standards - cert devoteam
standards - cert devoteam
standards - cert devoteam
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Veille Technologique Sécurité<br />
Rapport Mensuel N°146<br />
SEPTEMBRE 2010<br />
Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et<br />
publiquement accessibles: listes de diffusion, newsgroups, sites Web, ...<br />
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la<br />
précision ou de la qualité de l'information. Les URL associées à <strong>cert</strong>ains thèmes sont validées à la date de la rédaction du<br />
document.<br />
Dans ce numéro:<br />
Stuxnet, quelques faits<br />
Teredo La cryptographie quantique<br />
L’AFNIC et le DNSSEC SmartGrid: les préconisations du NIST<br />
Les prescriptions de la DISA sur les supports de stockage amovibles<br />
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.<br />
CONNECTING BUSINESS & T ECHNOLOGY<br />
CERT-DEVOTEAM Pour tous renseignements:<br />
1, rue GALVANI Offre de veille http://www.<strong>cert</strong>-<strong>devoteam</strong>.com/<br />
91300 Massy Palaiseau Informations vts-info@<strong>cert</strong>-<strong>devoteam</strong>.com<br />
©CERT-DEVOTEAM - Tous droits reserves
Au sommaire de ce rapport…<br />
SEPTEMBRE 2010<br />
ACTUALITES SECURITE<br />
CRYPTOGRAPHIE QUANTIQUE 2<br />
UN RETOUR SUR STUXNET 3<br />
COMMENT LIRE UN BREVET EN 60 SECONDES 5<br />
AFNIC – LES ENJEUX DU DNSSEC 6<br />
ANALYSES ET COMMENTAIRES<br />
MAGAZINES<br />
HNS - (IN)SECURE MAG N°27 8<br />
Payment card security: Risk and control assessments 8<br />
Learning from Bruteforcers 8<br />
MÉTHODOLOGIES ET STANDARDS<br />
MÉTHODES<br />
NIST - IR7628 'SMART GRID CYBER SECURITY STRATEGY AND REQUIREMENTS' 10<br />
NIST - SP800-135 ' RECOMMENDATION FOR EXISTING APPLICATION-SPECIFIC KEY DERIVATION FUNCTIONS’ 14<br />
RECOMMANDATIONS<br />
ANSSI – CATALOGUE DES PRODUITS QUALIFIES – MISE A JOUR 15<br />
APPLE – GUIDE DE SECURISATION MACOS X 10.6 16<br />
DISA – SUPPORTS DE STOCKAGE AMOVIBLES 17<br />
DISA – STIG MEDICAL DEVICES 20<br />
STANDARDS<br />
RFC5991 - TEREDO SECURITY UPDATE 21<br />
TABLEAUX DE SYNTHESE<br />
CONFERENCES<br />
BRUCON 2010 23<br />
IETF – 78TH MEETING 23<br />
GUIDES<br />
CERTA – NOTES ET AVIS 24<br />
NIST – ETAT DES GUIDES DE LA SERIE SPECIALE 800 25<br />
DISA – GUIDES ET CHECK LISTES DE SECURISATION 27<br />
NSA – GUIDES DE SECURITE 28<br />
MAGAZINES<br />
HNS - (IN)SECURE MAG N°27 31<br />
INTERNET<br />
LES DECISIONS DE L’OMPI 31<br />
STANDARDS<br />
IETF – LES RFC TRAITANT DIRECTEMENT DE LA SECURITE 32<br />
IETF – LES RFC LIES A LA SECURITE 32<br />
IETF – LES NOUVEAUX DRAFTS TRAITANT DE LA SECURITE 32<br />
IETF – LES MISES A JOUR DE DRAFTS TRAITANT DE LA SECURITE 33<br />
Veille Technologique Sécurité N°146 Page i<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
Le mot du rédacteur<br />
SEPTEMBRE 2010<br />
Une excellente nouvelle en ce début d’automne plutôt marqué par de nombreux<br />
problèmes de sécurité: les zones gérées par l’AFNIC (‘.fr’, ‘.re’, ‘.yt’ et ‘.tf’) ont été<br />
signées mi-septembre. C’est une première et indispensable étape au déploiement de<br />
DNSSEC à plus large échelle, qui permet de « poser les premières pierres de notre<br />
infrastructure de signature » pour reprendre l’expression de l’AFNIC. Les paramètres<br />
de signatures et les <strong>cert</strong>ificats sont accessibles sur son site.<br />
http://www.afnic.fr/afnic/web/<strong>cert</strong>ificats<br />
Une fin de saison qui aurait pu voir s’effondrer l’Internet à la suite d’une expérience<br />
menée en grandeur réelle sur le protocole de routage BGP par le RIPE-NCC, le<br />
centre de coordination des réseaux européens, et l’université de Duke. Cela n’a pas<br />
été le cas, l’annonce BGP à l’origine du dysfonctionnement d’une grande partie des<br />
routeurs d’interconnexion CISCO ayant été rapidement retirée.<br />
https://labs.ripe.net/Members/erik/ripe-ncc-and-duke-university-bgp-experiment/<br />
On pourra lire à ce sujet, l’excellent article de Stéphane Borztmeyer qui assène<br />
quelques vérités de plus en plus difficiles à entendre dans un monde essentiellement<br />
piloté par l’économie, l’individualisme et la performance à outrance. La tendance est<br />
grande d’oublier le rôle des individus - « l'Internet résiste aux soubresauts non pas<br />
parce que BGP est particulièrement bien conçu mais parce qu'il y a des gens<br />
compétents et dévoués derrière les routeurs » - ou encore de la mondialisation – « la<br />
vulnérabilité fondamentale de l'Internet est qu'il connecte des organisations<br />
différentes et souvent ennemies ». Nous nous opposerons seulement à l’affirmation<br />
que « L'Internet n'est pas et ne doit pas être une infrastructure vitale ». Non pas sur<br />
la prescription, « ne doit pas être », une évidence bien souvent oubliée, mais sur le<br />
constat du présent, « n’est pas ». Internet EST une INFRASTRUCTURE de transport<br />
VITALE depuis quelques temps maintenant, et il nous faut composer avec, ou bien<br />
accepter le retour du MINITEL et de l’infrastructure associée.<br />
http://www.bortzmeyer.org/bgp-attribut-99.html<br />
Nos lecteurs ayant connu cette époque, et celle des premiers processeurs ‘grand<br />
public’, pourront aller admirer une simulation visuelle du fonctionnement du<br />
processeur 6505, lequel équipait l’Apple ][ puis le Commodore 64. Navigateur Firefox,<br />
ou assimilé, et machine performante absolument indispensables…<br />
http://visual6502.org/JSSim/index.html<br />
Enfin, pour terminer et en complément à notre article ‘OpenBTS sur Droid’ publié<br />
dans notre dernier rapport de veille, nous conseillons la lecture du support de la<br />
présentation ‘GSM security: fact and fiction’ proposée par Fabian van den Broek à<br />
l’occasion de l’édition 2010 de la conférence BRUCON.<br />
http://www.feedsite.org/security4all/BruCON_2010_-_GSM_Security_Fact_and_Figures.pdf<br />
BERTRAND VELLE<br />
Veille Technologique Sécurité N°146 Page 1/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
CRYPTOGRAPHIE QUANTIQUE<br />
SEPTEMBRE 2010<br />
ACTUALITES SECURITE<br />
En août 2009, à l’occasion de la conférence ‘Hacking At Random 2009’, cinq chercheurs de<br />
l’université Norvégienne des sciences et technologies – NTNU – et du centre pour les technologies<br />
quantiques de Singapour publiaient un papier intitulé ‘How we eavesdropped 100% of a quantum<br />
key’ qui aurait dû retenir l’attention de tous les médias (Rapport N°134 – Septembre 2009). Il aura fallu<br />
attendre 6 mois et la publication d’un second papier, ‘How You Can Build An Eavesdropper For A<br />
Quantum Cryptosystem’, durant le très médiatique CCC - ‘Chaos Communication Congress’ – pour que<br />
la sensationnelle découverte de ces chercheurs fasse enfin réagir l’ensemble de la communauté (N°138 –<br />
Janvier 2010). Nous concluions à l’époque sur l’importance du choix du contexte de la communication en<br />
précisant que le choix d’une conférence de faible notoriété pour une première annonce a dû rebuter plus<br />
d’un journaliste couvrant l’événement. Autre lieu, autre intitulé, autre audience et autre sensibilisation,<br />
voilà peut-être les facteurs ayant contribué à changer la donne…<br />
Trois jours seulement auront été nécessaires pour que leur dernier papier ‘Hacking commercial<br />
quantum cryptography systems by tailored bright illumination’ publié par la revue ‘Nature<br />
Photonics’ soit repris par toute la presse. Celui-ci ne détaille pourtant que la simple mise en application<br />
de la découverte fondamentale dévoilée, et validée sur un système expérimental, il y a tout juste un an: il<br />
est possible par un remarquable tour de passe-passe, d’acquérir la clef transmise par un système de<br />
cryptographique quantique sans que ceci ne soit détecté de part et d’autre.<br />
Un résultat a priori en totale contradiction avec la théorie, résultat qui trouve son origine dans la difficulté<br />
rencontrée à produire un capteur physique – ici un détecteur de photon – parfait, c.-à-d. à même<br />
d’assurer une traduction fidèle, reproductible mais aussi inaltérable de l’information reçue. Ces chercheurs<br />
ont ainsi mis en évidence un phénomène de saturation des capteurs utilisant des diodes à avalanche<br />
contrôlée, phénomène permettant d’aveugler partiellement le capteur, de lui faire perdre sa capacité de<br />
mesure et de lui faire prendre des vessies pour des lanternes. Nos lecteurs désireux de rentrer dans le<br />
détail de l’attaque pourront se reporter à l’article publié dans notre rapport N°134. Tous les systèmes de<br />
cryptographie quantique utilisant cette technique de détection (à ce jour l’ensemble des produits du<br />
marché) sont ainsi vulnérables, la seule difficulté de l’attaque résidant dans le paramétrage précis, le<br />
dosage devrions nous dire, de l’énergie à transmettre pour saturer le capteur et du quantum d’énergie<br />
supplémentaire requis pour changer l’état détecté. Ce dosage dépendra de nombreux facteurs dont le<br />
schéma du détecteur mais aussi, et surtout, des caractéristiques de la diode de détection utilisée.<br />
Ce que confirment nos chercheurs:<br />
The security loophole we have exposed is intrinsic to a whole class of single-photon detectors, regardless of their<br />
manufacturer and model. However we had to reverse-engineer each system, to see what we are doing and also to<br />
illustrate the principle.<br />
Et qu’ils ont mis en application avec succès en passant de la théorie - sur un système de recherche - à la<br />
pratique - sur deux dispositifs commerciaux (ID Quantique id3110 Clavis2 et MagiQ Technologies QPN<br />
5505), les fabricants ayant été informés bien avant la publication des résultats.<br />
This security vulnerability was responsibly disclosed to both system manufacturers, several months prior to its public<br />
release.<br />
Le papier publié dans Nature présente avec force de détails et d’illustrations - un indéniable avantage de<br />
la publication dans une revue de référence - le procédé d’attaque ainsi que sa mise en œuvre sur les deux<br />
dispositifs commerciaux.<br />
Les paramètres de configuration de l’illuminateur – les puissances requises pour aveugler et altérer l’état<br />
des deux capteurs via un laser – sont fournis facilitant la reproduction de l’attaque. Les auteurs précisent<br />
Veille Technologique Sécurité N°146 Page 2/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
cependant que l’équipement QPN 5505 n’est plus livré, les modèles suivants n’ayant pas été testés, et<br />
que des contre-mesures ont été incorporées dans les équipements livrés par la société ID Quantique. Nos<br />
lecteurs trouveront quelques détails techniques complémentaires sur le site de l’équipe universitaire dont<br />
en particulier diverses photos des détecteurs des équipements testés ainsi que la liste des instruments de<br />
mesure employés pour mener à bien les tests.<br />
En pratique, comme nous le soulignions dans notre tout premier article, pour être mise en œuvre cette<br />
attaque suppose l’insertion d’un dispositif en coupure, et donc une manipulation physique de la fibre<br />
optique transportant le flux photonique laquelle manipulation pourrait être assez aisément détectée.<br />
« In theory, theory and practice are the same but in practice, they're very different »<br />
« En théorie, théorie et pratique sont identiques mais dans la pratique, il y a une grande différence »<br />
Bruce Schneier 2010<br />
POUR PLUS D’INFORMATION<br />
http://www.iet.ntnu.no/groups/optics/qcr/hacking-commercial-quantum-cryptography-2010/<br />
http://www.nature.com/nphoton/journal/vaop/ncurrent/full/nphoton.2010.214.html<br />
https://har2009.org/program/events/168.en.html<br />
http://www.vad1.com/photo/stock/20090705-eavesdropping-experiment-on-nus-campus-map.html<br />
http://www.<strong>cert</strong>-<strong>devoteam</strong>.fr/articles/CERT-DVT-134-0909_Cryptographie_Quantique.pdf<br />
UN RETOUR SUR STUXNET<br />
Découvert en juin dernier, le ver W32.Stuxnet est caractéristique de l’émergence de nouvelles<br />
menaces ciblant explicitement <strong>cert</strong>ains actifs, dans le cas présent, les systèmes de gestion<br />
industriels – SCADA - et en particulier le système développé par la société Siemens.<br />
Ce ver tire avantage de multiples vulnérabilités présentes dans les systèmes Windows dont celle,<br />
désormais célèbre, liée à un problème dans le traitement des fichiers de raccourci (extension .LNK). Pour<br />
mémoire, il est possible de construire un fichier de raccourci spécifique référençant un fichier contenant<br />
un code qui sera chargé, puis exécuté, par toute application – dont l’explorateur de fichiers – cherchant à<br />
afficher à l’écran l’icône associée à ce raccourci. A ce sujet, la série de correctifs publiée par Microsoft ce<br />
mois-ci comporte une mise à jour – MS010-061 – verrouillant un autre des accès utilisés par Stuxnet.<br />
Autre caractéristique remarquable de ce ver, l’installation de deux gestionnaires de périphériques – les<br />
fichiers ‘mrxcls.sys’ et ‘mrxnet.sys’ – authentifiés par la signature du code, celle-ci référençant un<br />
<strong>cert</strong>ificat délivré par Verisign à la société ‘Realtek Semiconductor Corp.’, un fabricant de composants<br />
taïwanais réputé pour ses contrôleurs de réseaux.<br />
La stratégie de réplication utilisée par Stuxnet a fait l’objet d’études très détaillées dont celle publiée par<br />
Symantec quelques temps après la découverte de ce ver. Automatiquement exécuté par le système<br />
Windows durant la routine de détection de présence d’un support infecté, une clef USB ou un nouveau<br />
partage réseau par exemple, Stuxnet engage prioritairement une procédure permettant de dissimuler sa<br />
présence puis installe en mémoire un processus masqué.<br />
Ce processus est le cœur du ver. D’après les analyses disponibles, ce processus assure la réplication du<br />
code d’infection sur les supports amovibles et sur les partages réseaux présents sur le système infecté. Il<br />
gère aussi les communications avec un système de contrôle distant et est capable de télécharger des<br />
mises à jour.<br />
Enfin, et c’est là sa réelle spécificité, il interagit avec les fichiers des applications de gestion et de<br />
supervision des automates programmables industriels (Programmable Logic Controller ou PLC) de la série<br />
Siemens SIMATIC 7. Deux applications HMI (Humain Machine Interface) semblent être plus<br />
particulièrement visées: WINcc et PCS7.<br />
Aucun détail concernant les actions engagées sur ces applications n’est fourni dans les analyses publiées à<br />
ce jour en dehors d’une liste de fichiers annoncés appartenir à l’environnement de gestion des systèmes<br />
SIMATIC Siemens, d’une vague référence à des requêtes sur des ‘DB’ utilisées par les logiciels et de<br />
l’existence d’interactions avec les librairies dynamiques de ces derniers.<br />
Le terme DB ne signifie ici nullement Base de données (Data Base) comme <strong>cert</strong>ains ont pu l’interpréter<br />
mais ‘Data Bloc’. Pour mieux comprendre la suite de notre propos, un bref rappel du fonctionnement d’un<br />
Automate Industriel Programmable ne sera peut être pas inutile.<br />
De nombreux processus industriels peuvent aisément être décrits sous la forme d’automates d’états finis<br />
prenant en entrée divers signaux issus de capteurs physiques – position, angle, vitesse, débit… - et<br />
pilotant en sortie divers actionneurs – témoin de signalisation, pompe, moteur, vanne... – en fonction de<br />
consignes spécifiques à chaque processus – plage de température, niveau de liquide…<br />
Les contraintes liées au milieu – robustesse, sureté de fonctionnement, temps de réponse, déterminisme<br />
de l’exécution, volume réduit et protection contre les agressions externes – conduisent à privilégier<br />
l’utilisation d’équipements spécifiquement conçus au détriment de systèmes informatiques plus<br />
Veille Technologique Sécurité N°146 Page 3/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
classiques, lesquels seront généralement réservés aux fonctions de gestion et de supervision.<br />
Un automate programmable industriel moderne prendra Automate Télémécanique TSX17 des années 90<br />
bien souvent la forme d’un module maître s’installant sur<br />
un rail DIN et d’un ou plusieurs modules spécialisés<br />
assurant le raccordement des capteurs, des actionneurs<br />
mais aussi l’interfaçage vers un bus de communication<br />
et un protocole spécialisé tel ModBus ou ProfiBus pour<br />
ne citer que les protocoles les plus connus.<br />
Ces automates sont généralement dotés d’un langage de<br />
programmation simple, d’une mémoire sauvegardée,<br />
d’une librairie de fonctions élémentaires et d’un protocole<br />
de transfert d’informations basé sur l’échange de<br />
structures de données opaques. Cette approche permet<br />
d’optimiser les performances en éliminant le besoin<br />
d’encoder le type des données échangées, les<br />
applications disposant d’un catalogue des structures<br />
utilisées par les librairies.<br />
Dans le cas des automates Siemens, ces fonctions (FB ou Function Bloc) et structures de données (DB ou<br />
Data Bloc) sont référencées par un identifiant numérique.<br />
Pour en revenir à notre sujet de départ, une étude<br />
