L’édito de MISC n°94 !

Quand ça commence à se voir, ça s’appelle une fuite de données massive [1]

À moins d’être commercial dans une boite de conseil en sécurité des systèmes d’information, il est probable que la date d’application de la RGPD [2] ne soit pas attendue avec la plus grande impatience. Lire la suite

Gros plan sur les CERT, CSIRT et SOC !

Comment s’organiser et quels outils mettre en place ? Le dossier de MISC passe en revue les CERT, CSIRT et SOC. Parallèlement à ce dernier, vous pourrez y découvrir le GDPR et concevoir un plan d’action pour vous mettre en conformité, comprendre les vulnérabilités de WPA2, analyser des malwares dans une machine virtuelle, détecter les traces d’attaques dans vos logs à l’aide d’un SIEM open source… Rendez-vous en kiosque, sur notre boutique et/ou sur notre plateforme de lecture en ligne Connect pour découvrir MISC n°94 ! Lire la suite

L’évolution de la fonction CIL vers la fonction DPO – Partie 1/2

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données définit dans la section 4, articles 37, 38 et 39 la désignation du Délégué à la Protection des Données, ses fonctions et ses missions. Le G29 a adopté le 13 décembre 2016 un « Guidelines on Data Protection Officers » afin d’aider les organismes à se mettre en conformité dans la désignation du DPO. Pourtant, un grand nombre d’organismes au sein de l’union se pose un grand nombre de questions dans l’interprétation de ces différents textes. Le DPO est-il simplement le nouveau nom du Correspondant à la Protection des données (CIL) pour la France ou s’agit-il d’une nouvelle fonction ? Comment intégrer la répartition des fonctions dans la gouvernance pour la sécurité des données à caractère personnel et la protection de la vie privée ?

1. Introduction

Nous nous intéresserons tout d’abord aux missions du Correspondant à la Protection des Données, (Correspondant Informatique et Libertés, pour la France) et aux évolutions vers la fonction de DPO (Data Protection Officer) présentée dans le GDPR (Règlement 2019/ : 679 du Parlement européen et du Conseil relatif à la protection et à la libre circulation de ces données, et abrogeant la directive 95/46/CE).

Lire la suite

Présentation de l’attaque Man In The Contacts pour piéger les utilisateurs de WhatsApp, Signal et Telegram – Partie 2/2

4. Le fond du problème

Nous venons de montrer qu’il est relativement aisé de monter une attaque de type homme du milieu via les contacts et une application complice. Et cela en n’exploitant aucune faille de type 0-day dans le système d’exploitation !

Lire la suite

Présentation de l’attaque Man In The Contacts pour piéger les utilisateurs de WhatsApp, Signal et Telegram – Partie 1/2

L’année 2016 a marqué l’essor du chiffrement de bout en bout pour les messageries mobiles, avec notamment l’activation d’un tel protocole pour WhatsApp en avril. Mais aussi avec l’engouement autour de l’application Signal suite aux recommandations d’Edward Snowden [1]. Véritable progrès pour la vie privée de ses utilisateurs, c’est son utilisation supposée par des groupes terroristes qui a fait les grands titres des médias. C’est ainsi que Bernard Cazeneuve a mentionné l’application Telegram lors d’un déplacement à Berlin le 23 août 2016, en déclarant vouloir « armer véritablement nos démocraties sur la question du chiffrement » [2].

1. Un chiffrement inviolable ?

Vouloir légiférer sur ce sujet laisse entendre qu’il n’y a pas de moyen de contournement technique connu et que ce chiffrement est inviolable. C’est ce que conclut un papier académique publié en octobre 2016 et intitulé « Une analyse formelle de la sécurité du protocole de messagerie Signal » [3]. Il est utile de noter que ce protocole est utilisé à la fois par les applications Signal et WhatsApp, Telegram ne communiquant strictement aucun détail d’architecture ou d’implémentation.

Lire la suite