data<br />
6.1.4 SS.1.4. Certificate subject's Registration<br />
6.1.5 SS.1.5. Certificate Revocation<br />
6.2 SS.2. Maintenance of Signature over storage period<br />
6.3 SS.3. Storage<br />
6.3.1 SS.3.1. Authorized Access<br />
6.3.2 SS.3.2. Authenticity and Integrity<br />
6.3.3 SS.3.3. Document Readability<br />
6.3.4 SS.3.4. Storage media type<br />
6.3.5 SS.3.5. Documents Format<br />
6.3.6 SS.3.6. Requirements on Separation and Confidentiality<br />
6.4 SS.4. Reporting to and Exchanges with Authorities<br />
6.5 SS.5. Conversion of Analog Originals to Digital Formats<br />
Annex A:<br />
ISO/IEC 27001 related Long Term Preservation-specific ISMS control objectives, controls and<br />
implementation guidance<br />
Ces deux documents sont accessibles sur le site de l’ETSI moyennant une identification préalable par<br />
simple enregistrement de l’adresse de messagerie de l’accédant. Celui-ci ne pourra cependant<br />
télécharger plus de trois documents gratuitement.<br />
POUR PLUS D’INFORMATION<br />
http://www.etsi.org/WebSite/NewsandEvents/2011_05_secure_electronic_data_archives.aspx<br />
http://pda.etsi.org/exchangefolder/ts_10153301v010101p.pdf - TS 101 533-1<br />
http://pda.etsi.org/exchangefolder/tr_10153302v010101p.pdf - TR 101 533-2<br />
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:376:0036:01:FR:HTML - EC/2006/123/CE<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 14<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
TABLEAUX DE SYNTHESE<br />
INTERNET<br />
LES DECISIONS DE L’OMPI<br />
L’Organisation Mondiale de la Propriété Intellectuelle, OMPI ou WIPO, est chargée de<br />
l’arbitrage et de la résolution des litiges relatifs aux noms de domaine. Parmi tous les<br />
litiges jugés, nous commentons ceux liés à l’usage de marques connues en France.<br />
Les noms de domaine enregistrés en Iran ne semblent guère faire l’objet de contentieux, du moins si l’on<br />
se réfère aux nombres de litiges traités par l’OMPI: sept litiges en 2010, et à ce jour, un seul litige pour<br />
2011. Celui-ci porte sur le nom de domaine ‘michelin.ir’ qu’un inconscient a souhaité se réserver. Peine<br />
perdue, l’expert en charge du litige DIR2011-0001 ordonne le transfert à la société Michelin.<br />
Le litige D2011-0592 porte sur l’enregistrement de différents noms de domaine reprenant tels quelles, ou<br />
altérées, les marques ‘Parions WEB’ et ‘Parions Sport’ déposées par la Française des Jeux. Les domaines<br />
sont, sans surprise, transférés au plaignant.<br />
Le détenteur du nom de domaine ‘sanofi-aventisshares.info’ objet du litige D2011-0567 ne parle<br />
couramment que l’espagnol, ou le castillan. Il demande à ce que la procédure soit traitée dans l’une de<br />
ces deux langues. L’expert objecte que la langue utilisée pour traiter un litige porté devant l’OMPI est la<br />
langue du contrat finalisant l’enregistrement du nom de domaine, l’anglais pour ce qui concerne ce litige.<br />
La réponse du détenteur rédigée en espagnol est considérée non recevable. Il eut été ici préférable pour<br />
le défendeur de choisir un bureau d’enregistrement proposant un contrat dans sa langue maternelle…<br />
Les noms de domaine ‘affaire-guerlain.fr’ - litige ‘DFR2011-0014’ - ‘dassault-serge.fr’ et ‘dassaultserge.fr’<br />
- litige ‘DFR2011-0013’ – ont été déposés par un particulier qui dit avoir agit ainsi pour permettre aux<br />
Internautes de s’exprimer sur diverses affaires publiques liées aux propos tenus par Messieurs Guerlain et<br />
Serge Dassault. L’expert considère que le défenseur ne justifie pas d’un droit ou d’un intérêt légitime sur<br />
les noms de domaine litigieux et ne peut prétendre agir de bonne foi. Il note par ailleurs qu’aucun<br />
contenu éditorial n’a été développé sur ces sites qui ne donnent aucun détail ou information sur les dites<br />
affaires et ne reproduisent pas plus les prétendus avis des internautes. Les noms de domaine sont<br />
transférés.<br />
Le litige ‘DCO2011-0026’ concerne le nom de domaine ‘champagne.co’. Celui-ci a été acheté avec<br />
d’autres noms de domaine liés à une boisson, ‘brandy.co’ ou ‘gin.co’ par exemple, par un particulier lors<br />
de l’ouverture du TLD ‘.com’. Celui-ci confirme son intention de les revendre en dégageant une marge.<br />
L’acquéreur dit aussi considérer le terme ‘champagne’ comme une simple référence à un vin mousseux.<br />
L’expert tranche en sa faveur en rappelant que l’OMPI n’a pas jugé devoir étendre la protection à des<br />
identifiants ou appellations géographiques. Le terme ‘Champagne’ est une localisation géographique ainsi<br />
qu’une appellation d’origine mais pas une marque.<br />
Le détenteur du nom de domaine ‘hépar.com’ ([xn--hpar-bpa.com]) tente de revendre son domaine à la<br />
société Nestlé détentrice de la marque ‘Hépar’ pour la somme de 6000€ puis de 5000€ et enfin de<br />
2500€. Il tente de justifier la future utilisation de ce domaine pour une étude de la roche ‘hépar’<br />
« presentation of the rock ‘hépar’ and scientific data and history » et pour la vente du médicament<br />
homéopathique «hepar sulfur». Le domaine est bien évidemment transféré et son détenteur ne touchera<br />
pas les 300€ proposés au titre du défraiement des coûts engagés. A trop tirer, on rompt la corde...<br />
* D2011-0514 hermes-birkins.net Hermès International<br />
31/05<br />
* D2011-0527 sncftgv.com SNCF 27/05<br />
* D2011-0555 caisse6epargne.com BCPE 25/05<br />
D2011-0567 sanofi-aventisshares.info Sanofi-Aventis 30/05<br />
D2011-0574 ⌧ sanofigenzyme.com Sanofi-Aventis 08/06<br />
* D2011-0590 seniorsncf.com SNCF 22/05<br />
D2011-0592 parionsport.org<br />
parionssports.info<br />
La Francaise des Jeux 24/05<br />
parionssports.org<br />
parionsweb.biz<br />
parionsweb.org<br />
parionswebs.com<br />
parionswebsite.com<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 15<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
webparions.com<br />
webparions.info<br />
webparions.net<br />
webparions.org<br />
* D2011-0644 feiyue.eu.com Feiyue of Paris 26/05<br />
* D2011-0695 chaussuresfeiyue.net<br />
Feiyue of Paris 07/06<br />
feiyueshoes.net<br />
* D2011-0714 hépar.com [xn--hpar-bpa.com] Nestlé Waters France S.A 13/06<br />
* DIR2011-0001 michelin.ir Michelin 25/05<br />
* DFR2011-0012 guadeloupe-premiere.fr<br />
guadeloupepremiere.fr<br />
martiniquepremiere.fr<br />
DFR2011-0013 dassault-serge.fr<br />
dassaultserge.fr<br />
France Télévisions<br />
TheFlyingMedia<br />
06/06<br />
Groupe Industriel Marcel Dassault 06/06<br />
DFR2011-0014 affaire-guerlain.fr Guerlain SA 09/06<br />
* DFR2011-0017 laboratoireservier.fr Les Laboratoires Servier 15/06<br />
DCO2011-0026 champagne.co Comité Interprof. du vin de Champagne 21/06<br />
DCO2011-0027 schlumberger.co Schlumberger Ltd 02/06<br />
: Transfert du domaine, : maintien du domaine, ⌧: Annulation du domaine *: pas de réponse du détenteur<br />
POUR PLUS D’INFORMATION<br />
http://www.wipo.int/rss/index.xml?col=dnddocs<br />