détaillée des interactions de StuxNet (version non<br />
précisée) avec un environnement SIMATIC 7 a été<br />
publié mi-septembre. Cette étude offre un nouvel<br />
éclairage sur ce qui n’avait été jusqu’à présent<br />
analysé qu’à travers la vision d’une attaque de<br />
masse.<br />
L’étude publiée par un chercheur travaillant pour<br />
l’IACS Allemand, Ralph Langner, met en lumière<br />
deux interactions qui ne doivent de toute évidence<br />
rien au hasard:<br />
- La première consiste à intercepter les requêtes<br />
de lecture d’un bloc de données spécifique (DB<br />
890) transmis par un automate à destination<br />
d’une application de supervision et à altérer son<br />
contenu lorsque celui-ci contient une séquence<br />
précise, en l’occurrence la chaîne ‘HNDS’.<br />
Une rapide recherche dans le catalogue des structures du système SIMATIC Siemens nous permet<br />
d’identifier ce bloc, lequel est dénommé ‘RC_SEND_FIFO1’ et décrit comme étant le ‘Bloc interne pour<br />
l'émission de télégrammes au serveur RC (maître)’. Le serveur RC - le terme RC signifie ‘Route Control’<br />
- est responsable de la gestion, de la configuration et de la supervision des mécanismes de transport de<br />
matière – lignes de convoyage des matériaux ou de distribution de liquides ou de gaz par exemple –<br />
entre les différentes unités de production supervisées.<br />
The Route Control Server (RC Server) supplies the Route Control Clients (Route Control Center) with the necessary<br />
data and transfers their operations to the automation systems.<br />
Tout laisse donc à penser que le code malveillant déposé par Stuxnet tente de manipuler des trames<br />
de routage contenant une étiquette précise, ici ‘HNDS’. Il pourrait s’agir de la référence d’une ligne de<br />
distribution ou d’approvisionnement d’une unité dans un système de production complexe mais seul<br />
l’auteur du code, ou le concepteur de l’infrastructure cible, pourrait le confirmer.<br />
- La seconde interaction consiste à modifier la configuration d’une routine cyclique avant son chargement<br />
dans l’automate, en l’occurrence, la routine ‘OB 35’ déclenchée toute les 100ms en y insérant une<br />
nouvelle tâche. Positionné en début de routine, cette tâche teste le code retour d’une fonction bien<br />
précise (FC 1874), et quitte le traitement lorsque ce code retour prend une valeur prédéterminée<br />
(DEAFF007). Aucune information n’a hélas pu être trouvée ni sur la signification de ce code, ni sur le<br />
rôle de la fonction 1874.<br />
Même sans disposer de toutes les informations permettant de comprendre le fonctionnement détaillé du<br />
code injecté dans les postes de gestion et de supervision, les données publiées par Ralph Langner<br />
confirment qu’il y a de très fortes chances pour que Stuxnet soit le résultat d’un développement très<br />
spécifique, ‘à façon’ dirions-nous, probablement conduit par une équipe pluridisciplinaire intégrant non<br />
seulement des spécialistes de l’intrusion mais aussi de l’environnement Siemens STEP 7. Stuxnet utilise<br />
ainsi quatre vulnérabilités inconnues à l’époque de sa découverte – vulnérabilités dites ‘0-Days’ – pour se<br />
dupliquer et se propager, un record absolu.<br />
Veille Technologique Sécurité N°146 Page 4/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
Le code analysé par Ralph Langner prouve que l’objectif des concepteurs n’était <strong>cert</strong>ainement pas<br />
d’interrompre instantanément le système de production cible mais plutôt de modifier son fonctionnement<br />
sans que cela ne soit immédiatement détecté, et sans que cela n’impacte les autres systèmes susceptibles<br />
d’avoir été infectés. Une bombe logique, dont on ne sait rien encore des conditions de déclenchement,<br />
comme celle que Thierry Breton envisageait en 1984 dans son remarquable livre Softwar. Ralph<br />
Langner envisage ici que la cible de cette attaque puisse être un centre d’enrichissement d’uranium ou<br />
une centrale nucléaire, la centrale Iranienne de Bushehr est citée dans l’article; une pure spéculation au<br />
regard de l’information publiquement disponible.<br />
Le choix du vecteur premier de compromission – une clef USB, un fichier de raccourci judicieusement<br />
construit et quelques fichiers exécutables dont <strong>cert</strong>ains ayant toutes les caractéristiques de fichiers<br />
officiels car signés – permet de passer outre tous les contrôles aux frontières du réseau de raccordement<br />
des systèmes de gestion de l’environnement de production cible, lequel réseau doit très probablement<br />
être totalement isolé et déconnecté de tout autre réseau. Les concepteurs de ce qui apparaît être une<br />
véritable cyber-arme auront d’ailleurs très <strong>cert</strong>ainement bien peu apprécié que leur création se soit<br />
échappée du réseau cible pour se retrouver active, au vu et su de tous, sur Internet. Peut-être est-ce là la<br />
plus belle erreur de conception qui soit: avoir sous-estimé la capacité d’infection d’un support aussi<br />
élémentaire qu’une clef USB à moins que cela ne soit partie intégrante de la stratégie d’infection.<br />
Il n’y aucune raison pour que Stuxnet soit un cas isolé et le seul représentant d’une nouvelle forme de<br />
lutte offensive. Nous sommes persuadé que bien d’autres créations de ce type sont en cours d’étude dans<br />
les laboratoires de ‘sécurité offensive’ dont nombre de gouvernements se dotent depuis quelques temps.<br />
Espérons simplement que les concepteurs de ces armes du 21 ième siècle auront tiré une leçon de cette<br />
‘affaire’ et auront, comme leurs ainés durant la guerre froide, implémenté les mécanismes requis pour<br />
désactiver celles-ci en cas d’erreur sur la cible, ou plus simplement en cas de perte de contrôle du canal<br />
de commande.<br />
POUR PLUS D’INFORMATION<br />
http://www.langner.com/en/index.htm<br />
http://www.digitalbond.com/index.php/2010/09/16/stuxnet-target-theory/<br />
http://www.symantec.com/connect/fr/blogs/w32stuxnet-installation-details<br />
http://www.symantec.com/connect/blogs/stuxnet-infection-step-7-projects<br />
http://www.cs.columbia.edu/~smb/blog/2010-09/2010-09-27.html<br />
COMMENT LIRE UN BREVET EN 60 SECONDES<br />
Les brevets sont une fabuleuse source d’information pour qui prendra le temps de consulter les<br />
bases de données libres d’accès sur l’Internet qu’il s’agisse d’étudier l’avance technologique d’un<br />
éventuel concurrent, d’identifier les nouvelles technologies émergentes ou encore de comprendre<br />
le fonctionnement d’un dispositif, d’un procédé, ou d’un algorithme, développé par un tiers.<br />
Les descriptions, et revendications, contenues dans les brevets de <strong>cert</strong>ains dispositifs de sécurité peuvent<br />
devenir leur talon d’Achille. Ce fût par exemple dernièrement le cas dans la mise en défaut d’un <strong>cert</strong>ain<br />
nombre de systèmes de contrôle d’accès, dont en particulier, le système MIFARE.<br />
Le risque de voir un verrou technologique divulgué par le bais d’un dépôt de brevet quand l’objectif initial<br />
était simplement d’assurer la protection de l’invention est d’autant plus grand que de nombreux outils de<br />
recherche perfectionnés sont désormais disponibles. Le WIPO – Office Mondial de la Propriété<br />
Intellectuelle ou OMPI – reconnaît explicitement l’importance des brevets dans le communiqué de presse<br />
accompagnant l’annonce de la mise en place de son programme ASPI (Access to Specialized Patent<br />
Information) destiné à faciliter l’accès à la matière de <strong>cert</strong>ains brevets spécialisés:<br />
“Patent information represents a critical source of knowledge and insight for researchers and innovators, legal<br />
professionals, entrepreneurs, and policymakers across the globe. The ASPI program will allow developing and leastdeveloped<br />
countries to benefit from enhanced access to powerful tools for exploiting this valuable resource under very<br />
favorable conditions.”<br />
Cette même organisation vient d’annoncer la mise à disposition d’un outil de recherche spécialisé dans le<br />
domaine du développement durables, des énergies renouvelables et de l’écologie. Cet outil, IPC Green<br />
Inventory, s’appuie sur le service de recherche PatentScope opéré par le WIPO (Rapport N°143 – Juin<br />
2010). On notera que dans cette liste spécialisée ‘GREEN’ figure une section consacrée aux systèmes<br />
d’information, ou plus précisément aux moyens permettant de rationnaliser l’accès et la gestion des SI. Le<br />
thème ‘Commuting’ qui apparaît ainsi dans la section ‘Administrative, Regulatory Or Design Aspects’<br />
regroupe des brevets de la catégorie ‘G06Q – Computing; Calculating; Counting’ et ‘G08G - traffic<br />
control systems’.<br />
La mise à disposition de cette masse d’information ne dispense pas de savoir lire un brevet, une<br />
connaissance qui s’acquiert généralement à force de lecture, et parfois par la pratique en se faisant<br />
accompagner d’un cabinet de conseil spécialisé dans le dépôt de brevets.<br />
Veille Technologique Sécurité N°146 Page 5/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
Dans un court billet intitulé ‘How to read a patent in 60 seconds’, Dan Shapiro énumère les quelques<br />
principes fondamentaux qui permettront d’aller à l’essentiel – le fond à savoir les revendications – sans se<br />
perdre, dans un premier temps du moins, dans les méandres de la forme du brevet. L’approche proposée<br />
est applicable en premier lieu aux brevets américains, véritables fourre-tout, et dans une moindre mesure<br />
aux brevets européens mieux organisés.<br />
Dan Shapiro suggère ainsi de ne pas tenir compte de ce qui représente, en volume, plus des deux tiers<br />
d’un brevet, à savoir:<br />
- le titre (section Title) dont il dit avec raison que celui-ci n’a généralement que bien peu de rapport avec<br />
l’innovation proprement dite,<br />
- la synthèse (section Abstract), et la description (section Description), qui ici encore n’apporte<br />
aucune précision sur l’innovation proprement dite, et perd le lecteur dans des détails concernant le<br />
contexte,<br />
- les dessins d’accompagnement (section Drawings) qui, la plupart du temps et au moins dans le cas<br />
des brevets américains, n’apportent guère d’information,<br />
Il s’agira donc d’aller immédiatement à la section décrivant toutes les revendications (section Claims) en<br />
identifiant le principe fondamental de l’innovation (‘independant claim’ dans l’article) tout en ignorant<br />
dans un premier temps les revendications secondaires (‘dependant claim’ dans l’article), lesquelles ne font<br />
qu’étendre le champ d’application à toutes les situations pouvant être imaginées. La distinction est aisée<br />
puisque ces revendications secondaires sont décrites par de courtes phrases ayant toujours la même<br />
forme et référençant elles-mêmes la revendication principale ou l’une des revendications secondaires<br />
précédemment exprimée: ‘The method of claim x’, ‘The system of claim x’, ‘The apparatus of claim x’…<br />
La partie la plus intéressante dans le cadre de l’étude d’une veille, ou d’une recherche d’antériorité, est<br />
probablement la liste des brevets portant sur des innovations référencées dans la description, ou<br />
considérées comme susceptibles de modifier l’étendue des revendications (section US Patent Reference<br />
en tête des brevets américains et section Document Considered to be Relevant en fin des brevets<br />
Européens). Outre le nom, ou la raison sociale, de l’inventeur, le brevet porte deux dates intéressantes: la<br />
date de dépôt (date de la demande) et la date de publication (date de l’acceptation de la revendication).<br />
Dans un autre domaine, le programme de transfert de technologie initié par la NSA offre une intéressante<br />
source d’information pour tout ce qui concerne les techniques et innovations de pointe dans le domaine de<br />
la sécurité des systèmes de communication et d’information.<br />
POUR PLUS D’INFORMATION<br />
http://www.danshapiro.com/blog/2010/09/how-to-read-a-patent-in-60-second/ - Article<br />
http://www.wipo.int/pressroom/en/articles/2010/article_0031.html - Annonce du WIPO<br />
http://www.wipo.int/pressroom/en/articles/2010/article_0032.html - Annonce du WIPO<br />
http://www.uspto.gov/patents/process/search/ - Recherche sur les brevets US<br />
https://data.epo.org/publication-server/?lg=en - Recherche sur les brevets EU<br />
http://www.nsa.gov/research/tech_transfer/fact_sheets/index.shtml - Transfert de technologies NSA<br />
AFNIC – LES ENJEUX DU DNSSEC<br />
L’AFNIC vient de publier un guide traitant des extensions de sécurité du système de gestion des<br />
noms, extensions désignées par le sigle désormais bien connu ‘DNSSEC’.<br />
Disponible en langue Française mais aussi Anglaise, cet opuscule de 8 pages intitulé ‘Les enjeux de<br />
DNSSEC’ tente de répondre aux nombreuses questions que les administrateurs et les exploitants de<br />
systèmes d’information ne manqueront pas de se poser avant de sauter le pas, et d’activer les<br />
fonctionnalités de sécurité dans leur serveur DNS.<br />
Les deux premiers chapitres illustrent l’intérêt de l’activation de ces fonctionnalités en détaillant le<br />
fonctionnement du DNS ‘classique’ et en mettant en évidence les vulnérabilités structurelles qui pourront<br />
être exploitées pour induire en erreur un usager. Le fonctionnement des mécanismes de sécurité du<br />
DNSSEC, et leur intégration dans la structure du DNS, est présenté dans les chapitres suivants, les<br />
descriptions techniques étant éclairées par quelques illustrations simples et pédagogiques. Le service DNS<br />
étant bien souvent délégué à l’opérateur assurant le transport et/ou l’hébergement, il conviendra de bien<br />
étudier l’offre de service proposée par celui-ci. On pourra pour cela s’appuyer sur la check liste proposée<br />
par l’AFNIC en fin de document.<br />
La publication de ce guide intervient après qu’une étape cruciale pour le déploiement du DNS sécurisé en<br />
France ait été franchie: les zones gérées par l’AFNIC - .fr, .re, .tf, .yt et .pm – sont désormais signées,<br />
et les paramètres de signatures ont été publiés à la mi-septembre. L’AFNIC annonce d’ailleurs à ce sujet<br />
que les enregistrements DNS seront mis à jour dans le mois à venir et que le service sera ouvert aux<br />
délégations dans le ‘.fr’ durant le second semestre 2011. Pour simplifier, ceci veut dire que tout serveur<br />
de nom sera à même de vérifier les réponses des serveurs de l’AFNIC d’ici la fin octobre, et l’intégralité de<br />
la chaîne de <strong>cert</strong>ification pour un nom de domaine signé dans la zone ‘.fr’ à la fin de l’année prochaine.<br />
Veille Technologique Sécurité N°146 Page 6/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
Le guide de l’AFNIC aborde les points suivants:<br />
1 - Organisation et fonctionnement du DNS<br />
2 - Les attaques par empoisonnement de cache<br />
3 - Qu’est-ce que DNSSEC ?<br />
4 - Ce que n’est pas DNSSEC<br />
5 - Utilisation des clés dans DNSSEC<br />
6 - Le déploiement de DNSSEC<br />
7 - Quelques questions à se poser au regard de la mise en place de DNSSEC<br />
8 - Pour aller plus loin<br />
9 - Glossaire<br />
On notera qu’une intéressante liste des trois principaux problèmes rencontrés à l’occasion du déploiement<br />
du DNSSEC dans le domaine ‘.gov’ réservé aux institutions gouvernementales américaines a été publiée<br />
par Scott Rose, du NIST.<br />
POUR PLUS D’INFORMATION<br />
http://www.afnic.fr/afnic/r_d/dnssec - Accueil DNSSEC<br />
http://www.afnic.fr/afnic/web/<strong>cert</strong>ificats - Certificats fr, re, tf, yt et pm<br />
http://www.afnic.fr/data/divers/public/afnic-dossier-dnssec-2010-09.pdf - Version Française<br />
http://www.afnic.fr/data/divers/public/afnic-issue-paper-dnssec-2010-09.pdf - Version Anglaise<br />
https://www.dnssec-deployment.org/index.php/2010/08/biggest-problems-seen-in-dnssec-operation-in-gov/<br />
Veille Technologique Sécurité N°146 Page 7/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
MAGAZINES<br />
HNS - (IN)SECURE MAG N°27<br />
SEPTEMBRE 2010<br />
ANALYSES ET COMMENTAIRES<br />
Le 27 ième numéro du magazine ‘(In)Secure Mag’ est paru fin août. Deux articles ont plus<br />
particulièrement attiré notre attention.<br />
PAYMENT CARD SECURITY: RISK AND CONTROL ASSESSMENTS G.T. Rasmunssen<br />
Ce court article de Gideon Rasmussen, consultant indépendant, est consacré à la sécurité des<br />
systèmes de paiement. Il rappelle l’intérêt d’une analyse conduite sous l’angle de vue des modes de<br />
défaillance – AMDEC (Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité) ou FMEA<br />
(Failure Mode and Effects Analysis), une approche couramment utilisée dans l’analyse de la sûreté de<br />
fonctionnement des systèmes de conduite industriels critiques.<br />
L’utilisation de cette approche sur un scénario très <strong>cert</strong>ainement réel, bien que rien ne soit précisé,<br />
mène à l’établissement d’une liste de mesures permettant de couvrir les exigences PCI-DSS - voire<br />
même d’aller au-delà de ces exigences – en matière de:<br />
- vérifications préventives,<br />
- moyens de détection et<br />
- techniques de réduction du risque.<br />
LEARNING FROM BRUTEFORCERS Erich Samuel<br />
L’auteur de cet article, Erich Samuel, est consultant sécurité auprès d’une société d’assurance. Il a<br />
installé, comme de nombreux informaticiens, un petit serveur chez lui qui lui sert à diverses<br />
expérimentations dans son domaine d’expertise, la sécurité. Et il n’a pas manqué de remarquer,<br />
comme beaucoup d’exploitants, les traces des innombrables tentatives d’attaque des comptes SSH<br />
dans les journaux de son système LINUX. Ceci l’a conduit à se poser la question de savoir ce que l’on<br />
pouvait tirer des informations collectées durant ces tentatives.<br />
Après avoir pris le temps d’analyser le problème, et d’écrire un module PAM ‘maison’, il était à même<br />
d’étudier plus en détails les caractéristiques de ces tentatives d’intrusion et ceci, sans avoir à déployer<br />
aucun outil tiers. L’intérêt de l’approche réside dans l’utilisation de l’interface programmatique UNIX<br />
dite ‘Pluggable Authentication Module’, ou PAM, laquelle permet d’intégrer dynamiquement un<br />
traitement spécifique dans la chaîne d’authentification. Un module PAM aura ainsi accès à de<br />
nombreuses informations contextuelles qui ne sont pas toujours retranscrites dans les journaux de<br />
sécurité sans oublier la possibilité de traiter les données en temps réel.<br />
Les informations collectées sur une période allant de décembre 2009 à juillet 2010 lui ont permis<br />
d’obtenir quelques réponses aux questions que ses clients institutionnels lui posaient.<br />
1- Quelqu’un veut-il vraiment nous attaquer ?<br />
Comme le fait remarquer l’auteur de l’article cette question est régulièrement posée par le béotien à<br />
qui le consultant sécurité explique la nécessité de protéger son système quand bien même ne<br />
serait-il qu’un système personnel. Le résultat, évident pour quiconque travaille dans le domaine, est<br />
bien difficile à faire admettre hors la profession sauf à disposer de données en provenance, non<br />
d’une étude menée par des spécialistes sur des systèmes professionnels, mais d’une machine<br />
‘lambda’ similaire à celle (ou presque) utilisée par tout un chacun. Les chiffres présentés par<br />
l’auteur parlent d’eux-mêmes puisque sur une période de 8 mois, 159969 tentatives d’accès sur un<br />
compte SSH ont été comptabilisées en provenance de 728 sources distinctes, soit une moyenne de<br />
658 tentatives par jour.<br />
2- Pourquoi dois-je sélectionner un bon mot de passe ?<br />
Encore une question que nos lecteurs auront probablement entendu de la bouche de leurs proches<br />
après avoir tenté d’expliquer qu’utiliser le même mot de passe pour tous les comptes de la famille,<br />
ou de choisir un mot de passe facile à mémoriser, est une très mauvaise habitude. La liste des mots<br />
de passe les plus fréquemment testés sur la période d’observation (123456, password, test, 1234,<br />
root, oracle, qwerty, 12345, abc123, redhat) établie par l’auteur n’apportera guère d’eau au moulin.<br />
Ces mots de passe sont en effet probablement issus de listes (dictionnaires) communs à la majorité<br />
des outils d’attaque. A contrario, l’analyse des variations d’un même mot de passe – dans le cas<br />
Veille Technologique Sécurité N°146 Page 8/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
étudié par l’auteur, le mot ‘password’ – prouve sans ambiguïté au plus défiant des usagers qu’il ne<br />
suffit pas de remplacer ca et là, une lettre par un symbole dans un mot courant – ‘P@ssw0rd’ par<br />
exemple - quand bien même cette technique permettra de réduire notablement le risque de voir son<br />
mot de passe être immédiatement révélé. L’usage du langage ‘L337’ doit donc désormais – hélas -<br />
être proscrit au profit d’autres techniques.<br />
3- Ne s’en vont-ils pas après quelques essais ?<br />
Le sujet abordé à travers cette question est particulièrement pertinent et, à notre connaissance, a<br />
rarement été traité dans les études publiées par ailleurs. Répondre à cette question avec précision<br />
supposerait de pouvoir distinguer dans les traces de journalisation les tentatives en provenance de<br />
systèmes totalement automatisés et éventuellement couplés, peut-être devenus hors contrôle, de<br />
celles résultant d’une activation ponctuelle et explicite.<br />
Les résultats présentés par l’auteur mettent<br />
en évidences deux types d’activés distincts:<br />
des tentatives apparaissant être ponctuelles<br />
mais susceptibles d’être le résultat d’une<br />
campagne coordonnée sur plusieurs systèmes<br />
d’une durée de l’ordre du mois, et de<br />
véritables campagnes de fond, continues ou<br />
récurrentes, en provenance de sources<br />
stables. Nous reproduisons ci-contre, pour<br />
information, le tableau de synthèse présenté<br />
dans l’article.<br />
POUR PLUS D’INFORMATION<br />
http://www.net-security.org/dl/insecure/INSECURE-Mag-27.pdf<br />
Veille Technologique Sécurité N°146 Page 9/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
METHODES<br />
SEPTEMBRE 2010<br />
METHODOLOGIES ET STANDARDS<br />
NIST - IR7628 'SMART GRID CYBER SECURITY STRATEGY AND REQUIREMENTS'<br />
En octobre 2009, le NIST diffusait pour relecture et commentaire un document de première<br />
importance, le rapport IR-7628 ‘Smart Grid Cyber Security Strategy & Requirements’<br />
(Rapport N°135 – Octobre 2009). La version finale de ce volumineux document – plus de 500 pages –<br />
vient d’être publiée. Un document de première importance car traitant de la sécurité de ce qui sera<br />
probablement la plus grande évolution technologique du 21 ième siècle: la gestion intelligente, et locale, de<br />
la distribution de l’énergie électrique.<br />
L’objectif de ce que les américains appellent le réseau intelligent, ‘Smart Grid’ dans le jargon, est de<br />
s’appuyer sur les dernières technologies de communication et de traitement de l’information pour acquérir<br />
les données de pilotage permettant d’adapter la demande des usagers à la production d’énergie en temps<br />
quasi-réel et disposer d’indicateurs prévisionnels fiables.<br />
Une nécessité liée à la caractéristique de cette forme d’énergie immédiatement disponible mais difficile à<br />
stocker, du moins à des coûts inférieurs à ceux de sa production. Ce besoin d’optimisation de la<br />
distribution est bien loin d’être nouveau - les centres de gestion (dispatching) existent depuis toujours, ou<br />
presque, mais sans toutefois pouvoir agir aussi près des consommateurs avec la granularité et le temps<br />
de réponse promis par les équipements intelligents disponibles depuis quelques années sur le marché.<br />
A même de mesurer instantanément notre consommation électrique avec une fiabilité jamais atteinte, de<br />
corréler celle-ci avec divers événements extérieurs, et par conséquent de révéler nos habitudes de vie,<br />
ces équipements peuvent être perçus comme une atteinte à notre liberté individuelle si des mesures de<br />
protection ne sont pas prises: encadrement de l’usage des données collectées mais aussi protection de<br />
l’accès à l’équipement et de la confidentialité des données télé-collectées.<br />
Modèle d’échange d’informations au sein d’une grille intelligente établi par le NIST (IR-7628 – part 2 – page 22)<br />
Veille Technologique Sécurité N°146 Page 10/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
Ouvrons une parenthèse pour rappeler qu’il s’agit d’un problème auquel nos concitoyens vont être<br />
rapidement sensibilisés avec l’annonce de la possible obligation d’installation du compteur intelligent<br />
‘Linky’ dans les nouvelles habitations. Celui-ci dispose de fonctions de gestion évoluées accessibles à<br />
distance, et utilise le réseau électrique comme moyen de collecte: transmission par courant porteur ou<br />
‘CPL’ avec collecte au niveau des postes HTA/BT desservant un ensemble d’abonnés puis acheminement<br />
vers un centre de traitement. Nos lecteurs intéressés par les spécifications du protocole de communication<br />
pourront se reporter avec intérêt à la note interne ‘Spécifications du profil CPL Linky’ publiée en<br />
octobre dernier par ERDF. L’analyse des caractéristiques de la modulation retenue – FSK centrée une<br />
fréquence de 68.65kHz avec une vitesse de 2400bds et un niveau d’émission variant entre -53 et 6dBV<br />
laisse entendre qu’il ne sera guère difficile à un amateur de réaliser un dispositif d’acquisition à distance<br />
des trames, ou a minima un brouilleur, pour quelques dizaines d’euro, et même d’écrire le module<br />
d’analyse WireShark qui va bien. Le chapitre 5 de la note ‘Spécifications fonctionnelles du profil CPL<br />
Linky’ laisse fort heureusement entendre que les données seront protégées par un mécanisme de<br />
chiffrement selon la spécification COSEM DLMS UA 1000-1 ‘Identification System and Interface’.<br />
Gageons qu’avec le déploiement des compteurs intelligents, ces documents vont être très rapidement<br />
étudiés à la loupe par tous les spécialistes de la retro-analyse, et feront peut être l’objet de<br />
communications dans les mois à venir.<br />
Ces technologies, qui au regard du citoyen apparaissent être coûteuses, inutiles et intrusives, pourraient<br />
bien être rejetées en bloc si des mesures permettant de garantir que tout sera fait pour assurer la<br />
protection de la vie privée ne sont pas rapidement prises. La CNIL Française joue ici parfaitement son<br />
rôle de vigie en rappelant dans un communiqué récent qu’elle suit avec attention le développement de ces<br />
systèmes afin de s'assurer que les informations concernant les usagers seront traitées dans le respect de<br />
la loi Informatique et Libertés.<br />
Protéger le consommateur, qu’il s’agisse des citoyens ou des entreprises et autres organisations, est une<br />
exigence forte qui ne doit cependant pas masquer les autres contraintes pesant sur les opérateurs de ces<br />
infrastructures critiques, en particulier la résilience des systèmes assurant le contrôle de équipements de<br />
distribution.<br />
Disposant de moyens de communication performants, les équipements existants et à venir sont une cible<br />
de premier choix pour quiconque envisagerait de déstabiliser une région, un pays. La mise en évidence de<br />
problèmes critiques ces dernières semaines – vulnérabilité dans le système de gestion industriel WinCC<br />
de Siemens (CVE-2010-2772) et existence d’un accès exploitable dans le système d’exploitation industriel<br />
VxWorks (CVE-2010-2965 et CVE-2010-2966) – confirme si besoin la réalité du risque, et prouve que la<br />
sécurisation des environnements industriels est l’un des grands défis des prochaines années.<br />
L’ENISA a ainsi engagé depuis l’année dernière une réflexion approfondie sur la résilience des réseaux de<br />
communications.<br />
Aux Etats-Unis, la North American Electric Reliability<br />
Corporation – NERC - a publié un impressionnant<br />
ensemble de recommandations, guides et bonnes<br />
pratiques au titre de la protection des infrastructures<br />
critiques dont une liste proposée ci-contre.<br />
Le document établi par le groupe de travail ad hoc<br />
constitué par le NIST vient compléter ce premier<br />
référentiel. Il prescrit la mise en place d’un système de<br />
défense en profondeur et détaille 189 exigences de<br />
sécurité applicables sur les quelques 137 interfaces<br />
d’échange identifiées.<br />
Critical Infrastructure Protection Cyber Security Guides<br />
CIP-001 Sabotage Reporting<br />
CIP-002 Critical Cyber Asset Identification<br />
CIP-003 Security Management Controls<br />
CIP-003 Security Management Controls<br />
CIP-004 Personnel & Training<br />
CIP-005 Electronic Security Perimeter(s)<br />
CIP-006 Physical Security of Critical Cyber Assets<br />
CIP-007 Systems Security Management<br />
CIP-008 Incident Reporting and Response Planning<br />
CIP-009 Recovery Plans for Critical Cyber Assets<br />
Ce document est organisé en 10 chapitres et 10 annexes, l’ensemble étant découpé en trois volumes<br />
d’inégale importance:<br />
- la première partie (289 pages – chapitres 1 à 4) est consacrée à la formulation des exigences de<br />
sécurité,<br />
- la seconde (69 pages – chapitre 5) traite principalement de la problématique de la protection des<br />
données privées, et<br />
- la troisième partie (219 pages – chapitres 6 à 10) détaille l’approche méthodologique retenue et<br />
propose quelques cas d’école.<br />
L’importance accordée à ce sujet par les instances américaine est mesurable au travail accompli en 11<br />
mois: le document IR-7628 comportait en effet initialement 4 chapitres et 6 annexes pour un total de 236<br />
pages. En pratique, et à l’exception de la modélisation de la grille, le lecteur constatera un changement<br />
assez radical dans l’approche méthodologique, avec en particulier l’abandon d’une classification des<br />
interfaces par domaines fonctionnels (six domaines étaient définis) au profit d’un modèle de référence<br />
global bien plus difficile à apprécier. On appréciera par contre l’intégration d’un chapitre entièrement<br />
consacré aux exigences.<br />
Veille Technologique Sécurité N°146 Page 11/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
Le sommaire du rapport IR-7628 est le suivant:<br />
Part 1 - Smart Grid Cyber Security Strategy, Architecture, and High-Level Requirements<br />
CHAPTER 1 CYBER SECURITY STRATEGY<br />
1.1 Cyber Security and the Electric Sector<br />
1.2 Scope and Definitions<br />
1.3 Smart Grid Cyber Security Strategy<br />
1.4 Outstanding Issues and Remaining Tasks<br />
CHAPTER 2 LOGICAL ARCHITECTURE AND INTERFACES OF THE SMART GRID<br />
2.1 The Seven Domains to the Logical Reference Model<br />
2.2 Logical Security Architecture Overview<br />
2.3 Logical Interface Categories<br />
CHAPTER 3 HIGH-LEVEL SECURITY REQUIREMENTS<br />
3.1 Cyber Security Objectives<br />
3.2 Confidentiality, Integrity, and Availability Impact Levels<br />
3.3 Impact Levels for the CI&A Categories<br />
3.4 Selection of Security Requirements<br />
3.5 Security Requirements Example<br />
3.6 Recommended Security Requirements<br />
3.7 Access Control (SG.AC)<br />
3.8 Awareness and Training (SG.AT)<br />
3.9 Audit and Accountability (SG.AU)<br />
3.10 Security Assessment and Authorization (SG.CA)<br />
3.11 Configuration Management (SG.CM)<br />
3.12 Continuity of Operations (SG.CP)<br />
3.13 Identification and Authentication (SG.IA)<br />
3.14 Information and Document Management (SG.ID)<br />
3.15 Incident Response (SG.IR)<br />
3.16 Smart Grid Information System Development and Maintenance (SG.MA)<br />
3.17 Media Protection (SG.MP)<br />
3.18 Physical and Environmental Security (SG.PE)<br />
3.19 Planning (SG.PL)<br />
3.20 Security Program Management (SG.PM)<br />
3.21 Personnel Security (SG.PS)<br />
3.22 Risk Management and Assessment (SG.RA)<br />
3.23 Smart Grid Information System and Services Acquisition (SG.SA)<br />
3.24 Smart Grid Information System and Communication Protection (SG.SC)<br />
Veille Technologique Sécurité N°146 Page 12/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
3.25 Smart Grid Information System and Information Integrity (SG.SI)<br />
CHAPTER 4 CRYPTOGRAPHY AND KEY MANAGEMENT<br />
4.1 Smart Grid Cryptography and Key Management Issues<br />
4.2 Cryptography and Key Management Solutions and Design Considerations<br />
4.3 NISTIR High-Level Requirement Mappings<br />
4.4 References & Sources<br />
APPENDIX A Crosswalk Of Cyber Security Documents<br />
APPENDIX B Example Security Technologies And Services To Meet The High-Level Security Requirements<br />
Part 2 - Privacy and the Smart Grid<br />
CHAPTER 5 PRIVACY AND THE SMART GRID<br />
5.1 Introduction<br />
5.2 What Is Privacy?<br />
5.3 Legal Frameworks and Considerations<br />
5.4 Consumer-to-Utility Privacy Impact Assessment<br />
5.5 Personal Information in the Smart Grid<br />
5.6 In-depth Look at Smart Grid Privacy Concerns<br />
5.7 Mitigating Privacy Concerns Within the Smart Grid<br />
5.8 Smart Grid Privacy Summary And Recommendations<br />
APPENDIX C State Laws – Smart Grid And Electricity Delivery Regulations<br />
APPENDIX D Privacy Uses Cases<br />
D.1 Use Case Inventory, Consolidation and Gap Analysis<br />
D.2 Incorporating Privacy Into Existing Smart Grid Use Cases<br />
D.3 Privacy Use Case Examples<br />
D.4 Privacy Use Case #1: Landlord with Tenants<br />
D.5 Privacy Use Case #2: PEV General Registration and Enrollment Process<br />
APPENDIX E privacy related definitions<br />
E.1 Privacy Impact Assessment<br />
E.2 Personal Information<br />
E.3 Personally Identifiable Information (PII)<br />
E.4 Composite Personal Information<br />
E.5 Private Information<br />
E.6 Confidential Information<br />
E.7 Individual<br />
E.8 Smart Grid Entity<br />
Part 3 - Supportive Analyses and References<br />
CHAPTER 6 VULNERABILITY CLASSES<br />
6.1 Introduction<br />
6.2 People, Policy & Procedure<br />
6.3 Platform Software/Firmware Vulnerabilities<br />
6.4 Platform Vulnerabilities<br />
6.5 Network<br />
6.6 References<br />
CHAPTER 7 BOTTOM-UP SECURITY ANALYSIS OF THE SMART GRID<br />
7.1 Scope<br />
7.2 Evident and Specific Cyber Security Problems<br />
7.3 Nonspecific Cyber Security Issues<br />
7.4 Design Considerations<br />
7.5 References<br />
CHAPTER 8 RESEARCH AND DEVELOPMENT THEMES FOR CYBER SECURITY IN THE SMART GRID<br />
8.1 Introduction<br />
8.2 Device-Level Topics—Cost-Effective Tamper-Resistant Device Architectures<br />
8.3 Cryptography and Key Management<br />
8.4 Systems-Level Topics - Security and Survivability Architecture of the Smart Grid<br />
8.5 Networking Topics<br />
8.6 Other Security Issues in the Smart Grid Context<br />
CHAPTER 9 OVERVIEW OF THE STANDARDS REVIEW<br />
9.1 Objective<br />
9.2 Review Process<br />
9.3 NIST CSWG Standards Assessment Template.<br />
9.4 Standards Review List<br />
CHAPTER 10 KEY POWER SYSTEM USE CASES FOR SECURITY REQUIREMENTS<br />
10.1 Use Case Source Material<br />
10.2 Key Security Requirements Considerations.<br />
10.3 Use Case Scenarios<br />
APPENDIX F LOGICAL ARCHITECTURE AND INTERFACES OF THE SMART GRID<br />
F.1 Advanced Metering Infrastructure<br />
F.2 Distribution Grid Management<br />
F.3 Electric Storage<br />
F.4 Electric Transportation<br />
F.5 Customer Premises<br />
Veille Technologique Sécurité N°146 Page 13/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
F.6 Wide Area Situational Awareness<br />
APPENDIX G ANALYSIS MATRIX OF LOGICAL INTERFACE CATEGORIES.<br />
APPENDIX H MAPPINGS TO THE HIGH-LEVEL REQUIREMENTS<br />
H.1 R&D Topics<br />
H.2 Vulnerability Classes<br />
APPENDIX I GLOSSARY AND ACRONYMS<br />
APPENDIX J SGIP-CSWG MEMBERSHIP<br />
POUR PLUS D’INFORMATION<br />
http://www.nist.gov/public_affairs/releases/nist-finalizes-initial-set-of-smart-grid-cyber-security-guidelines.cfm<br />
http://csrc.nist.gov/publications/nistir/ir7628/nistir-7628_vol1.pdf<br />
http://csrc.nist.gov/publications/nistir/ir7628/nistir-7628_vol2.pdf<br />
http://csrc.nist.gov/publications/nistir/ir7628/nistir-7628_vol3.pdf<br />
http://www.<strong>cert</strong>-<strong>devoteam</strong>.fr/articles/CERT-DVT-135-0910_IR7628.pdf<br />
NIST - SP800-135 ' RECOMMENDATION FOR EXISTING APPLICATION-SPECIFIC KEY DERIVATION FUNCTIONS’<br />
Publiée pour commentaire par le NIST, cette courte recommandation - 25 pages – détaille<br />
les procédés normalisés permettant à une application de calculer une clef cryptographique à<br />
partir d’une information secrète généralement partagée par toutes les entités en relation. Ce processus, dit<br />
de ‘dérivation’ ou de ‘diversification’ selon les écoles, s’avère être bien pratique s’agissant d’assurer la<br />
distribution des clefs entre plusieurs entités toutes susceptibles d’entrer en communication deux à deux.<br />
En effet, dans un système de communication utilisant une cryptographie à clefs secrètes comportant ‘n’<br />
correspondants, chaque correspondant devra conserver les clefs des (n-1) autres correspondants s’il veut<br />
assurer une protection distincte pour chacun des correspondants. Un cas de figure qui conduira le centre<br />
de gestion des clefs à devoir distribuer, et gérer, n*(n-1)/2 clefs.<br />
Un schéma simplificateur consisterait à distribuer une unique clef – dite ‘clef maitre’ ou ‘clef partagée’ - à<br />
l’ensemble des correspondants en leur donnant comme consigne d’utiliser une clef de travail générée à<br />
partir de la clef maitre et de paramètres spécifiques constants, ou résultant d’un échange préalable. De la<br />
manière dont sera opérée la génération de cette clef de travail dépendra la robustesse de la protection<br />
contre un tiers externe au système.<br />
Deux méthodes de mise à la clef s’appuyant sur un schéma cryptographique à clefs publiques ont été<br />
normalisées par le NIST en 2007 et 2009 respectivement. Celles-ci se différencient par le schéma utilisé:<br />
- une cryptographie basée sur le problème du logarithme discret pour la méthode décrite dans le SP800-<br />
56A ‘Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm<br />
Cryptography’ – approche Diffie-Hellman pour faire simple,<br />
- une cryptographie basée sur le problème de la factorisation d’un nombre premier en ce qui concerne la<br />
méthode exposée dans SP800-56B ‘Recommendation for Pair-Wise Key Establishment Schemes Using<br />
Integer Factorization Cryptography’ – approche RSA.<br />
Une troisième méthode est décrite dans le guide SP800-56C ‘Recommendation for Key Derivation through<br />
Extraction-then-Expansion’ tout juste publié pour commentaire. Elle utilise un processus de dérivation<br />
combinatoire désigné par les opérations employées - Extraction et Expansion ou ‘E-E’ - et fait appel à une<br />
fonction ‘pseudo-aléatoire’ dont le NIST recommande qu’elle soit sélectionnée conformément aux<br />
recommandations du guide SP800-108 ‘Recommendation for Key Derivation Using Pseudorandom<br />
Functions’.<br />
Le guide SP800-135 ‘Recommendation for Existing Application-Specific Key Derivation Functions’ décrit<br />
les fonctions de dérivation utilisées par les applications fondamentales de l’Internet en classant celles-ci en<br />
deux catégories: les fonctions s’appuyant sur un processus conforme au guide SP800-56C et donc aux<br />
recommandations du SP800-108, et les autres fonctions.<br />
Les procédés utilisés par les protocoles IKE (Echange de clef sur Internet) et TLS (Transport Sécurisé)<br />
appartiennent à la première catégorie. Ceux spécifiés par les <strong>standards</strong> ANSI X9.42, X9.63 mais aussi<br />
utilisés par les protocoles SSH (Interpréteur de commande sécurisé), SRTP (Transmission de données<br />
temps réel sécurisé), SNMPv3 ou encore par le module TPM appartiennent à la seconde catégorie.<br />
Le sommaire du SP800-135 est le suivant:<br />
1 Introduction<br />
2 Authority<br />
3 Glossary of Terms, Acronyms and Mathematical Symbols<br />
3.1 Terms and Definitions<br />
3.2 Acronyms<br />
3.3 Symbols & Mathematical Operations<br />
4 Extraction-then-Expansion (E-E) Procedure<br />
4.1 Internet Key Exchange (IKE)<br />
4.1.1 IKE version 1 (IKEv1)<br />
4.1.2 IKE version 2 (IKEv2)<br />
Veille Technologique Sécurité N°146 Page 14/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
4.2 Key Derivation in Transport Layer Security (TLS)<br />
4.2.1 Key Derivation in TLS versions 1.0 and 1.1<br />
4.2.2 Key Derivation in TLS version 1.2<br />
5 Other Existing Key Derivation Functions<br />
5.1 Key Derivation Functions in American National Standards (ANS) X9.42-2001 and ANS X9.63-2001<br />
5.2 Secure Shell (SSH) Key Derivation Function<br />
5.3 The Secure Real-time Transport Protocol (SRTP) Key Derivation Function<br />
5.4 Simple Network Management Protocol (SNMP) Key Derivation Function/Key Localization Function<br />
5.5 Trusted Platform Module (TPM) Key Derivation Function<br />
6 References<br />
Cette recommandation est particulièrement intéressante. Elle met en évidence la structuration élégante et<br />
la cohérence de la construction proposée par le NIST: un ensemble de recommandations s’appuyant sur<br />
des procédés bien identifiés, et organisés, utilisant eux-mêmes des briques élémentaires par ailleurs<br />
normalisées et ayant fait leurs preuves.<br />
POUR PLUS D’INFORMATION<br />
http://csrc.nist.gov/publications/drafts/800-135/draft-sp800-135.pdf - SP800-135<br />
http://csrc.nist.gov/publications/drafts/800-132/draft-sp800-132_june2010.pdf - SP800-132<br />
http://csrc.nist.gov/publications/nistpubs/800-108/sp800-108.pdf - SP800-108<br />
http://csrc.nist.gov/publications/nistpubs/800-56A/SP800-56A_Revision1_Mar08-2007.pdf - SP800-56A<br />
http://csrc.nist.gov/publications/nistpubs/800-56B/sp800-56B.pdf - SP800-56B<br />
http://csrc.nist.gov/publications/drafts/800-56C/draft-SP800-56C.pdf - SP800-56C<br />
RECOMMANDATIONS<br />
ANSSI – CATALOGUE DES PRODUITS QUALIFIES – MISE A JOUR<br />
Le catalogue des produits qualifiés par l’ANSSI a fait l’objet d’une mise à jour. Ce catalogue<br />
recense les produits dits d’usage général en cours de qualification, ou ayant été qualifiés<br />
conformément aux processus décrits dans le Référentiel Général de Sécurité (RGS).<br />
Cette mise à jour porte sur:<br />
- La <strong>cert</strong>ification EAL3+ au niveau de qualification dit ‘Standard’ du produit de protection du poste de<br />
travail ‘Zed!’ de la société PrimX,<br />
- La publication du niveau de <strong>cert</strong>ification (EAL5+) de la carte SAGEM ‘Ideal Citiz’.<br />
Le produit de signature ‘TrustySign’ proposé par la société CS a été annoncé <strong>cert</strong>ifié EAL3+ dans un<br />
communiqué de presse publié mi-septembre. Il n’apparaît pas encore au catalogue de l‘ANSSI.<br />
Editeur Produit Certification Qualification Cat.<br />
ARKOON Fast Firewall v3.0/11 EAL2+ 11/04 Standard 12/04 3<br />
Security Crypto Box v6.0 EAL4+ élevé 05/04 Standard 07/04 5 & 6<br />
Security Box Enterprise 7.2 EAL3+ visé - En cours - 5<br />
BULL Trustway PCI S302 EAL4+ élevé 11/04 Standard 01/05 6 & 7<br />
Trustway PCI S507 et S709 EAL4+ 03/10 Renforcé 04/10 6 & 7<br />
TrustWay VPN v3.01.06 EAL2+ 09/04 Standard 09/04 2<br />
TrustWay VPN Line EAL2+ 04/09 Standard 04/09 2<br />
CdC Fast Signature v1.1 EAL2+ 12/08 Standard 12/08 7<br />
DICTAO Adsignerweb v3.1.800 EAL3+ 04/06 Standard 05/06 7<br />
Validation Server v4.0.6 EAL3+ 09/07 Standard 09/07 7<br />
Digimedia Scrutalys EAL3+ visé - En cours - 7<br />
EdenWall tech. Edenwall 4 EAL3+ visé - En cours - 3<br />
ERCOM SecPhone EAL2+ 12/05 Standard 12/05 6 & 9<br />
Exaprotect ExaProtect Sec. Manag. V2.7.3.5 EAL2+ 11/08 Standard 12/08 1<br />
FT Applatoo EAL2+ 04/05 Standard 05/05 7<br />
GEMALTO ePassport Sealys EAC v1.1 EAL4+ 12/08 Renforcé 08/09 8<br />
eTravel EAC v1.0 EAL4+ 12/08 Renforcé 08/09 8<br />
MultiApp IAS ECC EAL4+ 02/10 Renforcé 03/10 6<br />
Keynectis Sequoia EAL4+ visé - En cours - 4<br />
NETASQ NETASQ IPS v5 EAL2+ 03/05 Standard 03/05 2 & 3<br />
IPS Firewall 8.0.1.1 EAL3+ 07/09 Standard 03/05 2 & 3<br />
Oberthur Tec. ID One ePASS v2.1 EAL4+ 08/09 Renforcé 07/09 8<br />
ID One ePass 64 v2.0 EAL4+ 05/08 Renforcé 08/09 8<br />
PrimX ZoneCentral v3.1 EAL2+ 12/08 Standard 12/08 5<br />
ZED! EAL3+ 07/10 Standard 08/10 5 M<br />
SAGEM Carte Morpho-Citiz32 sur Atmel EAL4+ Standard 02/08 6<br />
Carte Morpho-Citiz32 sur NXP EAL4+ Standard 02/08 6<br />
Veille Technologique Sécurité N°146 Page 15/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
Morpho ePass V3 EAL4+ 07/08 Renforcé 08/09 8<br />
Morpho ePass V1.1.0 EAL4+ 07/09 Renforcé 09/09 8<br />
Ideal Citiz EAL5+ 04/10 Renforcé 05/10 6 M<br />
Smart Quantum SQDefender EAL3+ visé 09/08 En cours - 10<br />
THALES Mistral v4.5.2.2 EAL3+ 05/05 Standard 06/05 2<br />
Mistral 2 v4.6.1 EAL3+ 03/08 Standard 03/08 2<br />
Mistral 3 v4.6.2 EAL3+ 07/08 Standard 09/08 2<br />
Catégories : 1- Administration de la sécurité 4- IGC 7- Signatures et Preuves<br />
2- Chiffrement IP 5- Protection du Poste de Travail 8- Titres d’identité électroniques<br />
3- Firewall 6- Ressources Cryptographiques 9- Voix sécurisée<br />
10- Chiffrement de liens<br />
POUR PLUS D’INFORMATION<br />
http://www.ssi.gouv.fr/site_rubrique52.html - Catalogue<br />
http://www.c-s.fr/Le-produit-TRUSTYSIGN-de-CS-evalue-Criteres-Communs-niveau-EAL3_a350.html<br />
APPLE – GUIDE DE SECURISATION MACOS X 10.6<br />
Apple publiait en mai dernier deux guides de sécurisation consacrés à la dernière version du<br />
système d’exploitation MacOS X, la version 10.6 dite ‘Snow Leopard’. Le premier guide (456<br />
pages) est consacré à la sécurisation de la version serveur du système d’exploitation. Il intéressera<br />
donc plus particulièrement les équipes en charges de la sécurisation des systèmes de production. Le<br />
second guide (272 pages), qui traite de la problématique de la sécurisation de l’équipement de l’utilisateur<br />
final, vient d’être référencé dans le catalogue des guides de sécurité maintenu par le SNAC, le service de<br />
la NSA en charge de la gestion des incidents systèmes et réseaux.<br />
Ce document très complet guide l’utilisateur d’un système Mac désireux de renforcer la sécurité de son<br />
environnement de travail en détaillant chacune des opérations devant être menée et en illustrant celles-ci<br />
d’une copie des écrans de configuration. Ces guides rejoindront, si cela n’est déjà fait, la bibliothèque de<br />
référence de tout exploitant d’un système d’information accueillant des équipements – postes ou serveurs<br />
– Apple.<br />
Le sommaire du guide de sécurisation de la version utilisateur est le suivant:<br />
Preface<br />
Chapter 1 - Introduction to Mac OS X Security Architecture<br />
Security Architectural Overview<br />
What’s New in Snow Leopard v10.6<br />
Existing Security Features in Snow Leopard<br />
Signed Applications<br />
Mandatory Access Controls<br />
Enhanced Quarantining<br />
Application-Based and IP Firewalls<br />
Memory and Runtime Protection<br />
Chapter 2 - Installing Mac OS X<br />
System Installation Overview<br />
Initial System Setup<br />
Chapter 3 - Securing System Hardware<br />
Protecting Hardware<br />
Preventing Wireless Eavesdropping<br />
Understanding Wireless Security Challenges<br />
About OS Components<br />
Chapter 4 - Securing Global System Settings<br />
Securing System Startup<br />
Protecting Intel-Based Mac Systems<br />
Configuring Access Warnings<br />
Chapter 5 - Securing System Preferences<br />
System Preferences Overview<br />
Securing MobileMe Preferences<br />
Securing Accounts Preferences<br />
Securing Appearance Preferences<br />
Securing Bluetooth Preferences<br />
Securing CDs & DVDs Preferences<br />
Securing Date & Time Preferences<br />
Securing Desktop & Screen Saver Preferences<br />
Securing Display Preferences<br />
Securing Dock Preferences<br />
Securing Energy Saver Preferences<br />
Securing Exposé & Spaces Preferences<br />
Securing Language & Text Preferences<br />
Securing Keyboard Preferences<br />
Securing Sharing and Collaborative Services<br />
Improved Cryptography<br />
Extended Validation Certificates<br />
Wildcard in Identity Preferences<br />
Enhanced Command-Line Tools<br />
FileVault and Encrypted Storage<br />
Enhanced Safari 4.0 Security<br />
Updating System Software<br />
Repairing Disk Permissions<br />
Preventing Unauthorized Recording<br />
Preventing Data Port Access<br />
System Hardware Modifications<br />
Enabling Access Warnings for the Command Line<br />
Turning On File Extensions<br />
Securing Mouse Preferences<br />
Securing Network Preferences<br />
Securing Managed User Accounts Preferences<br />
Securing Print & Fax Preferences<br />
Securing Security Preferences<br />
Securing System Swap and Hibernation Storage<br />
Securing Sharing Preferences<br />
Securing Software Update Preferences<br />
Securing Sound Preferences<br />
Securing Speech Preferences<br />
Securing Spotlight Preferences<br />
Securing Startup Disk Preferences<br />
Securing Time Machine Preferences<br />
Securing Universal Access Preferences<br />
Veille Technologique Sécurité N°146 Page 16/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
Chapter 6 - Securing Accounts<br />
Types of User Accounts<br />
Securing the Guest Account<br />
Securing Nonadministrator Accounts<br />
Securing Administrator Accounts<br />
Securing the System Administrator Account<br />
Chapter 7 - Securing Data and Using Encryption<br />
Understanding Permissions<br />
Setting POSIX Permissions<br />
Setting File and Folder Flags<br />
Setting ACL Permissions<br />
Changing Global omask for Stricter Default Perm.<br />
Restricting Setuid Programs<br />
Securing User Home Folders<br />
Chapter 8 - Securing Applications<br />
Protecting Data While Using Apple Applications<br />
Setting Mail Security<br />
Setting Web Browsing Security with Safari<br />
Using Instant Message Security with iChat<br />
Chapter 9 - Securing Network Services<br />
Securing Internet com with Host-Based Firewalls<br />
Protecting Data While Using Apple Services<br />
Securing Bonjour (mDNS)<br />
Securing the Back to My Mac (BTMM) Service<br />
Securing Network Sharing Services<br />
DVD or CD Sharing<br />
Screen Sharing (VNC)<br />
File Sharing (AFP, FTP, and SMB)<br />
Printer Sharing (CUPS)<br />
Chapter 10 - Advanced Security Management<br />
Managing Authorization Through Rights<br />
Understanding the Policy Database<br />
Managing Authorization Rights<br />
Maintaining System Integrity<br />
Validating File Integrity<br />
Using Digital Signatures<br />
Appendix A - Security Checklist<br />
Installation Action Items<br />
Hardware Action Items<br />
Global System Action Items<br />
System Preferences Action Items<br />
Account Configuration Action Items<br />
Appendix B - Security Scripts<br />
POUR PLUS D’INFORMATION<br />
SEPTEMBRE 2010<br />
Understanding Directory Domains<br />
Using Strong Authentication<br />
Setting Global Password Policies<br />
Storing Credentials<br />
About Certificates<br />
Encrypting Home Folders<br />
Encrypting Portable Files<br />
Securely Erasing Data<br />
Securing Guest OSes with Boot Camp<br />
Understanding the Time Machine Architecture<br />
Storing Backups Inside Secure Storage<br />
Restoring Backups from Secure Storage<br />
Enhancing Multimedia Security with iTunes<br />
Setting Photo Sharing Security with iPhoto<br />
Setting Contact Sharing Security with Address Book<br />
Strengthening Data Security with MobileMe<br />
Scanner Sharing<br />
Web Sharing (HTTP)<br />
Remote Login (SSH)<br />
Remote Management (ARD)<br />
Remote Apple Events (RAE)<br />
Xgrid Sharing<br />
Internet Sharing<br />
Bluetooth Sharing<br />
Understanding and Managing Daemons and Agents<br />
Using Activity Analysis Tools<br />
Validating System Logging<br />
Auditing System Activity<br />
Using Antivirus Tools<br />
Using Intrusion Detection Systems<br />
Encryption (DAR) Action Items<br />
Application Action Items<br />
Services Action Items<br />
Advanced Management Action Items<br />
http://images.apple.com/support/security/guides/docs/SnowLeopard_Security_Config_v10.6.pdf<br />
http://images.apple.com/support/security/guides/docs/SnowLeopard_Server_Security_Config_v10.6.pdf<br />
DISA – SUPPORTS DE STOCKAGE AMOVIBLES<br />
L’agence pour les systèmes d’information de la défense, la DISA, vient de publier un guide de<br />
prescriptions de sécurité adaptées aux supports de stockages amovibles et, plus largement, aux<br />
technologies de connexion de périphériques tiers; dans les faits, les connexions USB. Ce guide,<br />
intitulé ‘Removable Storage and External Connection Technologies’, est livré sous la forme<br />
d’un fichier d’archive, un paquetage, contenant trois documents dont un détaillant l’historique des<br />
évolutions.<br />
Le premier document, ‘Overview’, propose une très intéressante synthèse des problèmes posés par la<br />
commercialisation de périphériques amovibles intelligents, performants et d’un prix très abordable,<br />
autorisant le stockage de gros volumes de données, voire leur traitement, dans un encombrement réduit<br />
à l’extrême. Un succès notamment dû à la présence sur toutes les machines récentes d’interfaces<br />
autorisant le raccordement de périphériques, et leur alimentation, à chaud, c.-à-d. sans avoir à<br />
réinitialiser le poste de travail : interface sans fil Bluetooth, bus Firewire mais aussi et surtout, bus<br />
USB. Bien qu’applicables à tous ces supports de connexion, les prescriptions de la DISA traitent plus<br />
particulièrement du contrôle de l’usage des périphériques USB, dispositifs de loin les plus nombreux sur le<br />
marché. Une situation qui s’explique par les évolutions successives de ce bus – USB V1, USB V2 et<br />
désormais USB V3 – qui ont permis d’améliorer le taux de transfert et d’enrichir la panoplie des<br />
fonctionnalités offertes à l’usager. Parmi celles-ci, la définition de classes d’utilisation, et des interfaces<br />
programmatiques associées, qui permettent d’automatiser la reconnaissance d’un périphérique, et<br />
Veille Technologique Sécurité N°146 Page 17/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
d’inscrire automatiquement celui-ci dans la liste des ressources actives du système. A ce jour, quelques<br />
19 classes ont été spécifiées par le consortium en charge de la spécification USB dont les classes ‘Audio’<br />
(périphérique audio), ‘Image’ (caméras et appareils photo), ‘Printer’ (Imprimantes), ‘Mass Storage’<br />
(Stockage de données), ‘Wireless Controller’ (Interface réseau sans fil), ‘Smard Card’, ‘Personnal<br />
Healthcare’ ou encore ‘Human Interface Device’ dit ‘HID’.<br />
Cette dernière classe de périphériques est particulièrement intéressante car elle englobe tous les<br />
périphériques de saisie usuels d’un système, le clavier, la souris, la manette de jeu mais aussi <strong>cert</strong>ains<br />
canaux de communication auxiliaires tels que les interfaces de contrôle des onduleurs, des téléphones ou<br />
encore des systèmes multimédia. La simple insertion d’un périphérique USB s’annonçant avec un<br />
identifiant de classe HID dans le port USB d’un système récent va automatiquement activer un processus<br />
destiné à connecter les interfaces d’entrée/sortie du périphérique au gestionnaire approprié au type<br />
annoncé par ce périphérique, un clavier par exemple. Une fonctionnalité <strong>cert</strong>es remarquable sur le plan de<br />
l’ergonomie et de la facilité d’utilisation – aucun gestionnaire de périphérique à charger – mais qui pourra<br />
être exploitée avec succès à des fins détournées, par exemple pour capturer les données saisies sur le<br />
périphérique principal en s’insérant dans la chaîne de traitement, ou encore pour transmettre des<br />
commandes sur un système industriel dont le clavier aurait simplement été déconnecté.<br />
Un excellent exemple de détournement de cette fonctionnalité a d’ailleurs été présenté cette année lors<br />
de l’édition USA de la conférence BlackHat par Richard Rushing dans une présentation intitulée ‘USB -<br />
HID, The Hacking Interface Design’. L’auteur y démontre la facilité avec laquelle un bricoleur pourra, sans<br />
être un génie de l’électronique et de la programmation, réaliser pour un investissement dérisoire (une<br />
dizaine d’euro tout au plus) un dispositif permettant d’exécuter, après connexion et sans autre action, des<br />
commandes sur le système Windows cible. Ce dispositif utilise une minuscule carte de développement<br />
commercialisée sur Internet offrant une interface USB ainsi que la librairie HID ad hoc. Quelques<br />
secondes après que l’interface soit connectée, une fonction développée sur mesure transmet la séquence<br />
des codes claviers requise pour ouvrir la fenêtre ‘Exécuter’, lancer l’interpréteur de commande ‘cmd.exe’<br />
puis enfin passer une série de commandes sous l’autorité du compte actif.<br />
Deux autres fonctionnalités sont susceptibles de poser quelques problèmes de sécurité:<br />
- la spécification ‘On the GO’ ou ‘OTG’, une<br />
extension de la spécification USB 2.0, qui décrit les<br />
fonctionnalités permettant à un périphérique USB<br />
2.0 d’activer une association avec un autre<br />
périphérique comme le ferait un contrôleur USB.<br />
Cette fonctionnalité, que l’on trouvera intégrée à<br />
<strong>cert</strong>ains disques amovibles intégrant une batterie,<br />
permet d’assurer la recopie de données, pour<br />
sauvegarde par exemple, d’un périphérique à<br />
l’autre sans avoir à recourir à un ordinateur.<br />
Utilisée à mauvais escient, elle permettra de copier<br />
rapidement, et en toute discrétion, le contenu de<br />
tout équipement de stockage disposant d’une<br />
interface USB: clef, disque mais aussi caméra,<br />
appareil photo numérique ou téléphone portable.<br />
- la spécification dite ‘U3’ proposée par la société U3 LLC. qui décrit l’intégration d’un système de fichier<br />
au format ISO 9660 – le format des CD-ROM – déclaré en lecture seule et contenant un fichier de<br />
démarrage automatique, ‘autorun.inf’ ainsi qu’un système de menu permettant de sélectionner<br />
l’application à exécuter parmi les applications présentes sur le support. Cette fonctionnalité semble ne<br />
pas avoir eu le succès attendu, pas plus que l’alternative, Startkey, proposée par Microsoft. Le niveau<br />
de sécurité de cette approche a été remis en cause par quelques publications prouvant qu’il était<br />
possible de recharger le firmware de <strong>cert</strong>aines clefs et ainsi de changer le contenu du disque pourtant<br />
censé être inaltérable.<br />
La DISA rappelle qu’en 2008 le Département de la Défense américain suspendait l’autorisation d’utiliser<br />
en environnement Windows les supports de données amovibles utilisant la technologie ‘Flash’. Cette<br />
interdiction faisait suite aux nombreux problèmes de sécurité – propagation de codes malveillants mais<br />
aussi fuites d’informations sensibles - auxquels le DoD se retrouvait confronté avec la démocratisation de<br />
cette technologie. Depuis, cette règle s’est très légèrement assouplie, le DoD admettant un usage limité<br />
et strictement encadré des supports de données amovibles dans le contexte d’opérations spécifiques en<br />
relation avec le système d’information global de la défense dit ‘Global Information Grid’ ou ‘GIG’.<br />
Le second document, ‘STIG’, contient la liste des prescriptions applicables à ces dispositifs. Ce document<br />
est fourni au format XML, comme c’est désormais le cas des mises à jour, et des nouveaux guides, de la<br />
DISA. L’objectif annoncé est de faciliter l’intégration des prescriptions énumérées par ces documents au<br />
sein de l’environnement de description unifié dit ‘XCCDF’ (eXtensible Configuration Checklist Description<br />
Format) lequel a été conçu pour être utilisé par les outils d’automatisation développés dans le cadre du<br />
Veille Technologique Sécurité N°146 Page 18/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
projet SCAP (Security Content Automation Protocol) (Rapport N°130 – Mai 2009).<br />
La visualisation des documents XCCDF s’effectuera<br />
donc à travers un navigateur Internet, le fichier de<br />
transformation XSL étant livré dans le paquetage.<br />
Le référencement des documents en fonction de leur<br />
usage – STIG pour les Guides et CheckList pour les<br />
listes de contrôle – n’a plus de raison d’être et<br />
disparaitra donc au fur et à mesure de la mise à jour<br />
du référentiel documentaire.<br />
Cette évolution engagée il y a maintenant quelques<br />
mois transparaissait déjà dans le tableau de<br />
synthèse que nous mettons à jour après chaque<br />
nouvelle publication.<br />
On notera par ailleurs que les documents d’accompagnement au format WORD référencés par les guides<br />
dans leur ancienne version ne seront plus livrés. Nous convions nos lecteurs désireux d’en savoir plus à se<br />
reporter au document intitulé ‘STIG Transition to XCCDF’ dont un exemplaire est intégré à chaque<br />
paquetage.<br />
Chaque prescription de la DISA porte une identification unique. Elle précise le niveau de sécurité traité<br />
conformément à l’échelle définie par le DoD qui comporte trois niveaux:<br />
- 1: vulnérabilités offrant un accès immédiat sur une machine, un accès à un compte privilégié ou le<br />
contournement d’un pare-feu,<br />
- 2: vulnérabilités fournissant de l’information susceptible d’être exploitée pour obtenir un accès avec une<br />
haute probabilité,<br />
- 3: vulnérabilités fournissant de l’information susceptible de conduire à la compromission du système.<br />
Au total, 20 prescriptions sont ainsi définies dans la version actuelle du guide ‘Removable Storage and<br />
External Connection Technologies’ que nous reproduisons ci-dessous pour information: 8 prescriptions<br />
applicables aux applications de gestion de ces périphériques, 6 prescriptions d’ordre organisationnel, et le<br />
reste aux dispositifs.<br />
STO-ALL-010 Require approval prior to allowing use of portable storage devices.<br />
STO-ALL-020 Permit only government-procured and -owned devices.<br />
STO-ALL-030 Maintain a list of approved removable storage media or devices.<br />
STO-ALL-040<br />
STO-ALL-050<br />
STO-ALL-070<br />
STO-DRV-005<br />
STO-DRV-010<br />
STO-DRV-020<br />
STO-DRV-021<br />
STO-DRV-025<br />
STO-DRV-030<br />
STO-DRV-040<br />
STO-DRV-060<br />
STO-FLSH-010<br />
Set boot order of computers approved for use with removable storage such that the BIOS<br />
does not allow default booting from devices attached to a USB, firewire, or eSATA port.<br />
Train all users on the secure use of removable media and storage devices, acceptable use<br />
policy, and approval process through use of user's guide, user's agreement, training program.<br />
The host system will perform on-access anti-virus and malware checking, regardless of<br />
whether the external storage or flash drive has software or hardware malware features.<br />
DoD components will purchase removable storage media and Data at Rest (DAR) products<br />
from the DoD Enterprise Software Initiative (ESI) blanket purchase agreements program.<br />
Access to mobile and removable storage devices such as USB thumb drives and external hard<br />
disk drives will be protected by password, PIN, or passphrase.<br />
Encrypt sensitive but unclassified data when stored on a USB flash drive and external hard disk<br />
drive.<br />
Use an NSA-approved, Type 1 <strong>cert</strong>ified data encryption and hardware solution when storing<br />
classified information on USB flash media and other removable storage devices.<br />
Configure the cryptographic module on a USB thumb drive or external hard drive using a NISTapproved<br />
encryption algorithm to encrypt sensitive or restricted data-at-rest.<br />
For all USB flash media (thumb drives) and external hard disk drives, use an approved method<br />
to wipe the device before using for the first-time.<br />
Firmware on the USB flash drive and external hard drive will be signed and verified with either<br />
Hashed Message Authentication Code (HMAC) or digital signatures.<br />
Removable storage devices for which the organization has failed to maintain physical control<br />
will be scanned for malicious activity upon reclamation.<br />
Data transfers using USB flash media (thumb drives) will comply with the requirements in the<br />
CTO 10-004(A or most recent version) and these procedures will be documented.<br />
STO-FLSH-020 Maintain a list of all personnel that have been authorized to use flash media.<br />
STO-FLSH-030 Maintain a list of all end point systems that have been authorized for use with flash media.<br />
STO-FLSH-040<br />
Install and configure Host-Based Security System (HBSS) with Device Control Module (DCM)<br />
on all Windows host computers that will use USB flash media (thumb drives).<br />
STO-FLSH-050 For end points using Windows operating systems, USB flash media will be restricted by a<br />
Veille Technologique Sécurité N°146 Page 19/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
STO-FLSH-060<br />
STO-FLSH-070<br />
SEPTEMBRE 2010<br />
specific device or by a unique identifier (e.g., serial number) to specific users and machines.<br />
Organizations that do not have a properly configured HBSS with DCM configuration will not use<br />
flash media.<br />
For higher risk data transfers using thumb drives, use the File Sanitization Tool (FiST) with<br />
Magik Eraser (ME) to protect against malware and data compromise.<br />
USB-WUSB-010 For Wireless USB (WUSB) devices, comply with the Wireless STIG peripheral devices policy.<br />
Nos lecteurs n’auront pas manqué de noter le référencement de deux outils, l’un dit ‘File Sanitization<br />
Tool’ assurant la stérilisation du support et l’autre, ‘Magik Eraser’, son effacement. Ces outils semblent<br />
avoir été spécialement développés pour le DoD par la société commerciale Tresys Technology.<br />
Le sommaire du document d’accompagnement de 14 pages publié est le suivant:<br />
1. INTRODUCTION<br />
1.1 Background<br />
1.2 Authority.<br />
1.3 Scope.<br />
1.4 Vulnerability Severity Code Definitions<br />
1.5 STIG Distribution<br />
1.6 Document Revisions<br />
2. TECHNOLOGY OVERVIEW<br />
2.1 USB Devices<br />
2.1.1 USB Standards<br />
2.1.2 USB Compliance Testing<br />
2.2 Volatile and Persistent Memory Devices<br />
2.3 Flash Media Use in DoD<br />
2.4 Performing a Security Assessment<br />
POUR PLUS D’INFORMATION<br />
http://iase.disa.mil/stigs/downloads/zip/unclassified_removable_storage_extl_%20conn_tech_v1r1_stig.zip<br />
http://www.<strong>cert</strong>-<strong>devoteam</strong>.fr/articles/CERT-DVT-130-0509_SCAP.pdf<br />
DISA – STIG MEDICAL DEVICES<br />
La directive ‘Information Assurance 8500.1’ du département américain de la défense – DoD<br />
– stipule que la configuration de tous les dispositifs de protection de l’information - dits ‘IA<br />
products’ - (pare-feux, anti-virus, IDS...), ou intégrant un mécanisme de protection - dits ‘IAenabled<br />
products’ - (systèmes d’exploitation, applications, bases de données, routeurs…), doit<br />
être conforme aux spécifications décrites dans les guides de configuration édités par l’agence pour les<br />
systèmes d’information de la défense, la DISA. La sécurité à long terme du système d’information est<br />
assurée par la mise en place d’un programme de gestion des vulnérabilités, dit ‘Information Assurance<br />
Vulnerability Management’ ou IAVM.<br />
Une analyse récemment menée par le DoD a mis en évidence la non-conformité des matériels médicaux<br />
utilisés dans les unités médicales placées sous le commandement du service de santé de la défense, le<br />
MHS (Military Health Systems), notamment en ce qui concerne la conformité au programme de gestion<br />
des vulnérabilités quand pourtant un nombre croissant de ces matériels sont interconnectés directement,<br />
ou par le biais de connections sans fil, à des réseaux IP, dont <strong>cert</strong>ains publics. La mise à jour des logiciels<br />
embarqués dans ces équipements s’avère être très problématique au regard du contexte de leur<br />
d’utilisation, et de l’impact que pourrait avoir un quelconque problème sur la santé des patients.<br />
L’administration américaine des denrées alimentaires et des médicaments, la célèbre ‘Food & Drugs<br />
Administration’ ou FDA, impose comme ses homologues dans d’autres pays une procédure de <strong>cert</strong>ification<br />
draconienne visant à vérifier que les équipements réagissent comme ils le doivent sans risquer de mettre<br />
en péril la vie des usagers. La décision d’appliquer un correctif, le plus anodin soit-il, ne pourra donc être<br />
prise sans l’aval préalable de la FDA, avec les conséquences que l’on imagine sans peine sur le délai de<br />
mise en application. Il est des cas où l’application d’un correctif ne pourra même pas être envisagée, le<br />
matériel ou le logiciel embarqué dans celui-ci étant obsolète depuis longtemps. La DISA indique à ce<br />
sujet que plusieurs vendeurs ont explicitement indiqué que <strong>cert</strong>ains de leurs matériels ne pourront être,<br />
et ne seront jamais, compatibles avec les exigences du programme de gestion IAVM. Une prise de<br />
position qui n’a rien d’étonnant au regard du nombre d’équipements produits ces quinze dernières<br />
années, et encore en usage, quand le système d’exploitation qui les anime n’est plus supporté depuis<br />
plusieurs années: moniteur cardiaque utilisant une version allégée du système Windows 95 ou 98,<br />
système d’imagerie s’appuyant sur un système temps réel dédié… Les exemples sont probablement légion<br />
en particulier s’agissant d’équipements projetables ou spécifiques.<br />
La stricte application des règles de sécurité du DoD interdit la connexion de ces équipements au réseau<br />
d’information global de la défense, Global Information Grid ou GiG, sauf à justifier de l’application d’une<br />
stratégie de réduction du risque. Le guide de sécurisation dédié à ces équipements que vient de publier la<br />
Veille Technologique Sécurité N°146 Page 20/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
DISA décrit par le détail les aménagements devant être apportés à la structure du système d’information,<br />
dont principalement l’infrastructure de communication, pour répondre aux exigences de protection. Les<br />
stratégies d’isolation et de filtrage des flux, considérées par <strong>cert</strong>ains comme inutiles dans le contexte de<br />
systèmes d’information récents, reprennent ici tout leur intérêt en permettant la création d’enclaves<br />
accueillant les équipements non-conformes IAVM ou dont la conformité avec les exigences IAVM est<br />
inconnue. Cette dernière catégorie regrouperait d’après la DISA la majorité des matériels médicaux<br />
communicants du service de santé de la défense.<br />
Le sommaire du guide de 56 pages publié par la DISA est le suivant:<br />
1. INTRODUCTION<br />
2. MEDICAL DEVICE OVERVIEW<br />
2.1 Introduction<br />
2.2 Medical Device Class<br />
2.2.1 Class I<br />
2.2.2 Class II<br />
2.2.3 Class III<br />
3. NETWORKED MEDICAL DEVICES<br />
3.1 Introduction<br />
3.2 Networked Medical Devices Life Cycle<br />
3.2.1 Networked Medical Device Procurement<br />
3.2.2 Inventory<br />
3.2.3 Device Classification<br />
3.2.4 Device Accreditation<br />
3.2.5 Networked Medical Device Configuration Control<br />
3.2.6 Networked Medical Device Vulnerability Management<br />
3.2.7 Incident Response<br />
3.2.8 Maintenance<br />
3.2.9 Disposal<br />
4. NETWORKED MEDICAL DEVICES IN MILITARY HEALTH TREATMENT FACILITIES<br />
4.1 Networked Medical Device IAVM Types<br />
4.2 Networked Medical Device VLAN Separation<br />
4.2.1 Virtual Local Area Network (VLAN)<br />
4.3 Networked Medical Device Security Zone<br />
4.4 Screened Subnet<br />
4.5 Networked Medical Device Architecture Security Settings<br />
4.5.1 VLAN Security Settings<br />
4.5.2 Access Control Lists (ACLs)<br />
4.5.3 Networked Medical Device Intrusion Detection/Prevention System<br />
4.5.4 Port Security for VLAN-Separated Medical Device Segments<br />
5. NETWORKED MEDICAL DEVICE MANAGEMENT AND MAINTENANCE<br />
5.1 Internally Supported Devices<br />
5.1.1 Out-of-Band Management<br />
5.1.2 In-Band Management<br />
5.2 Externally Supported Devices<br />
5.3 Authentication<br />
6. NETWORKED MEDICAL DEVICE SECURITY<br />
6.1 Device Configuration<br />
6.1.1 Device Settings<br />
6.1.2 Networked Medical Device Security Settings<br />
6.2 Wireless<br />
APPENDIX A. RELATED PUBLICATIONS<br />
APPENDIX B. GLOSSARY OF TERMS<br />
APPENDIX C. LIST OF ACRONYMS<br />
APPENDIX D. MEDICAL DEVICE SPECIALITIES<br />
POUR PLUS D’INFORMATION<br />
http://iase.disa.mil/stigs/stig/medical_devices_stig_memo.pdf<br />
http://iase.disa.mil/stigs/stig/unclassified_medical_device_stig_27July2010_v1r1FINAL.pdf<br />
STANDARDS<br />
RFC5991 - TEREDO SECURITY UPDATE<br />
Co-édité par D.Thaler (Microsoft), S.Krishnan (Ericsson) et J.Hoagland (Symantec), ce document décrit<br />
les modifications apportées à la définition du rôle d’un champ de bits intégré dans chacune des adresses<br />
IPV6 utilisée par Teredo. Cette modification des spécifications n’impactera pas les implémentations<br />
actuelles qui utilisent la spécification décrite dans le RFC4380 ‘Teredo: Tunneling IPv6 over UDP through<br />
Veille Technologique Sécurité N°146 Page 21/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
Network Address Translations (NATs)’.<br />
Rappelons que le protocole Teredo, spécifié par Christian Huitema, autorise l’accès à des systèmes<br />
adressés en IPV6 par le biais de systèmes IPV4 ou IPV6 disposant d’un accès sur un réseau de transport<br />
IP V4, soit en pratique la majorité des accès Internet actuels. Les paquets IPV6 sont pour cela encapsulés,<br />
non pas dans un paquet IPV4 comme cela est le cas du mécanisme 6to4, mais dans un paquet UDP qui<br />
pourra alors être routé à travers l’Internet par tout équipement de raccordement offrant une fonction de<br />
translation d’adresse (NAT).<br />
Un poste de travail disposant d’un client Teredo offrant une interface réseau spécifique dotée d’une<br />
adresse IPV6 unique mais respectant un format bien défini. Les paquets IPV6 seront gérés par cette<br />
interface qui assurera leur insertion ou extraction des datagrammes UDP transportés entre le client et un<br />
équipement tiers public ou privé – un relais ou un serveur Teredo – assurant l’interface avec le réseau<br />
IPV6 cible.<br />
Teredo est nativement intégré dans le système d’exploitation Windows depuis la version XP SP2 mais<br />
devra toutefois être explicitement activé à l’exception de l’environnement Vista. Pour la petite histoire, la<br />
configuration fournie par Microsoft référence le serveur ‘teredo.ipv6.microsoft.com’ lequel, longtemps<br />
inaccessible, fût la cause d’une pollution des intranets par les nombreuses requêtes transmises par les<br />
postes de travail sous Vista. L’un des plus gros fournisseurs d’accès Teredo, hors Microsoft, est encore<br />
probablement l’opérateur Américain Hurricane Electric avec son service gratuit ‘TunnelBroker’ et ses 14<br />
points d’accès repartis dans le monde: Ashburn, Chicago, Dallas, Fremont, Los Angeles, Miami, New York,<br />
Seattle, Toronto pour le continent américain et Amsterdam, Frankfurt, Hong Kong, London, Paris pour le<br />
reste du monde.<br />
Les modifications apportées à la spécification originale visent à améliorer la robustesse de ce protocole de<br />
transport et d’interconnexion vis-à-vis d’attaques spécifiques exploitant <strong>cert</strong>aines spécificités de la<br />
structure d’information intégrée à l’adresse IPV6 Teredo. Ainsi, 12 des 13 bits inutilisés de la structure de<br />
16 bits réservée dans l’adresse IPV6 contiendront une valeur aléatoire. Un attaquant ayant connaissance<br />
par un moyen, ou un autre, de l’adresse IPV4 et du numéro de port assigné au client devra encore<br />
déterminer l’adresse IPV6 en usage parmi les 4096 (2 12 ) adresses possibles. La première phase de la<br />
procédure d’établissement, laquelle autorisait l’échange de messages de contrôle préalablement à<br />
l’utilisation de l’adresse IPV6 Teredo, devra désormais être ignorée. Cette fonctionnalité pouvait être<br />
utilisée par un tiers pour profiler l’infrastructure. Ceci conduit à déprécier l’usage de l’indicateur binaire,<br />
dit ‘Cone Bit’, lequel devra et sera toujours transmis à 0.<br />
Le sommaire de cette spécification de 10 pages est le suivant:<br />
1. Introduction<br />
2. Terminology<br />
3. Specification<br />
3.1. Random Address Flags<br />
3.2. Deprecation of Cone Bit<br />
4. Security Considerations<br />
5. Acknowledgments<br />
6. References<br />
6.1. Normative References<br />
6.2. Informative References<br />
Appendix A. Implementation Status<br />
Appendix B. Resistance to Address Prediction<br />
POUR PLUS D’INFORMATION<br />
http://www.rfc-editor.org/rfc/rfc5991.txt<br />
Veille Technologique Sécurité N°146 Page 22/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
CONFERENCES<br />
BRUCON 2010<br />
SEPTEMBRE 2010<br />
TABLEAUX DE SYNTHESE<br />
La conférence technique BruCon 2010 s’est tenue les 24 et 25 septembre à Bruxelles. La<br />
majorité des supports des présentations sont disponibles en ligne. Voici la liste des<br />
présentations.<br />
"The Monkey Steals the Berries" The State of Mobile Security Tyler Shields<br />
Creating a CERT at WARP Speed: How To Fast Track the Implementation of Your CERT Brian Honan<br />
CsFire: browser-enforced mitigation against CSRF Lieven Desmet<br />
Cyber [Crime|War] - connecting the dots Ian Amit<br />
Embedded System Hacking and My Plot To Take Over The World Paul Asadoorian<br />
Finding Backdoors in Code Matias Madou<br />
Fireshark - A tool to Link the Malicious Web Stephan Chenette<br />
GSM security: fact and fiction F van den Broek<br />
Head Hacking – The Magic of Suggestion and Perception Dale Pearson<br />
How I Met Your Girlfriend Samy Kamkar<br />
Memoirs of a Data Security Street Fighter Mikko Hypponen<br />
NFC Malicious Content Sharing Roel Verdult<br />
Project Skylab 1.0: Helping You Get Your Cloud On Craig Balding<br />
The WOMBAT Project: Recent Developments in Internet Threats Analysis Thonnard, Moser<br />
Top 5 ways to steal a company "Forget root, I want it all" Chris Nickerson<br />
You Spent All That Money And You Still Got Owned... Joseph McCray<br />
Your Project: From Idea To Reality "Make A Living Doing What You Love" Mitch Altman<br />
POUR PLUS D’INFORMATION<br />
http://2010.brucon.org/index.php/Presentations<br />
IETF – 78TH MEETING<br />
La 78 ième édition de la réunion plénière de l’IETF s’est tenue en Europe, du 25 au 30 juillet 2010<br />
à Maastricht, l’occasion pour les participants de plus de 98 groupes de travail de se rencontrer<br />
et de faire un point sur l’avancement de leurs travaux.<br />
Les minutes de toutes les réunions des groupes sont disponibles en ligne, accompagnées des supports de<br />
présentations ayant pu être faites par <strong>cert</strong>ains participants. Il ne nous est hélas pas possible de lister ici<br />
l’intégralité des documents publiés dans les 8 thèmes de travail de l’IETF (Applications, Général, Internet,<br />
Supervision et Management, Applications Temps réel et Infrastructure, Routage, Sécurité, et Transport).<br />
Nous nous restreindrons en conséquence au thème de la sécurité, et des groupes de travail associés.<br />
dkim Domain Keys Identified Mail<br />
Third-Party Authorization Label for ADSP<br />
emu EAP Method Update<br />
Channel Bindings : The train departs the Station<br />
EAP ID Protection<br />
fedauth Federated Authentication Beyond the Web<br />
Beyond The Web: Problem Statement and Requirements<br />
Eduroam Trust Management<br />
Introduction & use-cases<br />
Key Negotiation Protocol<br />
Project Moonshot<br />
hokey Handover Keying<br />
ERP extension for EAP Early- authentication Protocol (EEP)<br />
ERP/AAK support for Inter-AAA realm handover<br />
IEEE 802.21a Status Report<br />
RFC5296bis<br />
ipsecme IP Security Maintenance and Extensions<br />
IPsec High Availability – Recap<br />
IPsecME WG Status<br />
Veille Technologique Sécurité N°146 Page 23/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
Modes of Operation for SEED for Use with IPsec<br />
Proposed IPsec HA Cluster Protocol<br />
Secure Failure Detection Decision Process<br />
kitten Common Authentication Technology Next Generation<br />
kitten update<br />
Naming Extensions Lessons Learned<br />
ltans Long-Term Archive and Notary Services<br />
Agenda<br />
LTANS Architecture<br />
Validation & long term verification data for Evidence Records & signed documents<br />
XML Evidence Record Syntax<br />
msec Multicast Security<br />
GDOI Update<br />
Opening Slides<br />
Update on Symmetric Key Transport<br />
nea Network Endpoint Assessment<br />
NEA Slides for IETF 78<br />
pkix Public-Key Infrastructure (X.509)<br />
Additional Key Identifier Methods<br />
CMC Updates<br />
OCSP Algorithm Agility<br />
OCSP Update<br />
PKIX Overview<br />
RFC 5280 Clarifications<br />
Transport Protocols for CMP<br />
saag Security Area Open Meeting<br />
Agenda and Overview<br />
Cipher Suite Proliferation<br />
Cryptographically Generated Address (CGA) Extension Header for IPV6<br />
Distributed Security Architecture Within Enterprise Environments -1<br />
Distributed Security Architecture Within Enterprise Environments -2<br />
ECC Efficiencies<br />
Revisiting IPv6 Node Requirements<br />
TLS Server ID Check<br />
tls Transport Layer Security<br />
AES-CCM<br />
Agenda<br />
Server ID Check<br />
SSL Must Not<br />
TLS Cached Information<br />
POUR PLUS D’INFORMATION<br />
http://www.ietf.org/proceedings/78/<br />
http://www.ietf.org/proceedings/78/sec.html<br />
GUIDES<br />
CERTA – NOTES ET AVIS<br />
Le CERTA (le Centre d'Expertise Gouvernemental de Réponse et de Traitement des<br />
Attaques informatiques Français) a mis à jour sa note d’information CERTA-2002-INF-001<br />
sur la vulnérabilité de type ‘Cross-Scripting’ initialement publiée en 2002.<br />
Les recommandations (REC) et notes d’information (INF) du CERTA, publiées ou mises à jour il y a moins<br />
de trois ans, sont listées dans le tableau suivant, triées par date de mise à jour.<br />
NOTES D’INFORMATION M<br />
2002-INF-001 Vulnérabilité de type « Cross Site Scripting » 14/10/10 M<br />
2000-INF-002 Mesures de prévention relatives à la messagerie 27/03/09<br />
2008-INF-005 Gestion des journaux d'événements 31/12/08<br />
2008-INF-004 E-mail backscatting, pollution par des rapports de non-livraison de courriels 19/12/08<br />
2008-INF-003 Les attaques de type «cross-site request forgery» 17/12/08<br />
2008-INF-002 Du bon usage du DNS 21/07/08<br />
2008-INF-001 iFRAME, fonctionnement et protection 17/07/08<br />
2006-INF-004 Migration IPv6 : enjeux de sécurité 09/01/08<br />
2002-INF-002 Les bons réflexes en cas d'intrusion sur un système d'information 07/01/08<br />
Veille Technologique Sécurité N°146 Page 24/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
2007-INF-003 Sécurité des réseaux sans fil Bluetooth 01/08/07<br />
2007-INF-002 Du bon usage de PHP 20/03/07<br />
2007-INF-001 Conseils pour la gestion des noms de domaine 02/02/07<br />
2006-INF-006 Risques associés aux clés USB 15/01/09<br />
2006-INF-009 Outils d'indexation et de recherche 21/11/06<br />
2006-INF-002 Terminologie d'usage au CERTA 21/04/06<br />
2006-INF-001 Filtrage et pare-feux 10/01/06<br />
2005-INF-005 Bonnes pratiques concernant l'hébergement mutualisé 19/12/05<br />
2001-INF-003 Tunnels et pare-feux : une cohabitation difficile 05/10/05<br />
2005-INF-004 Limiter l'impact du SPAM 03/10/05<br />
2005-INF-002 Les mémentos du CERTA 24/06/05<br />
2005-INF-001 Les mots de passe 24/06/05<br />
2005-INF-003 Les systèmes et logiciels obsolètes 13/06/05<br />
2004-INF-001 Sécurité des applications Web et vulnérabilité de type "injection de données" 03/01/05<br />
RECOMMANDATIONS<br />
2005-REC-003 Les systèmes et les logiciels obsolètes 16/07/10<br />
2002-REC-002 Sécurité des réseaux sans fil (Wi-Fi) 21/11/08<br />
2005-REC-002 Attaque ciblée par cheval de Troie 24/06/05<br />
2005-REC-001 La bonne utilisation des protocoles SSL/TLS 01/03/05<br />
POUR PLUS D’INFORMATION<br />
http://www.<strong>cert</strong>a.ssi.gouv.fr/<br />
NIST – ETAT DES GUIDES DE LA SERIE SPECIALE 800<br />
Le NIST vient de publier pour commentaire les guides SP800-135 ‘Recommendation for<br />
Existing Application-Specific Key Derivation Functions’ et SP800-56C ‘Recommendation<br />
for Key Derivation through Extraction-then-Expansion’.<br />
SP800-135 Recommendation for Existing Application-Specific Key Derivation Functions [R] 09/10 N<br />
SP800-132 Recommendation for Password-Based Key Derivation - Part 1: Storage Applications [R] 06/10<br />
SP800-131 Recommendation for the Transitioning of Cryptographic Algorithms and Key Sizes [R] 06/10<br />
SP800-130 Framework for Designing Cryptographic Key Management Systems [R] 06/10<br />
SP800-128 Guide for Security Configuration Management of Information Systems [R] 03/10<br />
SP800-126r1 The Technical Specification for SCAP [R] 05/10<br />
SP800-126 The Technical Specification for SCAP [F] 11/09<br />
SP800-125 Guide to Security for Full Virtualization Technologies [R] 07/10<br />
SP800-124 Guidelines on Cell Phone and PDA Security [F] 11/08<br />
SP800-123 Guide to General Server Security [F] 07/08<br />
SP800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information [F] 04/10<br />
SP800-121 Guide to Bluetooth Security [F] 09/08<br />
SP800-119 Guidelines for the Secure Deployment of IPv6 [R] 02/10<br />
SP800-120 EAP Methods used in Wireless Network Access Authentication [F] 09/09<br />
SP800-118 Guide to Enterprise Password Management [R] 04/09<br />
SP800-117 Guide to Adopting and Using the Security Content Automation Protocol [F] 07/10<br />
SP800-116 Recommendation for the Use of PIV Credentials in Physical Access Control Systems [F] 11/08<br />
SP800-115 Technical Guide to Information Security Testing [F] 09/08<br />
SP800-114 User’s Guide to Securing External Devices for Telework and Remote Access [F] 11/07<br />
SP800-113 Guide to SSL VPNs [F] 07/08<br />
SP800-111 Guide to Storage Encryption Technologies for End User Devices [R] 11/07<br />
SP800-110 Information System Security Reference Data Model [R] 09/07<br />
SP800-108 Recommendation for Key Derivation Using Pseudorandom Functions [F] 11/08<br />
SP800-107 Recommendation for Using Approved Hash Algorithms [F] 02/09<br />
SP800-106 Randomized Hashing Digital Signatures [F] 02/09<br />
SP800-104 A Scheme for PIV Visual Card Topography [F] 06/07<br />
SP800-103 An Ontology of Identity Credentials, Part I: Background and Formulation [R] 09/06<br />
SP800-102 Recommendation for Digital Signature Timeliness [F] 09/09<br />
SP800-101 Guidelines on Cell Phone Forensics [F] 05/07<br />
SP800-100 Information Security Handbook: A Guide for Managers [F] 03/07<br />
SP800-98 Guidance for Securing Radio Frequency Identification (RFID) Systems [F] 04/07<br />
SP800-97 Guide to IEEE 802.11i: Robust Security Networks [F] 02/07<br />
SP800-96 PIV Card / Reader Interoperability Guidelines [R] 09/06<br />
SP800-95 Guide to Secure Web Services [F] 08/07<br />
SP800-94 Guide to Intrusion Detection and Prevention (IDP) Systems [F] 02/07<br />
SP800-92 Guide to Computer Security Log Management [F] 09/06<br />
SP800-90 Random Number Generation Using Deterministic Random Bit Generators [F] 03/07<br />
SP800-89 Recommendation for Obtaining Assurances for Digital Signature Applications [F] 11/06<br />
Veille Technologique Sécurité N°146 Page 25/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
SP800-88 Guidelines for Media Sanitization [F] 09/06<br />
SP800-87r1 Codes for the Identification of Federal and Federally-Assisted Organizations [F] 04/08<br />
SP800-86 Computer, Network Data Analysis: Forensic Techniques to Incident Response [F] 08/06<br />
SP800-85A2 PIV Card Application and Middleware Interface Test Guidelines [F] 07/10<br />
SP800-85A1 PIV Card Application and Middleware Interface Test Guidelines [F] 03/09<br />
SP800-85B1 PIV Middleware and PIV Card Application Conformance Test Guidelines [R] 09/09<br />
SP800-85B PIV Middleware and PIV Card Application Conformance Test Guidelines [F] 07/06<br />
SP800-84 Guide to Single-Organization IT Exercises [F] 09/06<br />
SP800-83 Guide to Malware Incident Prevention and Handling [F] 11/05<br />
SP800-82 Guide to Industrial Control Systems (ICS) Security [R] 09/08<br />
SP800-81r1 Secure Domain Name System (DNS) Deployment Guide [F] 08/10<br />
SP800-80 Guide for Developing Performance Metrics for Information Security [R] 05/06<br />
SP800-79r1 Guidelines for Certification & Accreditation of PIV Card Issuing Organizations [F] 06/08<br />
SP800-78-2 Cryptographic Algorithms and Key Sizes for Personal Identity Verification [R] 10/09<br />
SP800-78r1 Cryptographic Algorithms and Key Sizes for Personal Identity Verification [F] 08/07<br />
SP800-77 Guide to Ipsec VPNs [F] 12/05<br />
SP800-76r1 Biometric Data Specification for Personal Identity Verification [F] 01/07<br />
SP800-73r3 Interfaces to Personal Identity Verification [R] 08/09<br />
SP800-73r2 Interfaces to Personal Identity Verification [F] 09/08<br />
SP800-72 Guidelines on PDA Forensics [F] 11/04<br />
SP800-70r1 NCP for IT Products - Guidelines for Checklist Users and Developers [F] 09/09<br />
SP800-70 The NIST Security Configuration Checklists Program [F] 05/05<br />
SP800-69 Guidance for Securing Microsoft Windows XP Home Edition [F] 08/06<br />
SP800-68r1 Guidance for Securing Microsoft Windows XP Systems for IT Professionals [F] 07/08<br />
SP800-67 Recommendation for the Triple Data Encryption Algorithm Block Cipher [F] 06/08<br />
SP800-66r1 An Introductory Resource Guide for Implementing the HIPAA Security Rule [F] 10/08<br />
SP800-65r1 Integrating IT Security into the Capital Planning and Investment Control Process [R] 07/09<br />
SP800-65 Integrating IT Security into the Capital Planning and Investment Control Process [F] 01/05<br />
SP800-64r2 Security Considerations in the Information System Development Life Cycle [F] 10/08<br />
SP800-63r1 Electronic Authentication Guidelines [R] 12/08<br />
SP800-61r1 Computer Security Incident Handling Guide [F] 03/08<br />
SP800-60r1 Guide for Mapping Types of Information & IS to Security Categories [F] 08/08<br />
SP800-59 Guideline for Identifying an Information System as a National Security System [F] 08/03<br />
SP800-58 Security Considerations for Voice Over IP Systems [F] 03/05<br />
SP800-57p1 Recommendation for Key Management, 1: General Guideline [F] 03/07<br />
SP800-57p2 Recommendation for Key Management, 2: Best Practices [F] 08/05<br />
SP800-57p3 Recommendation for Key Management, 3: Application-Specific Key Management [D] 10/08<br />
SP800-56A Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography [F] 03/07<br />
SP800-56B Pair-Wise Key Establishment Using Integer Factorization Cryptography [F] 09/09<br />
SP800-56C Recommendation for Key Derivation through Extraction-then-Expansion [R] 10/10 N<br />
SP800-55r1 Security Metrics Guide for Information Technology Systems [F] 08/08<br />
SP800-54 Border Gateway Protocol Security [F] 07/07<br />
SP800-53r3 Recommended Security Controls for Federal Information Systems [F] 08/09<br />
SP800-53r2 Recommended Security Controls for Federal Information Systems [F] 12/07<br />
SP800-53Ar1 Guide for Assessing the Security Controls in Federal Information Systems [F] 05/10<br />
SP800-53A Guide for Assessing the Security Controls in Federal Information Systems [F] 06/08<br />
SP800-52 Guidelines on the Selection and Use of Transport Layer Security [F] 06/05<br />
SP800-51 Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme [F] 09/02<br />
SP800-50 Building an Information Technology Security Awareness & Training Program [F] 03/03<br />
SP800-49 Federal S/MIME V3 Client Profile [F] 11/02<br />
SP800-48r1 Guide to Securing Legacy IEEE 802.11 Wireless Networks [F] 08/08<br />
SP800-47 Security Guide for Interconnecting Information Technology Systems [F] 08/02<br />
SP800-46r1 Guide to Enterprise Telework and Remote Access Security [F] 06/09<br />
SP800-46 Security for Telecommuting and Broadband Communications [F] 08/02<br />
SP800-45V2 Guide On Electronic Mail Security [F] 02/07<br />
SP800-44V2 Guidelines on Securing Public Web Servers [F] 09/07<br />
SP800-43 System Administration Guidance for Windows00 [F] 11/02<br />
SP800-42 Guidelines on Network Security testing [F] 10/03<br />
SP800-41r1 Guidelines on Firewalls and Firewall Policy [F] 09/09<br />
SP800-41 Guidelines on Firewalls and Firewall Policy [F] 01/02<br />
SP800-40-2 Creating a Patch and Vulnerability Management Program [F] 11/05<br />
SP800-39 Managing Risk from Information Systems: An Organizational Perspective [R] 04/08<br />
SP800-38E Recommendation for Block Cipher Modes of Operation – XTS-AES [F] 01/10<br />
SP800-38D Recommendation for Block Cipher Modes of Operation – GCM [F] 11/07<br />
SP800-38C Recommendation for Block Cipher Modes of Operation – CCM [F] 05/04<br />
SP800-38B Recommendation for Block Cipher Modes of Operation – RMAC [F] 05/05<br />
SP800-38Aa Recommendation for Block Cipher Modes of Operation: Ciphertext Stealing for CBC [R] 07/10<br />
Veille Technologique Sécurité N°146 Page 26/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
SP800-38A Recommendation for Block Cipher Modes of Operation – Method and Techniques [F] 12/01<br />
SP800-37r1 Guidelines for the Security C&A of Federal Information Technology Systems [R] 11/09<br />
SP800-37 Guidelines for the Security C&A of Federal Information Technology Systems [F] 04/04<br />
SP800-36 Guide to IT Security Services [F] 10/03<br />
SP800-35 Guide to Selecting IT Security Products [F] 10/03<br />
SP800-34r1 Contingency Planning Guide for Information Technology Systems [R] 10/09<br />
SP800-34 Contingency Planning Guide for Information Technology Systems [F] 06/02<br />
SP800-33 Underlying Technical Models for Information Technology Security [F] 12/01<br />
SP800-32 Introduction to Public Key Technology and the Federal PKI Infrastructure [F] 02/01<br />
SP800-31 Intrusion Detection Systems [F] 11/01<br />
SP800-30 http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf [F] 01/04<br />
SP800-29 Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2 [F] 10/01<br />
SP800-28v2 Guidelines on Active Content and Mobile Code [F] 03/08<br />
SP800-27A Engineering Principles for Information Technology Security – Rev A [F] 06/04<br />
SP800-26r1 Guide for Inform. Security Program Assessments & System Reporting Form [R] 08/05<br />
SP800-26 Security Self-Assessment Guide for Information Technology Systems [F] 11/01<br />
SP800-25 Federal Agency Use of PK Technology for Digital Signatures and Authentication [F] 10/00<br />
SP800-24 Finding Holes in Your PBX Before Someone Else Does [F] 08/00<br />
SP800-23 Guidelines to Federal Organizations on Security Assurance [F] 08/00<br />
SP800-22r1a Statistical Test Suite for Random and Pseudorandom Number Generators [F] 04/10<br />
SP800-21 Guideline for Implementing Cryptography in the Federal Government [F] 12/05<br />
SP800-16r1 Information Security Training Requirements: A Role & Performance Based Model [R] 03/09<br />
SP800-12 An Introduction to Computer Security: The NIST Handbook [F] 10/95<br />
[F] Finalisé [R] Relecture<br />
POUR PLUS D’INFORMATION<br />
http://csrc.nist.gov/publications/PubsSPs.html - Catalogue des publications<br />
DISA – GUIDES ET CHECK LISTES DE SECURISATION<br />
La DISA vient de publier deux nouveaux guides d’implémentation technique (STIG), l’un<br />
consacré aux dispositifs médicaux (medical devices), l’autre aux dispositifs amovibles.<br />
[1 Mise(s) à jour, 2 Nouveau(x) Document(s)]<br />
APPLICATIONS<br />
Guide (STIG) Check Liste<br />
Applications Sécurité et Développement 3.1 26/04/10 3.1 26/04/10<br />
Services 1.1 17/01/06 1.1.1 21/09/06<br />
Microsoft Exchange 2003 1.3 25/04/10 1.2 05/01/10 M<br />
ESM 1.1 05/06/06 1.1.3 10/04/07<br />
ERP 1.1 10/04/07 1.1.1 10/04/07<br />
Database Générique 8.1 19/10/07 8.1.6 27/08/10<br />
Oracle 9, 10 et 11 8.1.8 27/08/10<br />
MS SQL Server 7, 2000, 2005 8.1.7 27/08/10<br />
ISA Server 2006 OWA Proxy 1.2 29/06/10<br />
ENVIRONNEMENTS<br />
Access Control 2.2 18/12/08<br />
Directory Service 1.1 10/03/06 1.1.5 28/08/09<br />
Collaboration 1.1 28/03/07 1.1 28/03/07<br />
Desktop Générique 4.1 03/12/10 3.1.11 09/03/07<br />
Windows 4.1 03/12/10<br />
Enclave Périmètre 4.2 31/03/08 4.2 31/03/08<br />
.NET 1.2.3 18/02/09<br />
Personal Computer Clients Voix, Vidéo et Collaboration 1.1 26/06/08 1.1.1 15/08/08<br />
Secure Remote Computing 2.3 27/08/10 2.1 02/10/09<br />
Instant Messaging 1.2 15/02/08 1.2.5 15/04/09<br />
Biométrie 1.3 10/11/05 2.1.1 17/10/07<br />
VoIP Voix sur IP 2.2 21/04/06 2.2.4 12/08/08<br />
VVoIP Voix et Video sur IP 3.2 27/08/10<br />
Vidéo Téléconférence<br />
PERIPHERIQUES<br />
1.1 08/01/08 1.1.2 06/11/08<br />
Sharing peripheral across the network 1.2 27/07/10 M<br />
- Multi-Function Device (MFD) and Printer Checklist 1.1.3 09/04/09<br />
- Keyboard, Video, and Mouse (KVM) Switch Checklist 1.1.3 19/12/08<br />
- Storage Area Network (SAN) Checklist 1.1.4 26/06/09<br />
- Universal Serial Bus (USB) Checklist 1.1.3 19/12/08<br />
Removable Storage and External Connection Technologies<br />
RESEAUX<br />
1.2 27/07/10 N<br />
Network Liste de contôle générique 7.1 25/10/07 7.1.10 28/08/09<br />
Veille Technologique Sécurité N°146 Page 27/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
Cisco 6.1 02/12/05<br />
Juniper 6.4 02/12/05<br />
IP WAN Générique 2.3 12/08/04<br />
Wireless Liste de contôle générique 6.2 23/04/10 6.3 23/04/10<br />
Blackberry Guidance for BES 1.0 05/01/10<br />
BlackBerry 5.6 05/01/10<br />
Apriva 5.2.2 15/04/09<br />
Motorola 5.2.3 15/04/09<br />
Good 6.3 23/04/10<br />
Windows 5.2.4 15/04/09<br />
Wireless LAN Security Framework 2.1 31/10/05<br />
LAN Site Survey 1.1 31/10/05<br />
LAN Secure Remote Access 1.1 31/10/05<br />
SERVICES<br />
Mobile Computing 1.1 31/10/05<br />
DNS Générique 4.1 17/10/07 4.1.8 26/02/10<br />
Web Servers Générique 6.1 11/12/06 6.1.7 15/04/09<br />
IIS 6.1.12 23/04/10<br />
Netscape/Sun 6.1.6 26/06/09<br />
Apache 6.1.12 23/04/10<br />
TomCAT 6.1.5 14/04/09<br />
WebLogic 6.1.4 14/04/09<br />
SYSTEMES<br />
OS/390 & z/OS Générique 6.1.1 06/08/09 5.2.7 17/01/08<br />
Logical Partition 2.2 04/03/05 2.1.4 04/06<br />
RACF 6.4 27/08/10 6.1.2 23/04/10<br />
ACF2 6.4 27/08/10 6.1.2 28/08/09<br />
TSS 6.4 27/08/10 6.1.2 23/04/10<br />
MacOS/X 1.1 15/06/04 1.1.3 28/04/06<br />
TANDEM 2.2 04/03/05 2.1.2 17/04/06<br />
UNISYS 7.2 28/08/06 7.2 24/11/06<br />
UNIX 5.1 04/04/06 5.1.25 25/04/10<br />
VM IBM 2.2 04/03/05 2.2.1 04/06<br />
SUN Solaris 2.6 à 2.9 - 20/01/04<br />
RAY 4 1.1.1 17/04/09 1.1.1 17/04/09<br />
OPEN VMS 2.2.3 17/04/06<br />
Windows NT 3.1 26/12/02 4.1.21 28/07/08<br />
2000 6.1.19 27/08/10<br />
XP 6.1.19 27/08/10<br />
Vista 6.1.19 27/08/10<br />
2003 6.1.19 27/08/10<br />
2008 6.1.12 27/08/10<br />
7 1.2 27/08/10<br />
Addendum 2000/XP/Vista/2003 6.1 21/05/07<br />
VMWare ESX 1.1.0 28/04/08 1.4.0 15/10/09<br />
Citrix XENApp<br />
AUTRE<br />
1.1.2 15/10/09 1.1.2 15/10/09<br />
AntiVirus Security Guidance Générique 4.1 03/12/09<br />
McAfee 4.3 27/08/10<br />
Symantec 4.1 03/12/09<br />
Best Practice Security Générique 2.1 29/01/07<br />
Browser Security Guidance IE6 4.2 23/04/10<br />
IE7 4.2 23/04/10<br />
IE8 1.3 27/08/10<br />
Firefox 4.2 23/04/10<br />
Cloud Computing Guidance 1.0.2 01/07/10<br />
Medical Devices 1.1 27/07/10 N<br />
Office Security Guidance Microsoft Office 2003 4.1 03/12/09<br />
Microsoft Office 2007 4.2 26/08/09<br />
POUR PLUS D’INFORMATION<br />
http://iase.disa.mil/stigs/checklist/index.html<br />
http://measurablesecurity.mitre.org/about/index.html<br />
NSA – GUIDES DE SECURITE<br />
Veille Technologique Sécurité N°146 Page 28/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
Après plus de 6 mois de silence, la NSA vient de mettre à jour son catalogue de guides de<br />
sécurité avec le référencement du guide produit par Apple traitant du système MacOS X 10.6 dit<br />
‘Snow Leopard’.<br />
FACT SHEETS<br />
Desktop or Enterprise Firewall? - 08/06 NSA<br />
Enterprise Firewall Types - 08/06 NSA<br />
Enterprise Firewalls in Encrypted Environments - 08/06 NSA<br />
Social Networking Sites - 12/09 NSA<br />
Mail Client Security Cheat Sheet - 02/07 NSA<br />
Mitigation Monday: Defense Against Malicious E-mail Attachments - 05/08 NSA<br />
Security Guidance for Using Mail Clients - 02/07 NSA<br />
Secure Instant Messaging - 02/07 NSA<br />
Configuring a Cisco Router for Remote Administration Using the Router Console - 05/07 NSA<br />
Configuring a PC to Remotely Administer a Cisco Router Using the Router Console - 05/07 NSA<br />
Port Security on Cisco Access Switches Factsheet - 01/08 NSA<br />
Internet Protocol version 6 - 01/08 NSA<br />
802.11 Wireless LAN Intrusion Detection Systems - 05/08 NSA<br />
Biometrics Security Considerations - 04/07 NSA<br />
Bluetooth Security - 12/07 NSA<br />
Video Teleconferencing (VTC) - 03/08 NSA<br />
Disabling USB Storage Drives - 03/08 NSA<br />
Securing Fibre Channel Storage Area Networks - 03/09 NSA<br />
Security Tips for Personally-Managed Apple iPhones - 12/09 NSA<br />
So Your Boss Bought you a New Laptop...How do you disable wireless capabilities - 05/07 NSA<br />
A Deployment Guide for the Microsoft Office ICE and File Block Functionality - 02/08 NSA<br />
Data Execution Prevention (DEP) - 10/07 NSA<br />
Encrypting Files with WinZip® - 12/09 NSA<br />
Exchanging Files with PGP - 12/09 NSA<br />
How to Securely Configure Microsoft Windows Vista BitLocker - 08/07 NSA<br />
The Microsoft Office ICE & File Block Functionality with Office 2003 - 02/08 NSA<br />
Windows Fine-Grained Password Policies - 05/09 NSA<br />
Minimize the Effectiveness of SQL Injection Attacks - 05/08 NSA<br />
Securing Supervisory Control & Data Acquisition (SCADA) & Control Systems (CS) - 03/09 NSA<br />
Service Oriented Architecture Security Vulnerabilities - Web Services - 11/08 NSA<br />
SUPPORTING DOCUMENTS<br />
Activating Authentication and Encryption for Cisco CallManager 4.(x) 04/08 NSA<br />
Cloud Computing Guidance 07/10 NSA<br />
Defense in Depth 06 NSA<br />
Guide to Sun Microsystems Java Plug-in Security 04/04 NSA<br />
How to Safely Publish Sanitized Reports Converted From Word 03/08 NSA<br />
How to Secure a Groove Manager Web Site 04/07 NSA<br />
Microsoft Office Groove Security Architecture 04/07 NSA<br />
Outlook E-mail Security in the Midst of Malicious Code Attacks 04/05 NSA<br />
The 60 minute Network Security Guide 05/06 NSA<br />
The Case for Using Layered Defenses to Stop Worms 06/04 NSA<br />
VMware ESX Server 3 Configuration Guide 03/08 NSA<br />
Web Application Security Overview 07 NSA<br />
Vulnerability Technical Reports<br />
Best Practices for Storage Networks 18/10/07 NSA<br />
How to Safely Publish Sanitized Reports Converted from Word to PDF 02/02/06 NSA<br />
Manageable Network Plan 18/11/08 NSA<br />
APPLICATIONS<br />
Microsoft<br />
CIS Exchange Server 2003 Benchmark 05 CIS<br />
Guide to Microsoft .NET Framework Security 21/12/06 NSA<br />
Guide to Secure Configuration and Administration of Microsoft Exchange 2000 1.3a 14/12/04 NSA<br />
Microsoft Office 2000 Executable Content Security Risk and Countermeasures 08/02/02 NSA<br />
Office XP/2003 Executable Content Security Risks & Countermeasures Guide 02/05/05 NSA<br />
Systems Management Server 2003 Security Guide 1.0 04/05 NSA<br />
Oracle<br />
BEA WebLogic Platform Security Guide 1.0 04/04/05 NSA<br />
Oracle Application Server on Windows 2003 Security Guide 12/06 NSA<br />
Oracle Application Server Security Recommendations and DoDI 8500.2 IA Controls 12/06 NSA<br />
Adobe<br />
Hidden Data and Metadata in Adobe PDF Files 27/07/08 NSA<br />
Veille Technologique Sécurité N°146 Page 29/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
DATABASE SERVERS<br />
Oracle<br />
Security Configuration Benchmark For Oracle Database Server 11g 1.01 01/09 CIS<br />
Guide to Secure Configuration and Administration of Oracle9i Database Server 1.2 30/09/03 NSA<br />
Center for Internet Security Benchmark for Oracle 9i/10g 2.0 05 CIS<br />
Microsoft<br />
Guide to Secure Configuration and Administration of Microsoft SQL Server 2000 1.5 26/08/03 NSA<br />
Benchmark for Microsoft SQL Server 2005 1.0 06/04/07 CIS<br />
OPERATING SYSTEMS<br />
Apple<br />
Mac OS X Security Configuration for Version 10.6 - 09/10 APP N<br />
Mac OS X Security Configuration for Version 10.5 2.0 08 APP<br />
Hardening Tips for the Default Installation of Mac OS X 10.5 09/08 NSA<br />
Mac OS X Security Configuration For Version 10.4 or Later 2.0 07 APP<br />
Mac OS X Server Security Configuration For Version 10.4 or Later 2.0 07 APP<br />
Apple Mac OS X v10.3.x Security Configuration Guide 1.1 04 NSA<br />
Apple Mac OS X Server v10.3.x Security Configuration Guide 05 NSA<br />
Linux<br />
Guide to the Secure Configuration of Red Hat Enterprise Linux 5 2.0 20/12/07 NSA<br />
Hardening Tips for the Red Hat Enterprise Linux 5 11/07 NSA<br />
Microsoft<br />
Windows Vista Security Guide 13/11/06 MIC<br />
The Windows Server 2003 - Security Guide 2.1 26/04/06 MIC<br />
The Windows Server 2003 - Security Guide - Read Me 2.1 26/04/06 MIC<br />
The Windows Server 2003 - Security Guide - Release Notes 2.1 26/04/06 MIC<br />
The Windows Server 2003 - Security Guide - Tools and Templates 2.1 26/04/06 MIC<br />
NSA Windows Server 2003 Security Guide Addendum 1.0 12/09/06 NSA<br />
Windows XP Security Configuration Guides 12/09/06 MIC<br />
NSA Windows XP Security Guide Addendum 1.0 12/09/06 NSA<br />
Microsoft Windows 2000 Network Architecture Guide 1.0 19/04/01 NSA<br />
Microsoft Windows 2000 Router Configuration Guide 1.02 01/05/01 NSA<br />
Microsoft Windows 2000 IPsec Guide 1.0 13/08/01 NSA<br />
Group Policy Reference 1.08 02/03/01 NSA<br />
Guide to Securing Microsoft Windows 2000 Group Policy 1.1 13/09/01 NSA<br />
Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool 1.22 12/09/01 NSA<br />
Guide to Securing Microsoft Windows 2000 Active Directory 1.0 12/00 NSA<br />
Guide to Securing Microsoft Windows 2000 DNS 1.0 09/04/01 NSA<br />
Guide to Securing Microsoft Windows 2000 Encrypting File System 1.0 01/01 NSA<br />
Guide to Securing Microsoft Windows 2000 File and Disk Resources 1.01 26/11/02 NSA<br />
Guide to Securing Microsoft Windows 2000 Schema 1.0 06/03/01 NSA<br />
Guide to Securing Microsoft Windows NT/9x Clients in a Windows 2000 Network 1.02 23/01/01 NSA<br />
Guide to Securing Microsoft Windows 2000 DHCP 1.3 18/07/02 NSA<br />
Guide to Securing Microsoft Windows 2000 Terminal Services 1.0 02/07/01 NSA<br />
Guide to Secure Configuration and Administration of Microsoft ISA Server 2000 1.5 08/08/02 NSA<br />
Guide to Secure Configuration of Microsoft Windows 2000 Certificate Services 2.11 10/10/01 NSA<br />
Guide to Windows 2000 Kerberos Settings 1.1 27/06/01 NSA<br />
Sun Solaris<br />
An Overview of Solaris 10 Operating System Security Controls 25/09/07 CIS<br />
CIS Solaris 10 Benchmark 4.0 24/09/07 SUN<br />
Guide to Secure Configuration of Solaris 9 1.0 16/07/04 NSA<br />
IPV6<br />
A Filtering Strategy for Mobile IPv6 19/09/07 NSA<br />
Firewall Design Considerations for IPv6 03/10/07 NSA<br />
CISCO Routeur Guide<br />
Router Security Configuration Guide, Executive Summary 10/02/03 NSA<br />
Router Security Configuration Guide 1.1c 15/12/05 NSA<br />
Router Security Configuration Guide Supplement – Security for Ipv6 Routers 1.0 23/05/06 NSA<br />
Zipped Router Security Configuration Guide 26/05/06 NSA<br />
Switches<br />
Cisco IOS Switch Security Configuration Guide 1/0 21/04/04 NSA<br />
VoIP<br />
Security Guidance for Deploying IP Telephony Systems 1.01 14/02/06 NSA<br />
Recommended IP Telephony Architecture 1.0 01/05/06 NSA<br />
WEB Servers & BROWSERS<br />
Microsoft<br />
Veille Technologique Sécurité N°146 Page 30/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
Guide to Secure Configuration of Microsoft Internet Information Services 5.0 1.4 20/10/03 NSA<br />
Guide to Securing Microsoft Internet Explorer 5.5 Using Group Policy 1.0 07/02 NSA<br />
WIRELESS<br />
Guidelines for the Development and Evaluation of IEEE 802.11 IDSs 01/11/05 NSA<br />
Recommended 802.11 Wireless Local Area Network Architecture 23/09/05 NSA<br />
POUR PLUS D’INFORMATION<br />
http://www.nsa.gov/ia/guidance/security_configuration_guides/index.shtml<br />
MAGAZINES<br />
HNS - (IN)SECURE MAG N°27<br />
Le 26 me numéro du magazine ‘(In)Secure’ – 11 articles, 63 pages et moins de 8Mo – est<br />
paru début septembre. En voici le sommaire:<br />
Security World<br />
Review: BlockMaster SafeStick secure USB flash drive<br />
The devil is in the details: Securing the enterprise against the cloud<br />
Latest Addition to our bookshelf<br />
Cybercrime may be on the rise, but authentication evolves to defeat it<br />
Twitter security spotlight<br />
Learning from bruteforcers<br />
PCI DSS v1.3: Vital to the emerging demand for virtualization and cloud security<br />
Events around the world<br />
Security testing - the key to software quality<br />
Security Software Spotlight<br />
A brief history of security and the mobile enterprise<br />
Payment card security: Risk and control assessments<br />
Malware World<br />
Security as a process: Does your security team fuzz?<br />
Book review: Designing Network Security, 2 nd Edition<br />
Security Videos<br />
Intelligent security: Countering sophisticated fraud<br />
POUR PLUS D’INFORMATION<br />
http://www.net-security.org/dl/insecure/INSECURE-Mag-27.pdf<br />
INTERNET<br />
LES DECISIONS DE L’OMPI<br />
L’Organisation Mondiale de la Propriété Intellectuelle – OMPI ou WIPO – est chargée<br />
de l’arbitrage et de la résolution des litiges relatifs aux noms de domaine. Parmi tous<br />
les litiges jugés, en voici quelques uns concernant l’usage abusif de marques célèbres<br />
en France.<br />
Deux litiges ont porté sur des tentatives d’exploitation de la marque Sanofi-Aventis, l’une (sanofi-anventis<br />
/ D2010-1005) sur un domaine enregistré auprès d’un registre Chinois par un <strong>cert</strong>ain ‘搜商商’, l’autre<br />
(sanofi-adventis / D2010-0964) par une société anglaise. Dans les deux cas, l’enregistrement a été jugé<br />
avoir été effectué avec une intention déloyale et les domaines ont été détruits à la demande du plaignant,<br />
la société Sanofi-Aventis.<br />
Le litige DFR2010-0018 porte sur un nom de domaine enregistré en son nom personnel par le membre<br />
d’une association, l’Association Française des Travels Managers, quelques jours après la réception d’un<br />
courrier annonçant la création de cette association. Sans surprise, le domaine est transféré à l’association,<br />
le jugement précisant d’une part que « le seul fait d’intervenir dans la création, la maintenance ou le<br />
contenu éditorial d’un site Internet ne confère pas de droits privatifs sur le nom de domaine exploité » et<br />
d’autre part que « sa seule qualité de membre de l’Association AFTM ne lui conférait pas et ne lui confère<br />
aujourd’hui pas plus de droits sur la dénomination “AFTM”. En effet, sauf disposition contraire, seule<br />
l’Association est en droit de disposer de cette dénomination et des droits qui y sont attachés ».<br />
Le litige DFR2010-0019 oppose la société ‘Grande Brasserie de la Patrie Schutzenberger & CIE’ et un<br />
repreneur possible de celle-ci dans le cadre d’une procédure collective, lequel repreneur prend position et<br />
Veille Technologique Sécurité N°146 Page 31/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
« considère que ses intentions légitiment l’enregistrement du nom de domaine litigieux » ajoutant « qu’il<br />
ne peut être valablement soutenu que l’enregistrement du nom de domaine litigieux porte atteinte aux<br />
règles de la concurrence puisque depuis le prononcé de la liquidation judiciaire en avril 2006, le Requérant<br />
n’exploite plus ses marques excluant de facto toute situation de concurrence ». Le juge ne le suit pas<br />
dans son analyse et ordonne le transfert du nom de domaine au requérant ici représenté par son<br />
administrateur judiciaire.<br />
Portant sur les domaines ‘lagardere.es’ et ‘lagardereactivemedia.es’ enregistrés en 2006 et 2007, le litige<br />
DES2010-0042 oppose la SCA Lagardère et un ancien employé d’une filiale espagnole de celle-ci. Ce<br />
dernier fait valoir que la marque ‘Lagardère’ n’est pas exploitée telle quelle en Espagne, que<br />
l’enregistrement des noms de domaine date de plus de 3 ans sans qu’aucun recours n’ait été engagé, et<br />
surtout que la simple détention d’un nom de domaine sans que celui-ci ne soit utilisé par un site ne peut<br />
être considérée comme un acte de mauvaise foi. Cette prise de position n’est pas en accord avec les<br />
critères définis par la procédure de résolution de l’OMPI, le domaine est donc transféré.<br />
Le litige ‘D2010-1237’ porte sur quelques 37 altérations du nom de domaine ‘fragrancex.com’ déposés par<br />
la société éponyme FraganceX.com. Probablement utilisés à des fins de détournement de traffic, ces noms<br />
de domaine ont été enregistrés chez le même fournisseur, et aux mêmes dates, au nom de 24 sociétés,<br />
ou personnes, différentes. L’analyse menée par l’expert mandaté par l’OMPI montre sans ambiguïté qu’il<br />
s’agit d’une opération conduite par une seule et même personne physique résidant en Ukraine. La<br />
procédure de résolution de l’OMPI autorise alors un jugement de fond unique. Ce litige est à mettre en<br />
relation avec le litige ‘D2006-1537’ qui opposait la société ‘Barnes & Noble’ à cette même personne en<br />
2006.<br />
DFR2010-0017 � akbank.fr Akbank Turk A.S 18/08<br />
* DFR2010-0020 � bet365.fr Bet365 Group Limited 19/08<br />
* D2010-0964 ⌧ sanofiadventis.com Sanofi-Aventis 31/08<br />
* D2010-1005 ⌧ sanofi-anventis.com Sanofi-Aventis 23/08<br />
D2010-1236 ⌧ galerieslafayete.com Societe Anonyme des Galeries Lafayette 14/09<br />
* D2010-1237 � 37 altérations de fragrancex.com FragranceX.com, Inc. 17/09<br />
* DFR2010-0018 � aftm.fr Ass. Française des Travels Managers 30/08<br />
DFR2010-0019 � schutzenberger.fr Grande Brasserie de la Patrie Schutzenberger 20/08<br />
DES2010-0042 � lagardere.es<br />
Lagardere SCA 23/09<br />
lagardereactivemedia.es<br />
�: Transfert du domaine, �: maintien du domaine, ⌧: Annulation du domaine *: pas de réponse du détenteur<br />
POUR PLUS D’INFORMATION<br />
http://www.wipo.int/rss/index.xml?col=dnddocs - Dernières décisions<br />
http://www.wipo.int/freepublications/fr/arbitration/779/wipo_pub_779.pdf - Procédure de règlement des litiges<br />
STANDARDS<br />
IETF – LES RFC TRAITANT DIRECTEMENT DE LA SECURITE<br />
Thème Num Date Etat Titre<br />
CMS 5990 09/10 Pst Use of the RSA-KEM Key Transport Algorithm in the Cryptographic Message Syntax (CMS)<br />
6010 09/10 Pst Cryptographic Message Syntax (CMS) Content Constraints Extension<br />
CRYPTO 6008 09/10 Pst Authentication-Results Registration for Differentiating among Cryptographic Results<br />
IKE 5996 09/10 Pst Internet Key Exchange Protocol Version 2 (IKEv2)<br />
5998 09/10 Pst An Extension for EAP-Only Authentication in IKEv2<br />
MIKEY 5748 08/10 Inf IANA Registry Update for Support of the SEED Cipher Algorithm in Multimedia Internet KEYing<br />
RADIUS 5997 08/10 Inf Use of Status-Server Packets in the Remote Authentication Dial In User Service (RADIUS) Protocol<br />
SRTP 5669 08/10 Pst The SEED Cipher Algorithm and Its Use with the Secure Real-Time Transport Protocol (SRTP)<br />
TEREDO 5991 09/10 Pst Teredo Security Updates<br />
IETF – LES RFC LIES A LA SECURITE<br />
Thème Num Date Etat Titre<br />
EID 6017 09/10 Inf Electronic Data Interchange - Internet Integration (EDIINT) Features Header Field<br />
IPV6 5969 08/10 Pst IPv6 Rapid Deployment on IPv4 Infrastructures (6rd) -- Protocol Specification<br />
TIME 6019 09/10 Pst BinaryTime: An Alternate Format for Representing Date and Time in ASN.1<br />
IETF – LES NOUVEAUX DRAFTS TRAITANT DE LA SECURITE<br />
Thème Nom du Draft Date Titre<br />
Veille Technologique Sécurité N°146 Page 32/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
SEPTEMBRE 2010<br />
CMS draft-turner-cms-symmetrickey…-algs-00 23/09 Algo for CMS Protection of Symmetric Key Package Content Types<br />
ERP draft-ietf-hokey-rfc5296bis-00 12/09 EAP Extensions for EAP Re-authentication Protocol (ERP)<br />
HIP draft-ietf-hip-rfc5202-bis-00 23/09 Using the ESP Transport Format with the Host Identity Protocol<br />
IPV6 draft-ietf-v6ops-tunnel-loops-00 11/09 Routing Loop Attack using IPv6 Automatic Tunnels<br />
MANRAL draft-bhatia-manral-auth-trailer-ospfv3-00 28/09 Supporting Authentication Trailer for OSPFv3<br />
PANA draft-ohba-pana-relay-00 21/09 PANA Relay Element<br />
draft-ohba-pana-keywrap-00 22/09 PANA Extension for Key Wrap<br />
PKI draft-ietf-sidr-signed-object-00 28/09 Signed Object Template for the Resource Public Key Infrastructure<br />
SAML draft-ietf-kitten-sasl-saml-00 24/09 A SASL and GSS-API Mechanism for SAML<br />
draft-cantor-ietf-kitten-saml-ec-00 23/09 SAML Enhanced Client SASL and GSS-API Mechanisms<br />
IETF – LES MISES A JOUR DE DRAFTS TRAITANT DE LA SECURITE<br />
Thème Nom du Draft Date Titre<br />
AFS3 draft-brashear-afs3-pts-extended-names-06 30/08 Auth. Name Mapping extension for AFS-3 Protection Service<br />
BUNDLE draft-irtf-dtnrg-bundle-security-17 13/09 Bundle Security Protocol Specification<br />
CGA draft-garcia-martinez-cgamib-02 22/09 Management Information Base for CGA<br />
CISCO draft-nourse-scep-21 22/09 Cisco Systems' Simple Certificate Enrollment Protocol<br />
CRYPTO draft-turner-md5-seccon-update-03 23/09 Updated Security Considerations for MD5 & HMAC-MD5 Algorithms<br />
draft-turner-akf-algs-update-01 16/09 EC Algorithms for Asymmetric Key Package Content Type<br />
draft-turner-ekpct-algs-update-01 16/09 EC Algorithms for CMS Encrypted Key Package Content Type<br />
EAP draft-ietf-emu-eaptunnel-req-08 17/09 Requirements for a Tunnel Based EAP Method<br />
HIP draft-ietf-hip-<strong>cert</strong>-04 23/09 HIP Certificates<br />
HTTP draft-bryan-metalinkhttp-17 13/09 Mirrors and Cryptographic Hashes in HTTP Headers<br />
IBAKE draft-cakulev-ibake-02 14/09 IBAKE: Identity-Based Authenticated Key Agreement<br />
IPSEC draft-welter-ipsecme-ikev2-reauth-00 28/09 Reauthentication Extension for IKEv2<br />
IPV4 draft-ietf-mip4-gre-key-extension-02 27/09 GRE Key Extension for Mobile IPv4<br />
IPV6 draft-vandevelde-v6ops-harmful-tunnels-01 31/08 Non-Managed IPv6 Tunnels considered Harmful<br />
draft-ietf-v6ops-cpe-simple-security-13 28/09 Simple Security Capabilities in Customer Premises Equipment<br />
draft-ietf-v6ops-tunnel-security-concerns-02 31/08 Security Concerns With IP Tunneling<br />
IRC draft-hartmann-default-port-for-irc-via-tls…02 28/09 Default Port for IRC via TLS/SSL<br />
ISMS draft-ietf-isms-radius-vacm-11 14/09 AAA services to Dynamically Provision View-based Access Control<br />
KERB draft-ietf-krb-wg-anon-12 30/08 Anonymity Support for Kerberos<br />
MSEC draft-ietf-msec-ipsec-group-counter…-06 10/09 Using Counter Modes with ESP and AH to Protect Group Traffic<br />
OPENPGP draft-jivsov-openpgp-ecc-06 18/09 ECC in OpenPGP<br />
OPSEC draft-ietf-opsec-routing-protocols-crypto-…-07 31/08 Issues with Cryptographic Protection Methods for Routing Proto.<br />
draft-ietf-opsec-igp-crypto-requirements-01 27/09 Crypto. Auth Algo Implementation Req. for Routing Protocols<br />
OSPF draft-bhatia-karp-non-ipsec-ospfv3-auth-01 27/09 Non IPSec Authentication mechanism for OSPFv3<br />
PANA draft-yegin-pana-unspecified-addr-03 26/09 PANA with IPv4 Unspecified Address<br />
PBKDF2 draft-josefsson-pbkdf2-test-vectors-06 14/09 PKCS #5 Password Based Key Derivation Function 2 Test Vectors<br />
RFC5081 draft-mavrogiannopoulos-rfc5081bis-08 16/09 Using OpenPGP Keys for TLS Authentication<br />
RTP draft-ietf-avt-srtp-big-aes-04 15/09 The use of AES-192 and AES-256 in Secure RTP<br />
SEND draft-ietf-csi-proxy-send-05 28/09 Secure Proxy ND Support for SEND<br />
draft-ietf-csi-send-<strong>cert</strong>-07 24/09 Certificate profile and <strong>cert</strong>ificate management for SEND<br />
draft-garcia-martinez-sendmib-02 23/09 Management Information Base for the SEND rotocol<br />
SHA2B draft-eastlake-sha2b-04 22/09 US Secure Hash Algorithms: SHA and SHA based HMAC and HKDF<br />
SIDR draft-ietf-sidr-cp-11 15/09 Certificate Policy (CP) for the Resource PKI (RPKI)<br />
draft-ietf-sidr-arch-11 21/09 An Infrastructure to Support Secure Internet Routing<br />
SIP draft-ietf-sip-<strong>cert</strong>s-15 21/09 Certificate Management Service for The Session Initiation Protocol<br />
SPEER draft-ietf-speermint-voipthreats-05 23/09 SPEERMINT Security Threats and Suggested Countermeasures<br />
TLS draft-hoffman-keys-linkage-from-dns-02 15/09 Secure DNS to Associate Certificates with Domain Names For TLS<br />
draft-ietf-tls-rfc4366-bis-12 20/09 Transport Layer Security (TLS) Extensions: Extension Definitions<br />
TSVWG draft-ietf-tsvwg-rsvp-security-groupkeying-07 23/09 Applicability of Keying Methods for RSVP Security<br />
Veille Technologique Sécurité N°146 Page 33/38<br />
© CERT-DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique