Tous les articles par Olivier THEBAUD

A propos Olivier THEBAUD

En relation avec la S.S.I. : MCSE depuis 1997 CISSP depuis 2005 Certifié Lead Auditor ISO 27001 en 2008 Certifié Risk Manager ISO 27005 en 2009 Master 2 Informatique - spécialité Sécurité des Systèmes d'Information Expert Judiciaire près la Cour d'Appel de Rennes

Traitement des données personnelles US

18 sociétés US ont été évaluées par l’ EFF (Electronic Frontier Fondation) sur le comportement de celles-ci vis à vis des données personnelles de leurs « clients ». Cette évaluation s’est fait selon quatre critères :

  • lorsque la société prévient le client (si le cadre légal le permet)  si le gouvernement US fait une requête sur les données personnelles détenues par la société.
  • Transparence sur le transfert de données personnelles au gouvernement, mise à disposition de statistiques publiques sur ces transferts de données.
  • Lutte pour la protection des données personnelles au sein des tribunaux
  • Lutte pour la protection des données personnelles au sein du Congrès US.

Bien que cette analyse s’applique plus particulièrement au contexte US, notons tout de même que la première société hors US  particulièrement bien notée est LinkedIn puis Google ; à l’inverse de Microsoft, MySpace, Yahoo et pire encore Skype.

Source

Connexion Wifi WPA2 via un Active Directory 2008

Les étapes et explications pour relier un point d’accès Wifi (en WPA2) à un réseau LAN + Active Directory 2008.

Les mécanismes mis en œuvre font appel à un serveur NPS (Network Policy Server) , un serveur AD, une autorité de certificats.

Les protocoles utilisés sont Radius std, PEAP et MS CHAP v2.

Le scénario connecte un portable Windows XP SP3 (hors domaine) sur un AD 2008.

wifi-activedirectory2008-v2

 

Calcul de la Disponibilité en %

Ou comment calculer rapidement sans se prendre la tête un taux de disponibilité à partir de contraintes (24h/24 ou 09h/24, 7j/7 ou 5j/7) et vice-versa.

Exemple : un fournisseur vous garantit 99,9% de disponibilité sur l’année (en 24h/24 et 7j/7), sachez que cela correspond à une tolérance de panne de …. 08h et 45 minutes.

Programme développé en VB.NET 2005

Source dispo sur demande.

L’EXE est en pièce jointe, testé sans malware.

DispAnnuel.exe

Top 10 des Vulnérabilités de Serveurs Web Applicatifs en 2010

La version précédente datait de 2007. L’OWASP nous livre en 2010 sa version actualisée des 10 risques critiques sur les applications Web :

    • Injection (notamment SQL)
    • Cross Scripting (XSS)
    • Violation de Gestion d’authentification et de Session
    • Référence directe non sécurisée à un autre objet
    • Falsification de requête intersite (CSRF)
    • Fuite d’information et Traitement d’erreur incorrect
    • Stockage Cryptographique non Sécurisé
    • Manque de Restriction d’Accès URL
    • Communications non Sécurisées
    • Redirections et transferts non validés

Document original

Idem en version française

A lire avec intérêt !

 

Entetes de mail SMTP

Ce petit programme VB est livré tel quel sans aucune garantie.

  • Désipperz-le, exécutez le seul exe.
  • Collez dans la fenêtre principale votre entete SMTP puis go.
  • En cas de problème, envoyez votre entetes à l’adresse indiquée dans la boites de dialogue « A PROPOS ».

La première version 1.0 beta

entmail.exe

Les Normes ISO 27001 et 27002 (versions 2005)

Précieuses, applicables et concrètes : le document joint vise à présenter très succinctement les normes ISO 27001:2005 (norme sur la mise en place d’un système de management de la sécurité de l’information, voire sa certification) et ISO 27002:2005 (code de bonnes pratiques dans la sécurisation d’un SI).

 

ISO27001-27002

 

Quelques sites essentiels :

L’excellentissime Hervé Schauer Consultants

SSI

L’organisme de normalisation

Chiffrement/Cryptage/PKI/Signature

Ci-dessous un document qui présente de manière pédagogique quelques éléments basiques de la cryptographie rencontrée dans les systèmes d’information. Avec au menu :

1 Chiffrement ou Cryptage, Déchiffrement ou Décryptage ? Un rappel des significations des termes.

2 – Définitions complémentaires utiles, le tour de quelques mots barbares rencontrés

3 – A quoi çà sert ? ou quel est le contexte d’utilisation de la cryptographie

4 – Hachage ou Signature ? différences entre le hachage et la signature

5 – Hachage – Fonctionnement, le hachage détaillé

6 – Chiffrement / Déchiffrement, les fonctions de chiffrement/ déchiffrement (a)symétriques

7 – Chiffrement Asymétrique ou cryptographie à clé publique

8 – Chiffrement Symétrique ou algorithme à clé secrète

9 – Infrastructure à Clé Publique ou PKI (Public Key Infrastructure)

10 – Quelques normes liées aux PKI, PKCS, X509,..

cryptographie