http://www.wipo.int/freepublications/fr/arbitration/779/wipo_pub_779.pdf<br />
- Dernières décisions<br />
- Procédure de règlement des litiges<br />
CONFERENCES<br />
EICAR 2011<br />
La 20ième édition de la conférence EICAR consacrée aux malwares et aux techniques de<br />
défense s’est tenue du 9 au 10 mai à Krems, Autriche. Les supports des présentations sont<br />
tous accessibles en ligne.<br />
Keynote Talk Averify: An Open-Source Anti-Virus Test Suite<br />
Sogeti<br />
A Single Metric For Evaluating A Security Product<br />
Mcafee Labs<br />
A View Into New Testing Techniques<br />
West Coast Labs<br />
Backdooor.Tdss (Aka Tdl3)<br />
Dr. Web<br />
Benchmarking Program Behaviour For Detecting Malware Infection<br />
Tata Institute<br />
CJ-Unpack: Efficient Runtime Unpacking System<br />
BitDefender<br />
Entropy Based Detection Of Polymorphic Malware<br />
AVG Technologies<br />
In Combat Against Rootkits<br />
ESET<br />
Is There A Future For Crowdsourcing Security?<br />
HCL<br />
Parasitics. The Next Generation<br />
McAfee Labs<br />
Perception, Security, And Worms In The Apple<br />
ESET<br />
Real Performance?<br />
ESET<br />
Security Risk Analysis Using Markov Chain Model<br />
College Of Dunaújváros<br />
Typhoid AdWare<br />
University Of Calgary<br />
POUR PLUS D’INFORMATION<br />
http://www.eicar.org/38-0-Conference-Slides.html<br />
OWASP – APPSEC 2011<br />
L’édition Européenne de la conférence AppSec organisée par l’OWASP s’est déroulée le<br />
9 et 10 juin à Dublin. La plupart des supports de présentation sont disponibles.<br />
Defend<br />
Building Large Scale Detectors for Web-based Malware<br />
EURECOM<br />
How to become Twitter's admin: An introduction to Modern Web Service Attacks<br />
RUB<br />
New standards and upcoming technologies in browser security<br />
IETF<br />
OWASP AppSensor Project<br />
Watson Hall Ltd<br />
OWASP Secure Coding Practices Quick Reference Guide<br />
The Boeing Company<br />
Practical Browser Sandboxing on Windows with Chromium<br />
Verizon Business<br />
Putting the Smart into Smartphones: Security Testing Mobile Applications<br />
Denim Group<br />
Software Security: Is OK Good Enough?<br />
Denim Group Ltd.<br />
Threat modeling of banking malware-based attacks using the P.A.S.T.A. framework VerSprite<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 16<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
Prevent<br />
A buffer overflow Story: From Responsible Disclosure to Closure<br />
A Critical Look at the Classification Schemes for Privacy Risks<br />
An Overview of Threat Modeling<br />
Building a Robust Security Plan<br />
Infosec Stats: Reading between the lines<br />
Integrating security testing into a SDLC: what we learned and have the scars to prove it<br />
PCI DSS v2.0: a new challenge for web application security testing?<br />
Simple Approach to Sepcifying Security Requirements for Online Developments<br />
The missing link: Turning Securable apps into secure installations using SCAP<br />
Wordpress Security<br />
Attack<br />
A Case Study on Enterprise E-mail (in) Security Solutions<br />
An Introduction to the OWASP Zed Attack Proxy<br />
APT in a Nutshell<br />
CTF: Bringing back more than sexy!<br />
Intranet Footprinting: Discovering Resources from outside<br />
Practical Crypto Attacks Against Web Applications<br />
Python Basics for Web App Pentesters<br />
Testing Security Testing: Evaluating Quality of Security Testing<br />
The Buzz about Fuzz: An enhanced approach to finding vulnerabilities<br />
The Dark Side: Measuring and Analyzing Malicious Activity On Twitter<br />
POUR PLUS D’INFORMATION<br />
https://www.owasp.org/index.php/AppSecEU2011<br />
Fortify (HP)<br />
Ohm University<br />
Cigital Inc.<br />
Foundstone<br />
Veracode<br />
IBM<br />
Espion, Ltd.<br />
RITS<br />
MITRE Corp.<br />
Mandalorian Security<br />
Genworth Financial<br />
OWASP<br />
7 Elements Ltd<br />
KTF<br />
IBM<br />
Gotham Dig. Science<br />
InGuardians Inc<br />
Seeker Security<br />
Security Innovation<br />
Barracuda Networks<br />
PASSWORD^11<br />
Les 7 et 8 juin s’est tenue à Bergen, Norvège, l’édition 2011 de la conférence ‘Password’. Il<br />
s’agit d’une conférence gratuite organisée par quelques passionnés et qui traite exclusivement<br />
de la sécurité des mots de passe et des codes confidentiels.<br />
Les résumés des présentations ont été regroupés dans un fichier PDF accessible en ligne. Certaines vidéos<br />
peuvent être chargées au format MP4 via … le réseau BitTorrent.<br />
A Method for Ranking Authentication Products<br />
Kirsi Helkala<br />
Boring password statistics.<br />
Per Thorsheim<br />
Endpoint Security & Mobility<br />
Carsten Maartman-Moe<br />
Evolution of Password Verification Methods in Software<br />
Elcomsoft<br />
Fastwords – Rethinking Passwords to Adapt to Constrained Keyboards<br />
PayPal, Mahidol Univ.<br />
Pico: no more passwords!<br />
Frank Stajano<br />
Rainbow Tables: Hybrids and Subkeyspaces<br />
James Nobis<br />
Yubikey<br />
Simon Josefsson<br />
POUR PLUS D’INFORMATION<br />
http://home.online.no/~putilutt/passwords11/<br />
http://home.online.no/~putilutt/passwords11/Passwords11_abstracts.pdf<br />
PHNEUTRAL 2011<br />
La conférence ‘PhNeutral 0x7db’ (7DB = 2011 en hexadécimal) s’est tenue les 27, 28 et<br />
29 mai à Berlin. Les résumés des présentations effectuées à l’occasion de cette conférence<br />
très technique sont accessibles en ligne.<br />
98% Zero-Day Virus Detection (by natural language training) shirtie<br />
Advances in Win32 ASLR evasion<br />
JF<br />
Airtravel hacking<br />
Hendrik Scholz<br />
Building your own TETRA radio sniffer<br />
Harald Welte<br />
Chip & PIN is definitely broken<br />
Andrea Barisani<br />
Exploit Next Generation ++<br />
Nelson Brito<br />
Exploiting the Hard-Working DWARF: Trojans with no Native Executable Code<br />
J.Oakley, S.Bratus<br />
FreeBSD Kernel Exploitation<br />
argp<br />
How I walked in and destroyed your company<br />
Jayson E.Street<br />
Modern Heap Exploitation using the Low Fragmentation Heap<br />
Chris Valasek<br />
Offensive XSLT<br />
nicob<br />
Printer hacking<br />
Andrei C<br />
SniffJoke<br />
vecna<br />
WLAN router horror stories<br />
ViBi and 5M7X<br />
POUR PLUS D’INFORMATION<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 17<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
T<br />
JUIN 2011<br />
http://www.ph-neutral.org/<br />
SSTIC 2011<br />
L’édition 2011 de la conférence technique SSTIC s’est tenue les 8,9 et 10 juin à Rennes.<br />
Les supports des présentations sont disponibles au chargement.<br />
Architecture DNS sécurisée<br />
Valadon, Perez<br />
Attacking and Fixing PKCS#11 Security Tokens with Tookan<br />
Graham Steel<br />
Attaque d'implémentations cryptographiques par canaux cachés<br />
Philippe Nguyen<br />
Attaques DMA peer-to-peer et contremesures<br />
Duflot & Als<br />
BitLocker<br />
Aurélien Bordes<br />
Faille de sécurité ou défaut de sécurité<br />
Eric Barbry<br />
Memory Eye<br />
Yoann Guillot<br />
Peut-on éteindre l'Internet ?<br />
Stéphane Bortzmeyer<br />
Rainbow Tables probabilistes<br />
Alain SCHNEIDER<br />
RRABBIDS, un système de détection d'intrusion pour les applications Ruby on Rails Totel, Le Henaff<br />
Sécurité du système Android<br />
Nicolas RUFF<br />
Silverlight ou comment surfer à travers .NET<br />
Thomas Caplin<br />
Sticky fingers & KBC Custom Shop<br />
Alexandre Gazet<br />
Système de stockage-en-ligne de photos avec confidentialité des données personnelles Luis Montalvo<br />
Thoughts on Client Systems Security<br />
Joanna Rutkowska<br />
Typologie des attaques contre nos libertés online<br />
Jérémie Zimmermann<br />
Un framework de fuzzing pour cartes à puce: application aux protocoles EMV<br />
Julien Lancia<br />
Usages offensifs de XSLT<br />
Nicolas Gregoire<br />
Virtualisation d'un poste physique depuis le boot<br />
Stephane Duverger<br />
XSSF : démontrer le danger des XSS<br />
Ludovic Courgnaud<br />
POUR PLUS D’INFORMATION<br />
http://www.sstic.org/2011/actes/<br />
WEIS 2011<br />
WEIS2011, le 10 ième atelier de travail sur l’économie de la sécurité de l’information (Workshop<br />
on the Economics of Information Security) s’est tenu les 14 et 15 juin à l’université George<br />
Mason. Cette conférence présente essentiellement le résultat de travaux universitaires. Les<br />
supports des communications sont tous accessibles en ligne.<br />
Attacks<br />
Sex, Lies and Cyber-crime Survey<br />
D.Florencio, C.Herley<br />
The Impact of Immediate Disclosure on Attack Diffusion and Volume<br />
S.Ransbotham, S.Mitra<br />
The Underground Economy of Fake Antivirus Software<br />
B.Stone-Gross & als<br />
Where Do All the Attacks Go?<br />
D.Florencio, C.Herley<br />
Identity<br />
Economic Tussles in Federated Identity Management<br />
S.Landau, T.Moore<br />
Negative Information Looms Longer than Positive Information<br />
L.Brandimarte & Als<br />
Social Networks, Personalized Advertising, and Privacy Controls<br />
Catherine Tucker<br />
The Inconvenient Truth about Web Certificates<br />
N.Vratonjic & als<br />
Resilience<br />
Modeling Internet-Scale Policies for Cleaning up Malware<br />
S.Hofmeyr & als<br />
Resilience of the Internet Interconnection Ecosystem<br />
Hall, Anderson, Clayton<br />
Theory<br />
An Organizational Learning Perspective on Proactive vs. Reactive investment<br />
J. Kwon, E.Johnson<br />
Assessing Home Internet Users' Demand for Security: Will They Pay ISPs?<br />
D.Wood, B.Rowe<br />
Fixed Costs, Investment Rigidities, and Risk Aversion in Information Security<br />
C.Ioannidis & als<br />
Who Should be Responsible for Software Security?<br />
T. August, T.Tunca<br />
Paying for security<br />
Economic Methods and Decision Making by Security Professionals<br />
Simon Shiu & als<br />
Information Targeting and Coordination: An Experimental Study<br />
M.Hashim & als<br />
Security Standardization in the Presence of Unverifiable Control<br />
Chul H. Lee & als<br />
Privacy<br />
Health Disclosure Laws and Health Information Exchanges<br />
Idris Adjerid & als<br />
Real Name Verification Law on the Internet: a Poison or Cure for Privacy?<br />
Daegon Cho<br />
The Privacy Landscape: Product Differentiation on Data Collection<br />
Sören Preibusch<br />
POUR PLUS D’INFORMATION<br />
http://weis2011.econinfosec.org/program.html<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 18<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
NANOG 52<br />
La 52 ième édition des rencontres du NANOG, le North American Network Operator’s<br />
Group, a eu lieu du 12 au 15 juin à Denver. Tous les textes des communications sont<br />
accessibles. Cinq d’entres-elles traitent d’un sujet lié à la sécurité des réseaux.<br />
Plusieurs présentations proposent un retour d’expérience de la journée mondiale de l’IP V6 qui s’est tenue<br />
le 8 juin. On pourra méditer sur l’architecture de démonstration mise en place à l’occasion de ces<br />
rencontres, architecture présentée dans le discours de bienvenue de J.Tindall, Alcatel Lucent.<br />
Welcome to NANOG52<br />
Alcatel Lucent<br />
A DNS(SEC) troubleshooting tutorial<br />
ESNET<br />
CloudNet: Enterprised Ready Virtual Private Clouds<br />
AT&T<br />
Passive DNS: A Tool that is Making a Different to Track Down Badness<br />
ISC<br />
Remediating Conficker Via Automated Customer Notifications<br />
Century Link<br />
The RPKI Workshop Routing Lab 1<br />
Psg, Sigpipe, Isc, Juniper<br />
The RPKI Workshop Routing Lab 2<br />
Psg, Sigpipe, Isc, Juniper<br />
The RPKI & Origin Validation<br />
Psg, Sigpipe, Isc, Juniper<br />
The RPKI Status of Various Development Efforts<br />
Psg, Sigpipe, Isc, Juniper<br />
IPv6 day observations<br />
NTT America<br />
IPv6 Day Recap<br />
Akamai<br />
World IPv6 Day<br />
CISCO<br />
World IPv6 Day<br />
Internet Society<br />
World IPv6 Day Debrief<br />
Yahoo!<br />
World IPv6 Day Update<br />
Comcast<br />
0 to IPv6 in 3 months - A customer's view Georgian College<br />
100 GbE and Beyond Brocade<br />
100GE Peering<br />
AMSix<br />
A Service Provider Case Study<br />
Qwest / Century Link<br />
AMT Multicast<br />
AT&T Labs<br />
AMT Multicast<br />
Octoshape<br />
APAC Submarine Cables and their impact to IP Backbone Design<br />
Pacnet<br />
ARP Traffic Study<br />
Merit Network<br />
Bufferbloat: "Dark" Buffers in the Internet<br />
Alcatel-Lucent Bell Labs<br />
Cell us. Wifi: On the Performance of Metro Area Mobile Connections<br />
5Nines Data<br />
Datacenter Scalability Recent Trends Yahoo !<br />
Dawn of the Terabit Age: Scaling Optical Capacity to Meet Internet Demand<br />
Infinera<br />
Idealized BGPsec: Formally Verifiable BGP<br />
PSG<br />
IPv4 Address Transfers in the ARIN Region<br />
ARIN<br />
Let the Market Drive Deployment: A Strategy for Transitioning to BGP Security Boston University<br />
Measuring Dual Stack Performance<br />
APNIC<br />
Meeting Future Demand for IP Video<br />
Time Warner<br />
Mobile Wireless Evolution<br />
Sprint<br />
Network Capacity Planning<br />
Verizon<br />
OCN Experience to Handle the Internet Growth and the Future<br />
NTT Communications<br />
Promoting and Protecting the Free Flow of Information<br />
US FCC<br />
Research Networks: The “Other” Internet<br />
ESNet<br />
System Changes at ARIN<br />
ARIN<br />
The Carrier Ethernet Exchange<br />
Equinix<br />
Towards Network Reputation -- Analyzing the Makeup of RBLs<br />
Merit Network<br />
Virtual Subnet: A Scalable Data Center Interconnection Solution<br />
Huawei Technologies<br />
What I saw at the Revolution (or) An Abridged History of the Internet<br />
Google<br />
POUR PLUS D’INFORMATION<br />
http://www.nanog.org/meetings/nanog52/agenda.php<br />
TERENA - TNC2011<br />
Organisée par l’association Européenne ‘TERENA’ (Trans-European Research and Education<br />
Networking Association), la conférence TNC2011 (Terena Networking Conference) s’est déroulée<br />
du 15 au 19 mai juin à Prague, République Tchèque.<br />
Plus de 90 communications traitant de divers sujets techniques et sociaux organisés autour de 28 thèmes<br />
auront été présentées. Bien que souvent éloignées du sujet de la sécurité des systèmes d’information, ces<br />
présentations offrent un intéressant panorama des centres d’intérêts et des projets traités dans les pays<br />
membres de la communauté Européenne. Les supports des présentations sont disponibles en ligne.<br />
User interaction & information security<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 19<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
Managing information security while enabling communities<br />
The Provisioning and Deprovisioningn Problem from a Federated Identity Management Perspective<br />
The user perspective on consent for identity federations<br />
Federations, architectures & measurements<br />
A World of Research Resources Just a Click Away -- The Canadian Perspective<br />
Harvesting the benefits of different identity federation architectures<br />
Monitoring and Accounting for AAI using RAPTOR<br />
Total information awareness: hub-and-spoke federation monitoring<br />
Federations & AAI<br />
Social2SAML<br />
The JISC’s Access & Identity Management (AIM) Programme – Supporting Innovation<br />
tiqr: secure and user-friendly authentication using mobile phones<br />
Interfederation, practicalities and principles<br />
Identity Provider Discovery Usability<br />
Scalability of trust and metadata exchange across federations<br />
Trimming your AAI federation fit for eduGAIN… technically<br />
Privacy & Governance<br />
How to satisfy the data protection regulations in federated identity management?<br />
Internet Governance: A View From the RIPE NCC<br />
Privacy, anonymity and other confusing words<br />
NRENs : User communities<br />
Over-stepping boundaries<br />
The impact of communities: Learning from and with NRN Special Interest Groups<br />
The JISC’s Virtual Research Environment (VRE) Programme – Supporting Collaborative Research<br />
NRENs: Roles<br />
Build a FLOSS community from scratch? Ways of building open source projects and pitfalls to avoid.<br />
Campus best practices<br />
Exchanging services between NRENs: Challenges, Initiatives and recent results<br />
Dynamic bandwidth on demand -- end-to-end<br />
Fighting a Culture of 'Bad is Good Enough'<br />
MANTYCHORE: An Open Source system for deploying Networks as a Service.<br />
Motivation, Design, Deployment and Evolution of a Guaranteed Bandwidth Network Service<br />
Dynamic Network Services<br />
Challenges in Topology Exchange for Emerging Network Services<br />
GENUS: Virtualisation Service for GÉANT and European NRENs<br />
Network Service Interface: Concepts and Architecture<br />
High quality multimedia applications<br />
Multi-channel streaming for medical and multimedia industry application<br />
The research on stereoscopic 4K multimedia streaming technologies for future internet<br />
VoIP Anomaly Detection Engine<br />
Multimedia support for communities<br />
CineGrid Amsterdam<br />
EVO (From EVO to SeeVogh)<br />
Use of high speed photonic networks for efective use of very high quality media production<br />
Media distribution<br />
Opencast, the Opencast Community and Opencast Matterhorn<br />
QoS Management for Multimedia Services Based on Session Reconfiguration: A Future Internet Case Study<br />
Videotorium – video sharing for Hungarian research and education<br />
100 G<br />
DFN@100G – A Field Trial of 100G Technologies related to Real World Research Scenarios<br />
Extending a Network's Longevity by 40%<br />
Future networking... in GÉANT: What next?<br />
Future Networking: Challenges and Opportunities<br />
Circuits vs. Packets, 5 Years Later<br />
Ethernet Operation Administration and Maintenance – Opportunities for the NREN community<br />
Is the Internet an unfinished demo? Meet RINA!<br />
IETF<br />
IPv6 transition<br />
Privacy and the IETF<br />
Securing Internet Routing through RPKI Resource Certification<br />
IPv6<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 20<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
How the RIPE NCC promotes IPv6 Deployment<br />
IPv6 - The time has come<br />
IPv6 adoption: a case study<br />
Monitoring<br />
Enhancing E2Emon monitoring with NML topology exchange<br />
Network performance event management based upon the perfSONAR framework<br />
perfSONAR NC - a NETCONF based perfSONAR implementation<br />
RIPE Atlas – a distributed Internet measurement network<br />
Networking with Extra-Regional Partners<br />
Africa Connect<br />
Arab States Research and education Network (ASREN). Where are we now?<br />
Emerging research networks in Albania and Kosovo<br />
ZAMREN, the Zambian NREN<br />
Optical networking<br />
Design and OAM&P aspects of a DWDM system equipped with a 40Gb/s PM-QPSK<br />
Photonic Trends in Future Networks<br />
Time and Frequency Transfer in All-optical Network<br />
Transport networks industry<br />
Advances in Large Scale Photonic Integration for Next Generation Optical Transmission Architectures<br />
Network Evolution Enablers<br />
Next-Generation Ultra-High-Speed DWDM Transport<br />
Mobility support services<br />
Access everywhere<br />
eduCONF Business Case: The quest for the Videoconference Community’s needed services<br />
How to Make Paperless Mobility between Higher Education Institutions possible?<br />
Middleware for advanced users<br />
Easing Access to Grids Using Moonshot<br />
Getting Real about Virtual Collaboration on the GRID – technologies for AAI in non-web e-Infrastructures<br />
Moonshot<br />
Advanced applications<br />
A Universe of Data on Your Desktop<br />
LifeWatch - ICT infrastructure for Biodiversity Research in Europe<br />
Supporting Pan-European advanced applications - GÉANT Project liaison and support<br />
The LOFAR LTA distributed information system for Radio Astronomical data<br />
The NEXPReS project<br />
The Sea Level Station Monitoring Facility: examine the performance and delay of 430 tsunami warning stations<br />
Composable services<br />
Integration of Inter-Domain Reservation Systems with Other Composable Services<br />
Integration perfSONAR with the GEMBus as realization of the Enterprise Service Bus<br />
The GEMBus Architecture and Core Components<br />
Collaboration tools and technology<br />
Domestication: The Next Step in Collaborative Application Design<br />
FileSender: collaborating to make file transfers easy<br />
SURFconext, showcasing a new collaboration paradigm<br />
Clouds and Virtualisation<br />
Scaling up your virtualization infrastructure<br />
StratusLab<br />
The NIIFI Cloud<br />
e-Infrastructure policy issues<br />
Green Datacenter - Policy Issues, Partnerships and Practical Considerations<br />
HEAnet's National Data Storage Infrastructure<br />
The potential role of NRENs in Cloud provision<br />
Virtual Organisations<br />
EGI - Virtual Research Communities: connecting the user to the grid<br />
SMXL: Tailoring Technology to Collaboration<br />
SWITCHtoolbox - Group-based collaboration made easy<br />
Lightning Talks<br />
0day Collaboration<br />
Calculating the Return on Investment of an NREN<br />
Central Asian Research and Education Network (CAREN)<br />
Delivering multicast network services to rural communities<br />
dUMA: comprehensive personal information management<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 21<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
Help Make Complexity Simple!<br />
Instant Page Load (IPL)<br />
IP – what happens now?<br />
Monitoring of Electrical Power Consumption in ICT rooms<br />
Open Source Implementation of IEEE 802.1ag<br />
Some mind-blowing things you can do with Moonshot<br />
SSEDIC - Scoping the Single European Digital Identity Community<br />
TERENA Service Provider proxy<br />
POUR PLUS D’INFORMATION<br />
https://tnc2011.terena.org/core/schedule/list/day/all<br />
USENIX – WEBAPPS’11<br />
Le 2 ième atelier de travail sur le développement des applications WEB – Web Application<br />
Development – organisé par Usenix s’est déroulé les 15 et 16 juin à Portland.<br />
Les papiers publiés seront publiquement disponibles en ligne sous peu.<br />
Server-side Security<br />
GuardRails: A Data-Centric Web Application Security Framework Univ. Virginia<br />
PHP Aspis: Using Partial Taint Tracking to Protect Against Injection Attacks Imperial College London<br />
Secure Data Preservers for Web Services Google, Intel, Yahoo!<br />
Researchers' Workbench<br />
An Experimental, Extensible, Reconfigurable Platform for HTML-based Applications<br />
BenchLab: An Open Testbed for Realistic Benchmarking of Web Applications<br />
Resource Provisioning of Web Applications in Heterogeneous Clouds<br />
Lessons and Experience<br />
Experiences on a Design Approach for Interactive Web Applications<br />
Exploring the Relationship Between Web Application Development Tools & Security<br />
The Effectiveness of Application Permissions<br />
Extending and Protecting the Client<br />
Detecting Malicious Web Links and Identifying Their Attack Types<br />
Integrating Long Polling with an MVC Web Framework<br />
Maverick: Providing Web Applications with Safe and Flexible Access to Local Devices<br />
POUR PLUS D’INFORMATION<br />
http://www.usenix.org/events/webapps11/tech/<br />
UWash., Microsoft<br />
Univ. Massachusetts<br />
Univ. Amsterdam<br />
Univ. Tampere<br />
Univ. Berkeley<br />
Univ. Berkeley<br />
Univ. Korea, Microsoft<br />
Univ. Stanford<br />
UWash.<br />
GUIDES<br />
NIST – ETAT DES GUIDES DE LA SERIE SPECIALE 800<br />
Le NIST vient de publier la version finale du guide SP800-82 ‘Guide to Industrial Control<br />
Systems (ICS) Security’ sur la sécurité des systèmes de contrôle industriels, un guide de<br />
toute première importance.<br />
SP800-147 Basic Input/Output System (BIOS) Protection Guidelines [R] 02/11<br />
SP800-146 Cloud Computing Synopsis and Recommendations [R] 05/11 N<br />
SP800-145 NIST Definition of Cloud Computing [R] 01/11<br />
SP800-144 Guidelines on Security and Privacy in Public Cloud Computing [R] 01/11<br />
SP800-142 Practical Combinatorial Testing [R] 10/10<br />
SP800-137 Information Security Continuous Monitoring for Federal IS and Organizations [R] 12/10<br />
SP800-135 Recommendation for Existing Application-Specific Key Derivation Functions [F] 12/10<br />
SP800-132 Recommendation for Password-Based Key Derivation - Part 1: Storage Applications [F] 12/10<br />
SP800-131C Validating the Transition from FIPS 186-2 to FIPS 186-3 [F] 02/11<br />
SP800-131B Validation of Transitioning Cryptographic Algorithm and Key Lengths [F] 02/11<br />
SP800-131A Recommendation for the Transitioning of Cryptographic Algorithms & Key Lenghts [F] 01/11<br />
SP800-130 Framework for Designing Cryptographic Key Management Systems [R] 06/10<br />
SP800-128 Guide for Security Configuration Management of Information Systems [R] 03/10<br />
SP800-127 Guide to Securing WiMAX Wireless Communications [F] 09/10<br />
SP800-126r1 The Technical Specification for SCAP [R] 01/11<br />
SP800-126 The Technical Specification for SCAP [F] 11/09<br />
SP800-125 Guide to Security for Full Virtualization Technologies [R] 07/10<br />
SP800-124 Guidelines on Cell Phone and PDA Security [F] 11/08<br />
SP800-123 Guide to General Server Security [F] 07/08<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 22<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
SP800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information [F] 04/10<br />
SP800-121 Guide to Bluetooth Security [F] 09/08<br />
SP800-120 EAP Methods used in Wireless Network Access Authentication [F] 09/09<br />
SP800-119 Guidelines for the Secure Deployment of IPv6 [F] 12/10 M<br />
SP800-118 Guide to Enterprise Password Management [R] 04/09<br />
SP800-117 Guide to Adopting and Using the Security Content Automation Protocol [F] 07/10<br />
SP800-116 Recommendation for the Use of PIV Credentials in Physical Access Control Systems [F] 11/08<br />
SP800-115 Technical Guide to Information Security Testing [F] 09/08<br />
SP800-114 User’s Guide to Securing External Devices for Telework and Remote Access [F] 11/07<br />
SP800-113 Guide to SSL VPNs [F] 07/08<br />
SP800-111 Guide to Storage Encryption Technologies for End User Devices [R] 11/07<br />
SP800-110 Information System Security Reference Data Model [R] 09/07<br />
SP800-108 Recommendation for Key Derivation Using Pseudorandom Functions [F] 11/08<br />
SP800-107 Recommendation for Using Approved Hash Algorithms [F] 02/09<br />
SP800-106 Randomized Hashing Digital Signatures [F] 02/09<br />
SP800-104 A Scheme for PIV Visual Card Topography [F] 06/07<br />
SP800-103 An Ontology of Identity Credentials, Part I: Background and Formulation [R] 09/06<br />
SP800-102 Recommendation for Digital Signature Timeliness [F] 09/09<br />
SP800-101 Guidelines on Cell Phone Forensics [F] 05/07<br />
SP800-100 Information Security Handbook: A Guide for Managers [F] 03/07<br />
SP800-98 Guidance for Securing Radio Frequency Identification (RFID) Systems [F] 04/07<br />
SP800-97 Guide to IEEE 802.11i: Robust Security Networks [F] 02/07<br />
SP800-96 PIV Card / Reader Interoperability Guidelines [R] 09/06<br />
SP800-95 Guide to Secure Web Services [F] 08/07<br />
SP800-94 Guide to Intrusion Detection and Prevention (IDP) Systems [F] 02/07<br />
SP800-92 Guide to Computer Security Log Management [F] 09/06<br />
SP800-90A Random Number Generation Using Deterministic Random Bit Generators [R] 05/11 M<br />
SP800-90 Random Number Generation Using Deterministic Random Bit Generators [F] 03/07<br />
SP800-89 Recommendation for Obtaining Assurances for Digital Signature Applications [F] 11/06<br />
SP800-88 Guidelines for Media Sanitization [F] 09/06<br />
SP800-87r1 Codes for the Identification of Federal and Federally-Assisted Organizations [F] 04/08<br />
SP800-86 Computer, Network Data Analysis: Forensic Techniques to Incident Response [F] 08/06<br />
SP800-85A2 PIV Card Application and Middleware Interface Test Guidelines [F] 07/10<br />
SP800-85A1 PIV Card Application and Middleware Interface Test Guidelines [F] 03/09<br />
SP800-85B1 PIV Middleware and PIV Card Application Conformance Test Guidelines [R] 09/09<br />
SP800-85B PIV Middleware and PIV Card Application Conformance Test Guidelines [F] 07/06<br />
SP800-84 Guide to Single-Organization IT Exercises [F] 09/06<br />
SP800-83 Guide to Malware Incident Prevention and Handling [F] 11/05<br />
SP800-82 Guide to Industrial Control Systems (ICS) Security [F] 05/11 M<br />
SP800-81r1 Secure Domain Name System (DNS) Deployment Guide [F] 08/10<br />
SP800-80 Guide for Developing Performance Metrics for Information Security [R] 05/06<br />
SP800-79r1 Guidelines for Certification & Accreditation of PIV Card Issuing Organizations [F] 06/08<br />
SP800-78-3 Cryptographic Algorithms and Key Sizes for Personal Identity Verification [F] 12/10<br />
SP800-78-2 Cryptographic Algorithms and Key Sizes for Personal Identity Verification [F] 02/10<br />
SP800-77 Guide to Ipsec VPNs [F] 12/05<br />
SP800-76r2 Biometric Data Specification for Personal Identity Verification [R] 04/11<br />
SP800-76r1 Biometric Data Specification for Personal Identity Verification [F] 01/07<br />
SP800-73r3 Interfaces to Personal Identity Verification [R] 08/09<br />
SP800-73r2 Interfaces to Personal Identity Verification [F] 09/08<br />
SP800-72 Guidelines on PDA Forensics [F] 11/04<br />
SP800-70r2 NCP for IT Products - Guidelines for Checklist Users and Developers [R] 12/10<br />
SP800-70r1 NCP for IT Products - Guidelines for Checklist Users and Developers [F] 09/09<br />
SP800-70 The NIST Security Configuration Checklists Program [F] 05/05<br />
SP800-69 Guidance for Securing Microsoft Windows XP Home Edition [F] 08/06<br />
SP800-68r1 Guidance for Securing Microsoft Windows XP Systems for IT Professionals [F] 07/08<br />
SP800-67 Recommendation for the Triple Data Encryption Algorithm Block Cipher [F] 06/08<br />
SP800-66r1 An Introductory Resource Guide for Implementing the HIPAA Security Rule [F] 10/08<br />
SP800-65r1 Integrating IT Security into the Capital Planning and Investment Control Process [R] 07/09<br />
SP800-65 Integrating IT Security into the Capital Planning and Investment Control Process [F] 01/05<br />
SP800-64r2 Security Considerations in the Information System Development Life Cycle [F] 10/08<br />
SP800-63r1 Electronic Authentication Guidelines [R] 12/08<br />
SP800-61r1 Computer Security Incident Handling Guide [F] 03/08<br />
SP800-60r1 Guide for Mapping Types of Information & IS to Security Categories [F] 08/08<br />
SP800-59 Guideline for Identifying an Information System as a National Security System [F] 08/03<br />
SP800-58 Security Considerations for Voice Over IP Systems [F] 03/05<br />
SP800-57p1r3 Recommendation for Key Management, 1: General Guideline [R] 05/11 M<br />
SP800-57p1 Recommendation for Key Management, 1: General Guideline [F] 03/07<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 23<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
SP800-57p2 Recommendation for Key Management, 2: Best Practices [F] 08/05<br />
SP800-57p3 Recommendation for Key Management, 3: Application-Specific Key Management [D] 10/08<br />
SP800-56A Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography [F] 03/07<br />
SP800-56B Pair-Wise Key Establishment Using Integer Factorization Cryptography [F] 09/09<br />
SP800-56C Recommendation for Key Derivation through Extraction-then-Expansion [R] 10/10<br />
SP800-55r1 Security Metrics Guide for Information Technology Systems [F] 08/08<br />
SP800-54 Border Gateway Protocol Security [F] 07/07<br />
SP800-53r3 Recommended Security Controls for Federal Information Systems [F] 08/09<br />
SP800-53r2 Recommended Security Controls for Federal Information Systems [F] 12/07<br />
SP800-53Ar1 Guide for Assessing the Security Controls in Federal Information Systems [F] 05/10<br />
SP800-53A Guide for Assessing the Security Controls in Federal Information Systems [F] 06/08<br />
SP800-52 Guidelines on the Selection and Use of Transport Layer Security [F] 06/05<br />
SP800-51r1 Guide to Using Vulnerability Naming Schemes [R] 12/10<br />
SP800-51 Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme [F] 09/02<br />
SP800-50 Building an Information Technology Security Awareness & Training Program [F] 03/03<br />
SP800-49 Federal S/MIME V3 Client Profile [F] 11/02<br />
SP800-48r1 Guide to Securing Legacy IEEE 802.11 Wireless Networks [F] 08/08<br />
SP800-47 Security Guide for Interconnecting Information Technology Systems [F] 08/02<br />
SP800-46r1 Guide to Enterprise Telework and Remote Access Security [F] 06/09<br />
SP800-46 Security for Telecommuting and Broadband Communications [F] 08/02<br />
SP800-45V2 Guide On Electronic Mail Security [F] 02/07<br />
SP800-44V2 Guidelines on Securing Public Web Servers [F] 09/07<br />
SP800-43 System Administration Guidance for Windows00 [F] 11/02<br />
SP800-42 Guidelines on Network Security testing [F] 10/03<br />
SP800-41r1 Guidelines on Firewalls and Firewall Policy [F] 09/09<br />
SP800-41 Guidelines on Firewalls and Firewall Policy [F] 01/02<br />
SP800-40-2 Creating a Patch and Vulnerability Management Program [F] 11/05<br />
SP800-39 Integrated Enterprise-Wide Risk Management: Organization, Mission,… [R] 12/10<br />
SP800-38E Recommendation for Block Cipher Modes of Operation – XTS-AES [F] 01/10<br />
SP800-38D Recommendation for Block Cipher Modes of Operation – GCM [F] 11/07<br />
SP800-38C Recommendation for Block Cipher Modes of Operation – CCM [F] 05/04<br />
SP800-38B Recommendation for Block Cipher Modes of Operation – RMAC [F] 05/05<br />
SP800-38Aa Recommendation for Block Cipher Modes of Operation: Ciphertext Stealing for CBC [R] 07/10<br />
SP800-38A Recommendation for Block Cipher Modes of Operation – Method and Techniques [F] 12/01<br />
SP800-37r1 Guidelines for the Security C&A of Federal Information Technology Systems [R] 11/09<br />
SP800-37 Guidelines for the Security C&A of Federal Information Technology Systems [F] 04/04<br />
SP800-36 Guide to IT Security Services [F] 10/03<br />
SP800-35 Guide to Selecting IT Security Products [F] 10/03<br />
SP800-34r1 Contingency Planning Guide for Information Technology Systems [R] 10/09<br />
SP800-34 Contingency Planning Guide for Information Technology Systems [F] 06/02<br />
SP800-33 Underlying Technical Models for Information Technology Security [F] 12/01<br />
SP800-32 Introduction to Public Key Technology and the Federal PKI Infrastructure [F] 02/01<br />
SP800-31 Intrusion Detection Systems [F] 11/01<br />
SP800-30 Risk Management Guide for Information Technology Systems [F] 01/04<br />
SP800-29 Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2 [F] 10/01<br />
SP800-28v2 Guidelines on Active Content and Mobile Code [F] 03/08<br />
SP800-27A Engineering Principles for Information Technology Security – Rev A [F] 06/04<br />
SP800-26r1 Guide for Inform. Security Program Assessments & System Reporting Form [R] 08/05<br />
SP800-26 Security Self-Assessment Guide for Information Technology Systems [F] 11/01<br />
SP800-25 Federal Agency Use of PK Technology for Digital Signatures and Authentication [F] 10/00<br />
SP800-24 Finding Holes in Your PBX Before Someone Else Does [F] 08/00<br />
SP800-23 Guidelines to Federal Organizations on Security Assurance [F] 08/00<br />
SP800-22r1a Statistical Test Suite for Random and Pseudorandom Number Generators [F] 04/10<br />
SP800-21 Guideline for Implementing Cryptography in the Federal Government [F] 12/05<br />
SP800-16r1 Information Security Training Requirements: A Role & Performance Based Model [R] 03/09<br />
SP800-12 An Introduction to Computer Security: The NIST Handbook [F] 10/95<br />
[F] Finalisé<br />
POUR PLUS D’INFORMATION<br />
http://csrc.nist.gov/publications/PubsSPs.html<br />
[R] Relecture<br />
- Catalogue des publications<br />
DISA – GUIDES ET CHECK LISTES DE SECURISATION<br />
La DISA a mis à jour un grand nombre de ses guides de sécurisation: Microsoft Windows<br />
et Exchange, UNIX, zOS, DNS, Wireless, Réseaux…<br />
De nouveaux guides sont publiés qui traitent des environnements Microsoft Office 2010, HP-UX 11,<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 24<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
Windows Mobile 6.5, iPhone et iPad.<br />
[26 Mise(s) à jour, 6Nouveau(x) Document(s)] Guide (STIG) Check Liste<br />
APPLICATIONS<br />
Applications Sécurité et Développement 3.3 26/04/11 3.3 26/04/11 M<br />
Services 1.1 17/01/06 1.1.1 21/09/06<br />
Active Directory Service 2.1 07/06/11 M<br />
Microsoft Exchange 2003 1.4 28/01/11 1.2 05/01/10<br />
ESM 1.1 05/06/06 1.1.3 10/04/07<br />
ERP 1.1 10/04/07 1.1.1 10/04/07<br />
Database Générique 8.1 19/10/07 8.1.6 27/08/10<br />
Oracle 9, 10 et 11 8.1.8 27/08/10<br />
MS SQL Server 7, 2000, 2005 8.1.7 27/08/10<br />
ISA Server 2006 OWA Proxy 1.2 29/06/10<br />
ENVIRONNEMENTS<br />
Access Control 2.3 29/10/10<br />
Directory Service 1.1 10/03/06 1.1.5 28/08/09<br />
Collaboration 1.1 28/03/07 1.1 28/03/07<br />
Desktop Générique 4.1 03/12/10 3.1.11 09/03/07<br />
Windows 4.1 03/12/10<br />
Enclave Périmètre 4.2 31/03/08 4.2 31/03/08<br />
.NET 1.2.3 18/02/09<br />
Personal Computer Clients Voix, Vidéo et Collaboration 1.1 26/06/08 1.1.1 15/08/08<br />
Secure Remote Computing 2.4 28/01/11 2.1 02/10/09<br />
Instant Messaging 1.2 15/02/08 1.2.5 15/04/09<br />
Biométrie 1.3 10/11/05 2.1.1 17/10/07<br />
VoIP Voix sur IP 2.2 21/04/06 2.2.4 12/08/08<br />
VVoIP Voix et Video sur IP 3.2 27/08/10<br />
Vidéo Téléconférence 1.1 08/01/08 1.1.2 06/11/08<br />
PERIPHERIQUES<br />
Sharing peripheral across the network 1.2 27/07/10<br />
- Multi-Function Device (MFD) and Printer Checklist 2.1 28/04/11 1.1.3 09/04/09 M<br />
- Keyboard, Video, and Mouse (KVM) Switch Checklist 2.1 28/04/11 1.1.3 19/12/08 M<br />
- Storage Area Network (SAN) Checklist 2.1 28/04/11 1.1.4 26/06/09 M<br />
- Universal Serial Bus (USB) Checklist 1.1.3 19/12/08<br />
Removable Storage and External Connection Technologies 1.2 28/01/11<br />
RESEAUX<br />
Network Policy 8.6 27/04/11 M<br />
L2 Switch 8.6 27/04/11 M<br />
Infrastucture router L3 switch 8.6 27/04/11 M<br />
Perimeter router L3 switch 8.6 27/04/11 M<br />
IDS/IPS 8.6 27/04/11 M<br />
Firewall 8.6 27/04/11 M<br />
Other devices 8.6 27/04/11 M<br />
Mobile Liste de contôle générique 6.4 28/01/11<br />
Blackberry Guidance for BES 1.3 28/01/11<br />
BlackBerry 1.4 26/04/11 M<br />
Apriva 5.2.2 15/04/09<br />
Motorola 5.2.3 15/04/09<br />
Good 6.3 23/04/10<br />
Windows 5.2.4 15/04/09<br />
Windows Mobile 6.5 1.1 28/04/11 N<br />
Apple iPhone / iPad 1.03 08/06/11 N<br />
Wireless LAN Security Framework 2.1 31/10/05<br />
LAN Site Survey 1.1 31/10/05<br />
LAN Secure Remote Access 1.1 31/10/05<br />
Mobile Computing 1.1 31/10/05<br />
SERVICES<br />
DNS Générique 4.1 17/10/07 4.1.12 26/04/11 M<br />
Web Servers Générique 7.1 12/09/10<br />
IIS 6.1.12 23/04/10<br />
Netscape/Sun 6.1.6 26/06/09<br />
Apache 6.1.12 23/04/10<br />
TomCAT 6.1.5 14/04/09<br />
WebLogic 6.1.4 14/04/09<br />
SYSTEMES<br />
IBM HMC (Hardware Mngt Cons.) 1.1 08/11/10<br />
VM 2.2 04/03/05 2.2.1 04/06<br />
OS/390 & z/OS Générique 6.1.1 06/08/09 5.2.7 17/01/08<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 25<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
Logical Partition 2.2 04/03/05 2.1.4 04/06<br />
RACF 6.7 29/04/11 M<br />
ACF2 6.6 28/01/11<br />
TSS 6.7 29/04/11 M<br />
HP HP-UX 11.29 / 11.31 1.1 13/06/11 N<br />
LINUX RedHat 1.0 11/05/11 N<br />
MacOS/X 1.1 15/06/04 1.1.3 28/04/06<br />
TANDEM 2.2 04/03/05 2.1.2 17/04/06<br />
UNISYS 7.2 28/08/06 7.2 24/11/06<br />
UNIX 5.1 04/04/06 5.1.29 28/04/11 M<br />
SUN Solaris 2.6 à 2.9 - 20/01/04<br />
RAY 4 1.1.1 17/04/09 1.1.1 17/04/09<br />
OPEN VMS 2.2.3 17/04/06<br />
WINDOWS NT 3.1 26/12/02 4.1.21 28/07/08<br />
2000 6.1.19 27/08/10<br />
XP 6.1.21 28/04/11 M<br />
Vista 6.1.21 28/04/11 M<br />
2003 6.1.21 28/04/11 M<br />
2008 6.1.21 28/04/11 M<br />
7 1.4 28/01/11 M<br />
Addendum 2000/XP/Vista/2003 6.1 21/05/07<br />
VMWare ESX 1.1.0 28/04/08 1.4.0 15/10/09<br />
Citrix XENApp 1.1.2 15/10/09 1.1.2 15/10/09<br />
AUTRES<br />
AntiVirus Security Guidance Générique 4.1 03/12/09<br />
McAfee 4.4 27/04/11 M<br />
Symantec 4.1 03/12/09<br />
Apache Guidance 2.0 et 2.2 draft 26/04/11 N<br />
Best Practice Security Générique 2.1 29/01/07<br />
Browser Security Guidance IE6 4.3 28/01/11<br />
IE7 4.4 27/04/11 M<br />
IE8 1.5 27/04/11 M<br />
Firefox 4.2 23/04/10<br />
Cloud Computing Guidance 1.0.2 01/07/10<br />
Medical Devices 1.1 27/07/10<br />
Office Security Guidance Microsoft Office 2003 4.1 03/12/09<br />
Microsoft Office 2007 4.4 27/04/11 M<br />
Microsoft Office 2010 1.1 10/06/11 N<br />
POUR PLUS D’INFORMATION<br />
http://iase.disa.mil/stigs/checklist/index.html<br />
http://measurablesecurity.mitre.org/about/index.html<br />
MAGAZINES<br />
HNS - (IN)SECURE MAG N°30<br />
Le 30 ième numéro du magazine ‘(In)Secure’ – 13 articles, 72 pages et 9 Mo – est paru mijuin.<br />
En voici le sommaire:<br />
Security World<br />
Microsoft's Exploit Mitigation Experience Toolkit<br />
Transaction monitoring as an issuer fraud risk management technique<br />
Twitter security spotlight<br />
IPv6: Saviour and threat<br />
The hard truth about mobile application security: Separating hype from reality<br />
Events around the world<br />
Don't fear the auditor<br />
Book review: Kingpin<br />
Malware World<br />
Secure mobile platforms: CISOs faced with new strategies<br />
Security needs to be unified, simplified and proactive<br />
Whose computer is it anyway?<br />
Security Software Spotlight<br />
10 golden rules of information security<br />
The token is dead<br />
Security Videos<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 26<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
Book review: IPv6 for Enterprise Networks<br />
Cyber security revisited: Change from the ground up?<br />
POUR PLUS D’INFORMATION<br />
http://www.net-security.org/dl/insecure/INSECURE-Mag-30.pdf<br />
STANDARDS<br />
IETF – LES RFC TRAITANT DIRECTEMENT DE LA SECURITE<br />
Thème Num Date Etat Titre<br />
CRYPTO 6278 06/11 Inf Use of Static-Static Elliptic Curve Diffie-Hellman Key Agreement in Cryptographic Message Syntax<br />
GRE 6245 05/11 Pst Generic Routing Encapsulation (GRE) Key Extension for Mobile IPv4<br />
IBAKE 6267 06/11 Inf MIKEY-IBAKE: Identity-Based Authenticated Key Exchange (IBAKE) Mode of<br />
IKE 6290 06/11 Pst A Quick Crash Detection Method for the Internet Key Exchange Protocol (IKE)<br />
OCSP 6277 06/11 Pst Online Certificate Status Protocol Algorithm Agility<br />
SEND 6273 06/11 Inf The Secure Neighbor Discovery (SEND) Hash Threat Analysis<br />
IETF – LES RFC LIES A LA SECURITE<br />
Thème Num Date Etat Titre<br />
DNS 6168 05/11 Inf Requirements for Management of Name Servers for the DNS<br />
GRID 6272 06/11 Inf Internet Protocols for the Smart Grid<br />
IP 6127 05/11 Inf IPv4 Run-Out and IPv4-IPv6 Co-Existence Scenarios<br />
6235 05/11 Exp IP Flow Anonymization Support<br />
6250 05/11 Inf Evolution of the IP Model<br />
OATH 6287 06/11 Inf OCRA: OATH Challenge-Response Algorithm<br />
IETF – LES NOUVEAUX DRAFTS TRAITANT DE LA SECURITE<br />
Thème Nom du Draft Date Titre<br />
BGP draft-ietf-sidr-bgpsec-threats-00 24/06 Threat Model for BGP Path Security<br />
draft-ietf-sidr-bgpsec-reqs-00<br />
24/06 Security Requirements for BGP Path Validation<br />
DHCP draft-xu-dhc-cadhcp-00 16/06 A authentication method based on <strong>cert</strong>ificate for DHCP<br />
DNS draft-agl-dane-serializechain-00 28/06 Serializing DNS Records with DNSSEC Authentication<br />
GEOPRIV draft-thomson-geopriv-lying-00 28/06 A Privacy-Preserving Policy Transformation for Location<br />
GSS-EAP draft-perez-abfab-eap-gss-preauth-00 14/06 GSS-EAP pre-authentication for Kerberos<br />
HIGHT draft-kisa-hight-00 23/06 The HIGHT Encryption Algorithm<br />
IMAP draft-jia-imap-multiaccount-authentication-00 13/06 IMAP4 Multi-Account Authentication<br />
IPV6 draft-dec-6man-rs-access-harmful-00 20/06 IPv6 Router Solicitation Driven Access Considered Harmful<br />
KARP draft-ietf-karp-routing-tcp-analysis-00 27/06 Analysis of BGP, LDP, PCEP, MSDP Security According to KARP<br />
KERB draft-ietf-krb-wg-clear-text-cred-00 28/06 The Unencrypted Form Of Kerberos 5 KRB-CRED Message<br />
MARF draft-ietf-marf-authfailure-report-00 28/06 Authentication Failure Reporting using the Abuse Report Fmt<br />
draft-ietf-marf-spf-reporting-00<br />
28/06 SPF Authentication Failure Reporting using the Abuse Report Fmt<br />
NFS draft-ietf-nfsv4-rpcsec-gssv3-00 14/06 Remote Procedure Call (RPC) Security Version 3<br />
RTCWEB draft-johnston-rtcweb-media-privacy-00 31/05 RTCWEB Media Privacy<br />
draft-kaufman-rtcweb-security-ui-00<br />
29/06 Client Security User Interface Requirements for RTCWEB<br />
TLS draft-ietf-nea-pt-tls-00 13/06 PT-TLS: A Posture Transport (PT) Protocol Based on TLS<br />
draft-bjhan-tls-seed-00<br />
15/06 Addition of SEED Cipher Suites to Transport Layer Security (TLS)<br />
draft-melnikov-email-tls-<strong>cert</strong>s-00<br />
15/06 TLS Server Identity Check Procedure for Email Related Protocols<br />
IETF – LES MISES A JOUR DE DRAFTS TRAITANT DE LA SECURITE<br />
Thème Nom du Draft Date Titre<br />
CMS draft-gutmann-cms-hmac-enc-05 22/06 Using MAC-authenticated Encryption in the CMS<br />
CORE draft-sarikaya-core-sbootstrapping-02 22/06 Security Bootstrapping of Resource-Constrained Devices<br />
DANE draft-ietf-dane-use-cases-04 29/06 Use Cases for DNS-based Authentication of Named Entities<br />
DHCP draft-ietf-csi-dhcpv6-cga-ps-07 29/05 DHCPv6 and CGA Interaction: Problem Statement<br />
draft-ietf-dhc-secure-dhcpv6-03<br />
16/06 Secure DHCPv6 Using CGAs<br />
DIAMETER draft-ietf-dime-local-keytran-11 17/06 Diameter Attribute-Value Pairs for Cryptographic Key Transport<br />
DNS draft-mekking-dnsop-dnssec-key-timing-bis-01 22/06 DNSSEC Key Timing Considerations Follow-Up<br />
EAP draft-ietf-hokey-rfc5296bis-03 31/05 EAP Extensions for EAP Re-authentication Protocol (ERP)<br />
HTTPS draft-meadors-<strong>cert</strong>ificate-exchange-13 17/06 Specified for use in digital signatures, data encryption or HTTPS<br />
IPSEC draft-seokung-ipsecme-seed-ipsec-modes-01 12/06 Using SEED CTR, CCM, GCM modes with IPsec ESP<br />
draft-zhang-ipsecme-anti-replay-02<br />
27/06 IPsec anti-replay algorithm without bit-shifting<br />
KARP draft-ietf-karp-threats-reqs-03 18/06 Threat Analysis and Requirements<br />
KCIPHER draft-kiyomoto-kcipher2-05 23/06 A Description of KCipher-2 Encryption Algorithm<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 27<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
JUIN 2011<br />
KERB draft-ietf-krb-wg-kdc-model-10 31/05 An information model for Kerberos version 5<br />
KX509 draft-hotz-kx509-03 10/06 KX509 Kerberized Certificate Issuance Protocol<br />
MPLS draft-ietf-mpls-ldp-gtsm-01 11/06 The Generalized TTL Security Mechanism (GTSM) for LDP<br />
draft-zheng-mpls-ldp-hello-crypto-auth-02 28/06 LDP Hello Cryptographic Authentication<br />
NETCONF draft-ietf-netconf-access-control-04 15/06 Network Configuration Protocol Access Control Model<br />
OPENID draft-ietf-kitten-sasl-openid-03 14/06 A SASL & GSS-API Mechanism for OpenID<br />
PCP draft-maglione-pcp-radius-ext-02 23/06 RADIUS Extensions for Port Control Protocol<br />
PKIX draft-ietf-pkix-cmp-transport-protocols-12 16/06 Internet X.509 PKI -- Transport Protocols for CMP<br />
RADIUS draft-ietf-netext-radius-pmip6-03 27/06 RADIUS Support for Proxy Mobile IPv6<br />
ROLL draft-ietf-roll-security-framework-06 15/06 Security Framework for Routing over Low Power & Lossy Networks<br />
RSVP draft-ietf-tsvwg-rsvp-security-groupkeying-10 24/06 Applicability of Keying Methods for RSVP Security<br />
SAML draft-ietf-kitten-sasl-saml-03 15/06 A SASL and GSS-API Mechanism for SAML<br />
SCS draft-secure-cookie-session-protocol-02 25/06 SCS: Secure Cookie Sessions for HTTP<br />
SMIME draft-hernandez-ardieta-smime-eesp-01 19/06 Extended Electronic Signature Policies<br />
SRTP draft-nsri-avt-aria-srtp-02 23/06 The ARIA Algorithm and Its Use with SRTP<br />
SSL draft-mavrogiannopoulos-ssl-version3-06 10/06 The SSL Protocol Version 3.0<br />
TCP draft-ietf-tcpm-rfc1948bis-01 28/06 Defending Against Sequence Number Attacks<br />
TLS draft-nir-tls-eap-12 23/06 Flexible Authentication Framework for the TLS Protocol using EAP<br />
draft-kanno-tls-camellia-03<br />
15/06 Addition of the Camellia Cipher Suites to TLS<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°155 Page 28<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique