vendredi 21 octobre 2011

Usage des mots de passe: une compilation de ressources

 

pass

 

Histoire de remettre un peu de vie sur le blog, voici une compilation de ressources sur les mots de passe et leurs usages.

Plein de bonnes raisons pour étudier/étayer/étoffer une politique de mot de passe existante ou à venir :)

 

  • Un petit rappel théorique sur la notion de solidité des mots de passe:

http://en.wikipedia.org/wiki/Password_strength

  • Pour commencer quelques “top”

http://blogs.wsj.com/digits/2010/12/13/the-top-50-gawker-media-passwords/

http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time

http://blog.jimmyr.com/Password_analysis_of_databases_that_were_hacked_28_2009.php

  • L’expiration des mots de passe n’est pas une arme absolue…

http://cs.unc.edu/~fabian/papers/PasswordExpire.pdf

  • Une très bonne présentation (OWASP) plutôt orientée pentest et qui montre, entre autres, comment augmenter considérablement ses chances de cracker de larges quantités de mots de passe:

https://www.owasp.org/images/a/af/2011-Supercharged-Slides-Redman-OWASP-Feb.pdf 

  • Focus sur la réutilisation des passwords:

https://www.pcworld.com/article/188763/too_many_people_reuse_logins_study_finds.html

http://nakedsecurity.sophos.com/2009/03/10/password-website/

http://www.lightbluetouchpaper.org/2011/02/09/measuring-password-re-use-empirically/

  • Quelques études intéressantes:

http://passwordresearch.com/stats/statindex.html

http://www.troyhunt.com/2011/06/brief-sony-password-analysis.html

http://blog.duosecurity.com/2010/12/brief-analysis-of-the-gawker-password-dump/

https://research.microsoft.com/apps/pubs/?id=74164

http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf

http://www.troyhunt.com/2011/07/science-of-password-selection.html

http://reusablesec.blogspot.com/2010/10/new-paper-on-password-security-metrics.html

  • Dictionnaires ?

http://www.skullsecurity.org/wiki/index.php/Passwords

http://ngrams.googlelabs.com/datasets

 

jeudi 23 juin 2011

Stuxnet : une animation interessante...

Une animation interessante diffusée sur une chaine de télévision australienne à propos du virus Stuxnet. Clair, efficace.

Stuxnet: Anatomy of a Computer Virus from Patrick Clair on Vimeo.

samedi 12 mars 2011

Mettez à jour vos programmes avec Secunia PSI

Secunia fournit des outils de gestion des vulnérabilités. Leur logiciel "Personnal Security Inspector" est un outil gratuit qui va automatiser la recherche de logiciels obsolètes ou non-mis à jour et proposer de les patcher afin de maintenir un bon niveau de sécurité.

Grace à une base de données mise à jour régulièrement, Secunia PSI prend en charge des centaines de logiciels et de plug-in (extensions navigateurs). En plus de gérer les mises à jour de manière automatisée, il fournit pour chaque applicatif un niveau de sécurité et signale les vulnérabilités les plus graves. Il recense également les logiciels en fin de vie donc non maintenus.

Un produit simple et très utile, comme je les aime.

mercredi 9 mars 2011

"Répondre à tous" = un véritable risque :)






Transcript

[Office Worker]

Oh, no, Rad, you sent this email reply all. You hit reply all.

[Rad]

(frantically disconnects all email communication)

[Office Worker]

You know I was wrong you just sent this email to me, can you imagine. (laughs)

[Rad]

(laughs)

[Commentator]

For drivers who wanna get most out of there cars. It’s Bridgestone or nothing.

jeudi 24 février 2011

Cloud: quelques ressources


Dans le cadre du Certificat "Sécurité de l'Information" que je passe au CNAM en ce moment, j'ai un mémoire à réaliser. J'ai choisi de traiter le couple Sécurité/Cloud au travers de plusieurs thématiques: détail des offres existantes, risques, gouvernance de la sécurité,... l'objectif n'étant pas de prendre position mais plutôt de fournir des axes de réflexion pour éclairer une prise de décision en fonction des contraintes et enjeux propres à chaque organisation:

- comment estimer les risques ?
- comment choisir les mesures de sécurité ?
- comment organiser le suivi, le controle et l'audit ?
- quels réferentiels/méthodes/outillages peuvent être utilisés ?

Je n'ai pas et je n'aurai jamais d'avis absolu sur le cloud. Je pense simplement qu'il faut se préparer à interagir avec à des degrés divers.

Le cloud n'est plus une tendance, c'est un mode de consommation. Les directions métiers y voient facilité de mise en oeuvre et souplesse. Le pire scénario pour une DSI: laisser filer dans le cloud une partie de l'IT suite à un manque de réactivité face à des besoins métiers toujours plus importants. N'est-ce pas cela l'informatique agile ?

De manière générale, quelle que soit la problématique de sécurité, le chargé de SSI doit toujours étudier, donner et étayer son avis, mais ne jamais décider. Il doit laisser cette tâche aux seules personnes légitimes dans cette fonction: la direction de l'organisation. Il est toutefois tenu d'éclairer tous les aspects d'une problématique et d'assurer la complétude de son approche afin que les décisions soient prises en toute connaissance de cause. L'exhaustivité de sa démarche lui servira également a posteriori pour gérer les risques qui découlent du choix fait. Ne serai-je pas entrain de dévier du sujet initial ? Certainement... j'aurai d'autres occasions de philosopher sur le rôle de RSSI. Revenons à nos moutons.

Comme à chaque fois que je m'interesse à un nouveau sujet, je commence à rassembler un maximum de documentation de réference. C'est d'ailleurs cette activité qui m'a donné l'idée de ce billet.

J'écoute régulièrement dans mon véhicule les podcasts de l'émission radio 01 Business diffusée tous les samedis soirs. Le 12 février, il y avait une émission à propos du Cloud, enregistrée lors des Tech Days 2011.
Afin d'en garder une synthèse écrite pour un usage ultérieur notamment lors de la phase de rédaction de mon mémoire, j'ai décidé d'en faire une mindmap avec Freeplane.
L'exercice m'a permis de travailler la prise de note rapide sous forme de map, technique utile en réunion ou conférence surtout lorsque les interlocuteurs sont multiples.

J'ai d'abord réalisé la map séquentiellement "en live", en fonction des diverses interventions puis je l'ai retravaillée en phase "post-production": j'ai déplacé et regroupé les différents thèmes à la manière qui me convenait le mieux.

Tous les arguments de cette map ne sont pas mes arguments mais ceux des différents invités. La faiblesse réside dans le manque de références relatives aux origines des interventions de chacun. C'est un point qu'il faudrait que j'améliore si je venais à refaire ce type d'exercice.

J'ai rassemblé d'autres documents pour étoffer mon étude sur le Cloud:







Je me lance désormais dans l'élaboration du plan de l'étude. Je souhaite pouvoir ainsi étudier chacune des références ci-dessus au travers d'un prisme unique pour garantir une certaine cohérence dans l'approche. J'aurai l'occasion de revenir sur tout cela lors de futurs billets.

jeudi 17 février 2011

#Liens




Fidèle à mes habitudes, voici quelques liens interessants vus ces derniers jours.


---------------------------------

- Les secrets contenus dans vos photos (geotagging): un article du New York Time qui indique comment vous pouvez révéler des informations à votre insu en publiant des photos.

- Qu'est-ce qu'un retrovirus ? toutes les explications par Symantec


- Des offres d'emplois cachées dans des en-têtes HTTP, original...


- L'ANSSI devient Autorité Nationale de Défense un communiqué de presse qui détaille la stratégie de la France en matière de défense et de sécurité des systèmes d’information











samedi 12 février 2011

Une petite fuite...



...sur le site du Parisien ce matin.

Visiblement un problème technique est en cours puisque d'autres pages affichent des erreurs.


Ces messages explicites constituent une fuite d'information: on peut en déduire des informations sur les fonctions et les variables employées dans un script, cartographier le site voire même le filesystem du système d'exploitation hébergeur.

Le traitement des messsages d'erreur est une bonne pratique en sécurité applicative.

"Applications should always fail safe. If an application fails to an unknown state, it is likely that an attacker may be able to exploit this indeterminate state to access unauthorized functionality, or worse create, modify or destroy data."

On parle de "fail safe", traduisez par "échouer proprement". Plus de détails sur le site de l'OWASP.


mardi 8 février 2011

Objectif Zero Mail...


