Je vois des Operating Systems partout...

...ils ne savent pas qu'ils sont des operating systems..."

Les OS embarqués ce n'est pas nouveau. Les "XP Embeded" sont partout. Les Confiker et autres Stuxnet ont servi de révélateurs. Plutôt implémentés sur les systèmes industriels, la tendance est à la généralisation aux systèmes grand public et notamment dans les véhicules.

La nouvelle version de la Ford Edge qui sortira en 2011est équipée du système de communication MyTouch auquel Microsoft a contribué. Outre les fonctions classiques GPS, gestion audio et video, MyTouch permet via l'utilisation d'un abonnement GSM de naviguer sur le web et d'installer des application comme Twitter via une plateforme du type "AppFordStore"

Kia a également développé son système en collaboration avec Microsoft: UVO ("your voice"). Là aussi, il permet une gestion des aspects communication, multimédias et GPS mais surtout dispose d'une interface Bluetooth qui met à jour les statuts des réseaux sociaux du propriétaire quand il pénètre dans l'habitacle.

Et oui, les OS envahissent nos autos désormais. Comme on peut le lire sur la page Windows Embeded Automotive, le concept est attrayant: "Enriching the in-vehicle experience with an industry-leading platform for communication, entertainment, navigation, and connected services."... Vision idyllique... L'opérationnel de la sécurité voit cela au travers du prisme SSI et commence à réaliser les enjeux sous-jacents et les futures problématiques... du moins il essaye. Vie privée, codes malveillants... Quelles menaces et quelle sécurité pour ces systèmes ? Intégreront-ils nos organisations et entreprises à long terme ? On imagine déjà l'ingénieur sécurité en conversation avec le garagiste demandant : "Comment intégrer le véhicule dans le domaine afin qu'il bénéficie de la GPO WSUS ?"

Are you thinking critical ?

Le "critical thinking" issu de la méthodologie Open Source Security Testing Methodology Manual est un entrainement destiné aux operationnels de la sécurité afin de les entrainer à utiliser leurs connaissances dans des contextes et situations inhabituelles, l'objectif étant d'acquerir un raisonnement de hacker tout en conservant une attitude professionnelle.

Le "Jack of All Trades Security Testing Supplement" est un document PDF de 4 pages contenant 10 scenarii simples de mise en situation, permettant chacun de raisonner sur des aspects de la sécurité.

Histoire de vous donner un premier aperçu, voici le 1er scenario:

Vous être un electricien. Devant vous se trouve une ampoule allumée pendue au plafond. Sur le mur, derrière vous, un interrupteur qui la commande:

1/ Citer 10 manières d'éteindre la lumière

2/ Citer 10 composants d'un tel système d'éclairage

3/ Citer 10 manières de savoir si la lumière est éteinte

4/ Citer 10 manière d'empécher quelqu'un d'éteindre la lumière

Si ce genre de petit exercice vous interesse, n'hesitez pas à télécharger le manuel selon lien inséré plus haut pour raisonner sur les autres scenarii qui vous feront endosser la peau d'un postier, medecin, soldat, mécanicien auto...

Vous pouvez bien entendu vous amuser à y répondre ici (réponses anonymes acceptées )

C'est la rentrée...

Après 3 semaines de vacances, le blog reprends vie. J'ai plusieurs articles en préparation. Je continue également à explorer les possibilités de Twitter, je viens de féter mon 50eme abonné ce soir :)

#Liens 150810

En vrac, quelques liens interessants repérés cette semaine, il y en a pour tous les goûts:

Top Secret America: un dossier complet du Washington Post sur la sécurité intérieure americaine.

Cisco 2010 Midyear Security Report: la sécurité des systèmes d'information, un bilan à mi-2010 proposé par CISCO et abordant les sujets chauds du moment: virtualisation, mobilité, réseaux sociaux.

Driven By ISO 27001 - Driven To ISO 27001: une remarquable présentation de John Verry à propos de l'implémentation d'un SMSI basé sur ISO27001

Un petit challenge forensic et son corrigé.

Une repository de traces réseau (projet Openpacket)

Quelques cas réels d'études inforensiques par Security Monkey.

Récuperation de données: les bonne pratiques

Depuis quelques temps, la récuperation de données est devenue une activité à la mode. Beaucoup d'informaticiens professionnels et de sociétés de service rajoutent ce type de prestation à leur offre courante.

Les enjeux de ce type d'intervention sont nombreux : optimisation des chances de récupération, compétence des opérateurs, issue de la prestation, confidentialité... bref il est facile de mal s'y prendre et de se retrouver dans des situations délicates.

Il existe un document de bonnes pratiques qui peut servir de réference afin de juger de la qualité d'une prestation dans le domaine. Il est récupérable ici.

Les thèmes abordés en 3 pages sont les suivants:

- établissement du devis

- niveau d'intervention (recuperation simple, recuperation intrusive,...)

- engagement contractuel

- protection des données et supports

- transport

- compétence des opérateurs

- issue de la prestation (destruction des copies, restitution des supports)

Une réference précise et concise à garder sous le coude.

Citation

"God made 4 domains (land, sea, air, space). We made the 5th (cyberspace). God did a better job."

(General Michael Hayden - ancien chef de la CIA)

FamilyShield : un moyen rapide et gratuit de protéger ses enfants

La fonctionnalité FamilyShield (issue du projet OpenDNS) permet de sécuriser l'accès au web pour les enfants par le biais d'une politique de filtrage stricte qui bloque:

- les sites reservés aux adultes

- les proxy et autres plateformes d'anonymisation

- les sites hebergeant des malwares

- les faux-sites (phishing)

Pour cela, il suffit de configurer manuellement les adresses des serveurs DNS à utiliser en remplacement des adresses DNS fournies automatiquement par le FAI. Le réglage peut se faire au niveau d'un routeur afin de protéger indifféremment toutes les machines d'un réseau ou dans les propriétés de la carte réseau, pour faire du cas par cas (voir le détail ici)

Les 2 adresses de serveurs DNS à mettre en place sont :

208.67.222.123

208.67.220.123

Sécurité : une définition

"Sécurité : processus permanent de maintien des risques perçus à un niveau acceptable."

Cette définition simple résume en quelques mots toute la richesse du concept de sécurité de l'information. Elle est elle-même composée de 2 élements fondamentaux :

- "processus permanent de maintien:

cela sous-entend une action continue et sans fin.
La notion d'action continue dans le but d'améliorer sans cesse les procédés est au coeur de tout SMSI (Systèmes de Management de la Sécurité de l'Information).
Cette notion est modélisée par la roue de Deming qui illustre le processus infini consistant à identifier, mettre en place des mesures, surveiller leurs effets et corriger les écarts.

- "risques perçus à un niveau acceptable" :

cela sous-entend que la plupart des risques auxquels l'organisation est soumise ont été préalablement caractérisés et traités par les décideurs en fonction des orientations et objectifs métiers et stratégiques.
Cette notion se retrouve complétement dans les méthodes d'analyse de risques de type ISO27005.

Que peut-on déduire de tout cela ?

* Si aucun processus de maintien n'existe et que l'on se contente de prendre des mesures sans PDCA ("les bonnes pratiques") on ne peut pas maintenir les risques à un niveau acceptable.

* Si certains risques ont mal été perçus voire oubliés, le processus de maintien est partiellement inefficace puisque ignorant.

* Si le niveau d'acceptabilité est mal choisi, certains risques seront sous/sur estimés et des mesures inadaptées (trop couteuses, peu robustes) seront prises.

Pour garantir la sécurité, les composantes "gestion des risques" et "processus de maintien" sont indispensables.

La phrase du jour

“Seul un ordinateur éteint, enfermé dans un coffre-fort et enterré six pieds sous terre dans un endroit tenu secret peut être considéré comme sécurisé, et encore.“ Bruce Schneier, expert sécurité

La certification CISSP (map)

Je suis adepte du mind mapping et j'espère utiliser cet outil régulièrement pour éclairer le contenu des articles. Voici donc la première map pour illustrer les grandes bases de la certification CISSP.

L'information la plus importante concerne les intitulés des domaines du Common Body of Knowledge. Tout le contenu de la certification est ventilé parmi ces 10 thèmes. J'aurai l'occasion de revenir en détail sur chacun d'entre eux ultérieurement.

Objectif 2011 : CISSP

Je m'intéresse à la sécurité des systèmes d'information depuis plusieurs mois maintenant. Le sujet est aussi vaste que prenant. J'ai accumulé pas mal de connaissances théoriques et j'aimerai valider tout cela avec une certification. Je me suis fixé comme objectif de passer le CISSP avant fin 2011. Ce blog va me permettre de me préparer et de suivre ma progression. En plus il y a peu de références online en français concernant cette certif'. Si ce weblog peut apporter quelque chose à d'autres, ce sera tant mieux.

"Même le plus long des chemins commence par un simple pas." (Lao Tzu)