L'infobésité est frein pour nos organisations. Le problème qui se pose est autant technique (capacités de stockage) qu'organisationnel (classification et indexation de l'information utile, durée de traitement).

A tout moment, l'entreprise agile doit pouvoir disposer et transmettre toujours plus d'information avec une grande réactivité. L'utilisation de l'email à outrance (gestion de tâches, échanges de documents) favorise largement l'augmentation démesurée du capital informationnel et la complexité du suivi.

L'email n'est pas adapté pour l'échange de documents évolutifs ou pour la gestion des tâches. Pire il est souvent utilisé pour signaler des urgences.

La société Atos Origin se lance donc dans un challenge ambitieux: ne plus utiliser l'email pour les communications internes d'ici 3 ans. L'alternative ? les nouveaux outils collaboratifs comme les réseaux sociaux d'entreprise et autres wiki pour diffuser et présenter l'information.

Une nouvelle tendance serait-elle entrain de se dessiner ? Comme les utilisateurs, le RSSI "aware" doit réflechir sur les usages plus que sur les technologies et comme pour le SaaS et l'ultramobilité, l'anticipation sera son seul salut. Après avoir combattu farouchement le réseau social, le RSSI va devoir en sécuriser l'usage.

Avec le recul, je ne pense pas que l'on puisse se passer du mail de manière si absolue. Le mail est un outil au même titre que le téléphone ou la feuille de papier. Se priver d'un outil, c'est quelque part se limiter.

Veille et organisation personnelle

Internet est ma principale source d'information. Pour gérer mes nombreux abonnements RSS j'utilise Google Reader. Les fonctionnalités offertes répondent à mes attentes du moment à savoir:
- possibilité d'y accéder depuis n'importe qu'elle plateforme connectée au web et depuis mon smartphone
- suivi efficace pour revenir sur certains articles ultérieurement
- création de notes
- exportation de la liste des flux


Une astuce que j'utilise beaucoup: la conversion de recherches Twitter sous forme de flux. Il suffit d'insérer dans votre lecteur RSS des recherches du type:


http://search.twitter.com/search.atom?q=+#ciso+filter:links+-RT

http://search.twitter.com/search.atom?q=+#cybersecurity+filter:links+-RT

http://search.twitter.com/search.atom?q=+#infosec+filter:links+-RT

http://search.twitter.com/search.atom?q=+#privacy+filter:links+-RT

http://search.twitter.com/search.atom?q=+#security+filter:links+-RT


Elles sont basées sur l'utilisation de l'outil de recherche avancé intégré à Twitter et contrairement à ce que l'on pourrait penser, pas besoin de compte Twitter pour en profiter.


ex: pour la 2e recherche, les arguments utilisés sont:


#cybersecurity : recherche uniquement les tweets comportant le hashtag #cybersecurity

-RT : ne pas retourner les retweets dans les résultats

filter:links : retourner uniquement les tweets comportant des liens


(pour vous initier à Twitter je vous suggère cette vidéo)

lundi 7 février 2011

Objectif 2011 : CISSP [update]

Un de mes objectifs de cette année était de passer la certification CISSP. Je vais devoir me rendre à l'évidence, cela ne va pas être possible.
Je termine ma formation au CNAM sur les chapeaux de roues: épreuve écrite début mars, cas pratique de sécurité applicative (vraisemblablement un audit de VM) courant avril et pour finir une étude sur le management de la sécurité dans le cloud. Un programme bien chargé qui ne va pas me laisser le temps de me préparer comme je le souhaite pour l'examen prévu à Paris le 9 juillet 2011.

J'attends donc le prochain calendrier avec impatience afin de pouvoir m'inscrire à la première session vraisemblablement en février ou mars 2012.

Du coup cela me laisse le temps pour reflechir à ma stratégie de préparation. Je compte étaler mes révisions sur 4 mois. Je vais investir dans quelques bouquins: le "CISSP All-In-One Exam Guide" et le "CISSP - Practice Exam" de Shon Harris ainsi que le "Guide to CISSPO CBK" de Robert Slade. J'envisage également l'achat de tests "Boson" et "Transcender" pour me jauger et me mettre en condition.

J'aurai l'occasion d'en reparler dans les semaines à venir.