[:fr]

Glossaire de la sécurité des systèmes d’information

Nombre de termes expliqués : 105.

0-9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

0-9

+ 3-D Secure

3-D Secure est la nouvelle architecture de paiement en ligne par carte bancaire proposée par VISA et MasterCard puis adoptée par tous les émetteurs de cartes bancaires. « Verified by Visa » et « Mastercard SecureCode » sont les dénominations commerciales de ce nouveau schéma de paiement sur Internet. Depuis octobre 2008, 3-D Secure remplace officiellement l’ancien système SSL/TLS qui a montré ses limites, notamment en matière d’authentification des porteurs de cartes.
3-D est la contraction de « Three Domain » : le domaine acquéreur (vendeurs), le domaine émetteur (acheteurs) qui comprend une fonction d’authentification du porteur de la carte bancaire et le domaine interbancaire (banques) qui permet de faire communiquer les deux autres domaines sur Internet au sein d’une plate-forme sécurisée.
3-D Secure transfère la responsabilité du marchand vers la banque de l’acheteur. Les acteurs marchand ont donc tout intérêt à adopter ce système pour diminuer leurs impayés. Les banques des acheteurs en ligne doivent renforcer l’authentification de leurs clients lors des transactions pour diminuer la fraude.

A

+ AAA

Acronyme anglais pour Authentication, Authorization, Accounting/Auditing, c’est-à-dire authentification, autorisation et journalisation/traçabilité. La notion de controle d’accès fait généralement référence à ces trois fonctions de sécurité.

+ Accréditation

Qualification permettant à une organisation d’effectuer des opérations sur un système d’information (exploitation, maintenance…). L’accréditation est délivrée par une Autorité après un processus de reconnaissance formelle d’une compétence et d’une autorisation d’exercer. L’accréditation est en quelque sorte à une organisation ce que l’habilitation est à une personne.

+ Adressage IP privé

Le plan d’adressage IP privé (par opposition à public) consiste à attribuer aux machines de votre réseau intérieur des adresses IP non routables depuis l’Internet afin d’empêcher un accès direct à vos machines depuis l’extérieur. C’est une mesure de cloisonnement et de masquage indispensable pour protéger un réseau privé des agressions extérieures. Il est décrit dans la RFC 1918 « Address Allocation for Private Internets » qui indique les plages d’adresses IP privées que vous pouvez utilisez en interne pour votre organisation.

+ Algorithme de chiffrement/déchiffrement

Séquence particulière d’opérations réalisées sur un texte en clair à l’aide d’une clé afin d’obtenir un cryptogramme. Ce cryptogramme, ou texte chiffré, doit demeurer inintelligible à qui ne possède pas cette clé. La clé est le secret qui permet de retrouver le texte en clair initial à partir du cryptogramme en appliquant la séquence inverse.

+ Algorithme de chiffrement asymétrique

Algorithme dont la caractéristique principale est d’utiliser la clé publique du destinataire pour chiffrer le texte en clair en cryptogramme puis d’utiliser la clé privée de ce destinataire pour déchiffrer le cryptogramme en texte en clair. Le déchiffrement n’est pas la fonction inverse du chiffrement. La clé publique et la clé privée sont liées mais il est très difficile de calculer l’une à partir de l’autre.

+ Algorithme de chiffrement symétrique

Algorithme dont la caractéristique principale est d’utiliser la même clé secrète pour chiffrer le texte en clair en cryptogramme puis déchiffrer le cryptogramme en texte en clair. Le déchiffrement est la fonction inverse du chiffrement. L’émetteur et le destinataire d’un message chiffré partagent la même clé.

+ Analyse de risque

Le risque d’un système est la résultante du croisement entre les menaces qui pèsent sur ce système et sa vulnérabilité. L’analyse de risque mettra en rapport la valeur du système d’information à sécuriser et à protéger avec le coût de la sécurisation et de la protection à mettre en œuvre. L’analyse de risque doit permettre de dégager un budget et quelques grandes orientations pour la sécurité.

+ Anonymisation

Fonction dont l’objet principal est d’empêcher la reconnaissance de l’origine d’une requête, d’une commande ou d’un envoi de données par l’intervention d’un relai (anonymiseur) qui substitue sa propre adresse à celle de l’expéditeur. Ainsi, le destinataire peut toujours remonter jusqu’au relai mais ne dispose d’aucun moyen pour connaitre l’adresse d’origine, masquée par le relai. Attention, car l’anonymiseur connait tout (émetteur et destinataire) ; vous devez donc lui faire confiance.

+ Anonymiser

Littéralement, rendre anonyme. Action de masquer l’identité de l’internaute lorsqu’il surfe sur Internet ou bien qu’il envoie des courriels. Côté face, anonymiser permet de préserver sa vie privée. Côté pile, anonymiser permet de masquer l’origine d’une attaque.

+ ANSSI

L’Agence Nationale de la Sécurité des Systèmes d’Information a été créée le 7 juillet 2009 au sein du Secrétariat Général de la Défense Nationale (SGDN). Son rôle consiste à renforcer la capacité de défense des infrastructures informatiques et des systèmes d’information de notre pays. L’ANSSI devient l’instrument de la mise en œuvre de la politique française de défense contre les attaques informatiques. Son directeur actuel est M. Patrick Pailloux. « Cette agence se substitue à l’actuelle Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI) tout en en renforçant les compétences, les effectifs et les moyens. »
Depuis le 11 février 2011, l’ANSSI a également pour mission d’assurer « la fonction d’autorité nationale de défense des systèmes d’information » et peut ainsi décider des mesures à prendre en cas de crise auprès des administrations et des opérateurs de communication d’importance vitale.

+ ANTS

« L’Agence Nationale des Titres Sécurisés (ANTS) est un établissement public administratif, placé sous tutelle du ministère de l’Intérieur, de l’Outre-Mer et des collectivités territoriales. Il a été créé par un décret le 22 février 2007. L’Agence a pour mission de répondre aux besoins des administrations de l’Etat en matière de titres sécurisés : certificat d’immatriculation (communément appelée carte grise) et le passeport biométrique. Ces titres sont des documents qui sont délivrés par l’Etat et qui font l’objet d’une procédure d’édition et de contrôle sécurisée. »

[ANTS]

+ Attribut

Un attribut est un élément constitutif de l’identité. Juridiquement, il s’agit tout simplement des données personnelles d’un individu. Selon le dictionnaire de l’Académie Française, un attribut est ce « qui est propre et particulier à un être, à quelqu’un ou à quelque chose ». Le Larousse en donne la définition suivante : « une propriété distincte, mesurable, physique ou abstraite appartenant nommément à une entité (individu ou autre) ».

Les attributs peuvent prendre des formes très variées :

  • état civil de la personne (nom, prénom, date et lieu de naissance, filiation…) ;
  • qualités (diplôme, nationalité, fonction, employeur…) ;
  • coordonnées postales, téléphoniques, courriel… ;
  • coordonnées bancaires ;
  • données de fidélité ;
  • les certificats qui sont délivrés par des organismes, des services ;
  • les contenus publiés à partir d’outils d’expression (blogs, avis, wikis…) ;
  • les achats (ou ventes) réalisés chez certains marchands ;
  • les données diffusées au travers de réseaux sociaux, sites de rencontre ou mondes virtuels ;
  • les informations fournies par des services de gestion de notoriété et de réputation ;
  • etc.

[Consortium FC²]

+ Audit de sécurité

L’audit dresse un état des lieux de la sécurité du système d’information, c’est une photographie de l’existant. L’audit permet d’analyser les principaux problèmes de sécurité informatique et délivre un premier ensemble de constats et de recommandations. L’audit sécurité ne définit pas la Politique de Sécurité, il est un de ces premiers composants.

+ Authentification

S’applique aux utilisateurs d’un système d’information d’une part, et aux documents, programmes et logiciels d’autre part.
L’authentification est une fonction de sécurité qui assure la preuve de l’identité d’un utilisateur sur un réseau.
Les utilisateurs peuvent être :

  • des personnes physiques,
  • des équipements,
  • des applications.

L’authentification est aussi une fonction de sécurité qui assure la preuve de l’origine d’un document, d’un programme ou d’un logiciel.

S’authentifier : Apporter la preuve de son identité.
Authentifier un utilisateur : Obtenir la preuve de l’identité de cet utilisateur par un procédé d’authentification fondé sur l’analyse de ses « crédentiels » (éléments de preuve d’une identité).

+ Autorisation

Droit accordé à un utilisateur d’un système d’information concernant une action sur les ressources de ce système (consultation, modification, suppression, exécution). Une autorisation peut être accordée ou bien refusée par un système.

B

+ Besoin d’en connaître

Principe de restriction de la délivrance d’informations sensibles lié à la nécessité de connaître ces informations afin de réaliser la tâche ou la mission confiée.

C

+ Canular

Information fausse transmise par messagerie électronique et incitant les destinataires abusés à effectuer des opérations ou à prendre des initiatives inutiles, voire dommageables.
Terme en anglais : hoax.
[Parution au Journal officiel : 20 mai 2005]

+ CAPTCHA

CAPTCHA est l’acronyme de « Completely Automated Public Turing test to tell Computers and Humans Apart ». Cette méthode permet d’authentifier un être humain par rapport à un automate en ce que l’humain est capable de reconnaitre des caractères tordus affichés dans un dessin puis de les restituer, lesquels caractères sont par contre difficiles à interpréter par un programme automatisé. CAPTCHA est notamment utilisé pour bloquer les robots et les programmes de spam lors de la saisie de données dans un formulaire Web. Ainsi, seules de vraies personnes peuvent s’inscrire sur ces sites Web protégés.

+ Certificat de clé publique

Un certificat de clé publique est un petit fichier structuré, normalisé par le format X.509v3, qui établit le lien entre une clé publique, l’identité de son propriétaire et son usage cryptographique. Ces informations sont d’abord vérifiées par une Autorité d’Enregistrement (AE) puis certifiées par une Autorité de Certification (AC) qui signe numériquement avec sa propre clé privée le certificat délivré.

Le certificat de clé publique de l’AC, présent par défaut dans les magasins de clés des navigateurs Internet et dans les serveurs, permet de vérifier cette signature et, par voie de conséquence, la validité des informations contenues dans le certificat. Le certificat apporte la preuve que la clé publique appartient bien à son propriétaire. Grâce à ce certificat, on peut utiliser cette clé publique pour chiffrer un message à l’intention de son propriétaire mais aussi vérifier sa signature numérique.

+ Certificats (formats de fichier)

DER – Definite Encoding Rules. Utilisé pour encoder des certificats X509 en notation ASN.1. Extensions usuelles : .der, .cer, .crt, .cert.

PEM – Privacy Enhanced Mail. Peut contenir des clés privées, des clés publiques et des certificats X.509. Le format PEM est du DER encodé en base64 auquel sont ajoutées des en-têtes en ASCII. Extensions usuelles : .pem, .cer, .crt, .cert.

PFX – Certains produits Microsoft utilisent toujours l’extension « .pfx » (une ancienne spécification maison) pour désigner des fichiers au format PKCS#12.

PKCS#7 – Cryptographic Message Syntax Standard. Cette spécification fait partie des Public-Key Cryptography Standards (PKCS) de la société RSA. Un message signé par Mozilla Thunderbird ou Microsoft Outlook a en pièce jointe un fichier PKCS#7 (ou CMS, Cryptographic Message Syntax) qui contient la signature (.p7s). Le contenu d’un message chiffré par Thunderbird ou Outlook est placé dans une pièce jointe (.p7m). La spécification CMS (RFC 2630,issue de PKCS#7) est utilisée par S/MIME 3. Extensions usuelles de fichiers PKCS#7 : .p7s (données signées), .p7m (données chiffrées).

PKCS#12 – Personnal Information Exchange Syntax Standard. Cette spécification fait partie des Public-Key Cryptography Standards (PKCS) de la société RSA. C’est un standard pour stocker des clés privées, des clés publiques et des certificats en les protégeant en confidentialité et en intégrité (soit par mot de passe – le plus courant – soit avec de la cryptographie asymétrique – plus rare et non utilisé dans les produits grands publics). Les données sont stockées dans un format binaire. C’est le format communément utiliser pour stocker un certificat et sa clé privée associée dans un fichier protégé en confidentialité et intégrité par un mot de passe. Ce format est utilisé par Mozilla et Internet Explorer/Outlook pour importer et exporter un certificat avec sa clé privée associée. Extensions usuelles de fichiers PKCS#12 : .p12, .pfx.

PVK – C’est le format propriétaire qu’utilise Microsoft pour stocker les clés privées de signature dans plusieurs de ses produits. Les clés publiques associées sont quant à elles stockées dans des fichiers « .spc ».

+ Cheval de Troie

Programme malveillant qui, dissimulé à l’intérieur d’un autre programme en apparence inoffensif (par exemple un jeu ou un petit utilitaire), exécute des opérations nuisibles à l’insu de l’utilisateur. Généralement, le cheval de Troie donne un accès non désiré à l’ordinateur sur lequel il est exécuté en ouvrant une porte dérobée. Il permet ainsi aux pirates d’accéder aux fichiers de la machine infectée pour les consulter, les modifier ou les détruire et ce, à l’insu de l’utilisateur. Le cheval de Troie est parfois considéré comme un virus, mais ce n’est pas nécessairement le cas dans la mesure où son but n’est pas de se reproduire pour infecter d’autres machines.

+ Chiffrement

Transformation cryptographique de données produisant un cryptogramme. [ISO 7498-2]

+ Clé privée

Suite particulière de caractères constituant le secret non partagé nécessaire au déchiffrement d’un cryptogramme pour retrouver le texte en clair à l’aide d’un algorithme asymétrique.
Suite particulière de caractères constituant le secret non partagé nécessaire à la signature numérique d’un texte à l’aide d’un algorithme asymétrique.

+ Clé publique

Suite particulière de caractères constituant la valeur nécessaire au chiffrement d’un texte en clair pour obtenir son cryptogramme à l’aide d’un algorithme asymétrique.
Suite particulière de caractères constituant la valeur nécessaire à la vérification d’une signature numérique réalisée par sa clé privée correspondante à l’aide d’un algorithme asymétrique.

+ Clé secrète

Suite particulière de caractères constituant le secret nécessaire au chiffrement d’un texte en clair et au déchiffrement de son cryptogramme à l’aide d’un algorithme symétrique.

+ CNIL

« La Commission Nationale de l’Informatique et des Libertés est une institution indépendante chargée de veiller au respect de l’identité humaine, de la vie privée et des libertés dans un monde numérique. » [CNIL]

+ Code secret

Un code (comme le code PIN de nos cartes à puce bancaires) est associé à un élément personnel. PIN est d’ailleurs l’acronyme de Personal Identification Number. Le terme français est code secret ou code confidentiel. Un code d’accès n’est pas personnel, il est associé à l’objet ou bien au lieu qu’il sécurise. Dans ce dernier cas, le même code d’accès est commun à toutes les personnes autorisées comme pour les « digicodes » de nos immeubles.

+ Coffre-fort électronique

Un coffre-fort électronique, qu’il soit local ou distant, est un espace numérique de stockage privé et sécurisé permettant de restituer à la demande des utilisateurs autorisés et sans altération les fichiers qui y ont été déposés.

+ Compresser

Diminuer la taille d’un ou de plusieurs fichiers au moyen d’un algorithme permettant leur restitution à l’identique, en vue de les stocker ou de les transférer.
Terme en anglais : compress (to), zip (to).
[Parution au Journal officiel : 2 mai 2007]

+ Confidentialité

Fonction de sécurité qui rend inintelligible les données pour les tiers non autorisés et offre la possibilité de retrouver la valeur en clair de ses données (précédemment chiffrées) aux personnes choisies et détentrices d’un secret. Le chiffrement ou « cryptage » ne doit pas être confondu avec la confidentialité. Le chiffrement est une technique qui permet d’obtenir la confidentialité des données mais aussi d’assurer d’autres fonctions de sécurité comme l’authentification par exemple.

+ Connexion

Procédure permettant à un utilisateur de se mettre en relation avec un système informatique et, si nécessaire, de se faire reconnaître de celui-ci.
Terme en anglais : log in, log on.
[Parution au Journal officiel : 10 octobre 1998]

+ Contrôle d’accès

Fonction de sécurité réseau qui assure l’allocation des ressources du système d’information aux utilisateurs autorisés, suivant leur profil. Le contrôle d’accès englobe les fonctions d’identification, d’authentification, d’autorisation et de journalisation.

+ Contrôle d’intégrité

Fonction de sécurité qui assure que les données n’ont pas été modifiées d’une quelconque manière par rapport à leur valeur d’origine. Le contrôle d’intégrité recouvre deux grands domaines : la détection et l’éradication des virus informatiques d’une part, le scellement des informations d’autre part.

+ Courriel

Document informatisé qu’un utilisateur saisit, envoie ou consulte en différé par l’intermédiaire d’un réseau. Un courriel contient le plus souvent un texte auquel peuvent être joints d’autres textes, des images ou des sons. Par extension, le terme « courriel » et son synonyme « courrier électronique » sont employés au sens de « messagerie électronique ». Le terme « courriel » annule et remplace « courrier électronique » publié au Journal officiel du 2 décembre 1997.
Terme en anglais : e-mail, electronic mail.
[Parution au Journal officiel : 20 juin 2003]

+ Cracker

Un « Cracker » ou « black hat hacker » est un pirate. C’est un informaticien, spécialiste de certains aspects de la sécurité informatique, qui possède les connaissances et la capacité de réaliser des attaques sur un système d’information. Son objectif est de pirater les systèmes d’information pour son profit personnel, celui d’une organisation ou pour une « cause » en exploitant les failles et les vulnérabilités d’un système.

+ Crédentiel

Un crédentiel est une valeur numérique secrète qui permet à l’utilisateur d’apporter la preuve de son identité : mot de passe, empreinte de mot de passe, clé cryptographique, certificat, table de codage (matrice), représentation d’empreinte digitale, etc. Le crédentiel est stocké sur un support physique d’authentification individuel côté utilisateur et dans une base de données des utilisateurs autorisés côté serveur.

+ Criticité

Mesure de sécurité complexe qui résulte du croisement entre la probabilité de réalisation d’un risque et le préjudice subi en cas de réalisation de ce risque. La criticité est maximum lorsqu’il y a une forte probabilité de réalisation du risque et que ses conséquences seraient désastreuses (dégâts, préjudices…).

+ Cryptanalyse

Discipline incluant les principes, moyens et méthodes de découverte du sens des données malgré leur chiffrement et de casse des codes secrets.

+ Cryptogramme

Données obtenues par l’utilisation du chiffrement. Le contenu sémantique des données résultantes n’est pas compréhensible. [ISO 7498-2]
Cryptogramme : message chiffré à l’aide d’un algorithme et d’une clé.

+ Cryptogramme visuel

Terminologie appliquée à la carte bancaire. Le cryptogramme visuel est constitué de 3 chiffres qui se trouvent au dos de la carte bancaire. Depuis 2004, ces 3 chiffres sont nécessaires pour réaliser un paiement en ligne. Le cryptogramme visuel a été mis en place afin de lutter contre les générateurs de numéros valides de carte bancaire et la récupération frauduleuse des numéros de carte en local (coup d’oeil indiscret du commerçant ou du passant, facturette…). Cette valeur doit être saisie par le client lors de la transaction en complément du numéro de carte bancaire à 16 chiffres et de sa date d’expiration. Elle est ensuite transmise au serveur de la banque qui la vérifie suivant un protocole appelé « C v v 2 ». Seule la banque émettrice de la carte bancaire du client est en mesure de vérifier cette correspondance.

+ Cryptographie

Discipline incluant les principes, moyens et méthodes de transformation des données, dans le but de cacher leur contenu, d’empêcher que leur contenu ne passe inaperçu et/ou d’empêcher leur utilisation non autorisée. [ISO 7498-2]

+ Cryptologie

Science du secret qui englobe deux disciplines : la cryptographie et la stéganographie.

D

+ Danger

Situation de forte exposition à une attaque ou à un accident susceptible de provoquer des dégâts et/ou des dommages.

+ DCSSI

Direction Centrale de la Sécurité des Systèmes Informatiques. La DCSSI est rattachée au SGDN, Secrétariat Général de la Défense Nationale, qui dépend directement du cabinet du premier ministre. La DCSSI a pour principale mission de contribuer à la définition interministérielle et à l’expression de la politique gouvernementale en matière de sécurité des systèmes d’information. Depuis le 7 juillet 2009, l’ANSSI « se substitue à l’actuelle DCSSI tout en en renforçant les compétences, les effectifs et les moyens. »

+ Déchiffrement

Opération inverse d’un chiffrement réversible. [ISO 7498-2]

+ Décryptage

Opération de récupération d’un texte en clair à partir d’un texte chiffré (ou cryptogramme) sans la connaissance initiale de la convention secrète et notamment de la clé de déchiffrement, mais en pratiquant la cryptanalyse.

+ Déni de service

Pour des utilisateurs autorisés, impossibilité d’accéder à des ressources, ou introduction de retards dans l’exécution des opérations. Le déni de service est généralement provoqué par une attaque informatique (par exemple, une attaque par saturation au moyen de virus visant à paralyser un service) ou bien par une surcharge de demandes d’accès motivée par un événement exceptionnel.

+ Donnée

Valeur brute d’un élément de connaissance destinée généralement à un traitement ultérieur.

E

+ Ecoute de ligne

Attaque qui consiste à récupérer et analyser les transferts de données opérés sur un réseau informatique et de télécommunication. L’écoute de ligne sur Internet se pratique avec un analyseur réseau. Le but principal est de récupérer des informations sensibles : identifiants, mots de passe, numéro de carte bancaire, informations métier confidentielles, etc.

+ Empreinte numérique

Une empreinte numérique est une suite de caractères de taille fixe (généralement 16, 20 ou 32) qui représente le résultat d’une fonction de hachage à sens unique. L’empreinte numérique d’un document, d’un bloc de données ou d’un programme est unique et ne peut être reproduite à partir d’une valeur d’entrée différente.

+ Exploit

Technique, méthode et/ou programme d’attaque sur un système informatique, de télécommunication ou d’information qui exploite(nt) une faille de sécurité de la cible. Les « exploits » réalisés par des hackers et présentés dans des manifestations de spécialistes (les DefCons) ont pour but de démontrer à des fins pédagogiques la faisabilité de ces attaques afin de faire progresser la sécurité des systèmes. Les « exploits » réalisés ou utilisés par des crackers/pirates sont tout simplement des armes à but malveillant.

F

+ Fédération d’identité

La fédération d’identité est une notion très large et évolutive qui décrit des mécanismes ayant pour but la portabilité des identités numériques d’un utilisateur. Cette portabilité concerne à la fois des scénarios utilisateur-vers-utilisateur, utilisateur-vers-application et application-vers-application et s’appuie sur des approches à la fois centrées sur l’utilisateur (User-centric, BtoC) et centrées sur les entreprises ou les administration (Enterprise-centric, BtoB).
Les cas d’usages typiques de la fédération d’identité concernent à la fois le SSO intra et inter-domaine, la partage d’attributs intra et inter-domaine mais aussi la gestion de l’accréditation et l’approvisionnement des données.
Conceptuellement, il est entendu par fédération d’identités le fait de rapprocher/lier des identités.
Ce rapprochement/lien peut avoir lieu au sein d’un tiers de confiance à l’intérieur d’un cercle de confiance. C’est le modèle « fédéré » de Liberty Alliance. Mais ce rapprochement peut aussi être géré par l’utilisateur. C’est le modèle « centré sur l’utilisateur » d’OpenID et Infocard. [Consortium FC²]

+ Fonction de hachage à sens unique

Une fonction de hachage à sens unique calcule une empreinte numérique de taille fixe (généralement inférieure ou égale à 32 caractères) à partir d’un document de taille quelconque, aussi gros soit-il. Une modification infime du document d’origine entraine un changement radical de la valeur de l’empreinte. Cette caractéristique permet de contrôler facilement et avec une grande fiabilité l’intégrité d’un document, d’un bloc de données ou d’un programme. Les algorithmes les plus connus sont MD5, SHA-1 et SHA-2(256).

+ Fonction de sécurité

Mesure technique, susceptible de satisfaire un objectif de sécurité. [DCSSI]

Les cinq fonctions de sécurité réseau définies par l’ISO :

  • Authentification
  • Contrôle d’accès
  • Confidentialité
  • Intégrité (ou Contrôle d’intégrité)
  • Non-répudiation

G

H

+ Habilitation

Qualification permettant à un individu de consulter des informations sensibles. L’habilitation est délivrée par une Autorité après un processus de reconnaissance formelle d’une aptitude et d’une autorisation d’exercer. L’habilitation est en quelque sorte à une personne ce que l’accréditation est à une organisation.

+ Hacker

Un « hacker » ou « white hat hacker » n’est pas un pirate. C’est un informaticien, spécialiste de la sécurité informatique, qui possède les connaissances et la capacité de réaliser des attaques sur un système d’information. Son objectif est de sensibiliser à la sécurité des systèmes d’information et de prévenir les responsables en démontrant les failles et les vulnérabilités d’un système.

+ Hameçonnage (Phishing)

L’hameçonnage est une technique d’attaque utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. L’hameçonnage peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques. [Wikipédia]

L’hameçonnage rentre dans la catégorie des attaques par ingénierie sociale.

+ Horodatage

L’horodatage appose et garantit une date et une heure précise sur un document ou bien une transaction électronique.
L’opération d’horodatage délivre une attestation d’existence d’une donnée à une date-heure-minute-seconde donnée. Cette attestation consiste en une contremarque associée à une représentation non équivoque de cette donnée, c’est-à-dire à son empreinte. La contremarque est une structure signée composée de : l’empreinte et l’algorithme de hachage à sens unique de la donnée qui a été horodatée, la date et le temps universel (UTC), l’identifiant du certificat de l’Autorité d’Horodatage qui a généré la contremarque, l’identifiant de l’Autorité d’Horodatage, l’identifiant de l’Autorité de Certification ayant signé la clé privée de l’Autorité d’Horodatage.

+ HSM (Hardware Security Module)

Un Hardware Security Module (Module Matériel de Sécurité) est une carte électronique enfichable dans un ordinateur ou mieux encore un boîtier externe dédié dont la fonction est la génération, le stockage et la protection des clés cryptographiques ainsi que leur utilisation contrôlée à des fins de vérification de valeurs. Les informations secrètes contenues dans le HSM ne sont pas réputées accessibles de l’extérieur. Les HSM sont principalement utilisés dans le monde bancaire et par les Autorités de Certification (IGCP/PKI) pour assurer certains services de sécurité dans des conditions de protection optimales.

I

+ Identifiant

L’identifiant est une valeur unique qui permet de distinguer un utilisateur ou un équipement dans un système d’information. L’identifiant est soit un numéro, soit une variante logique et évidente du nom de l’utilisateur (ou de l’équipement). Dans ce dernier cas, cette codification est une bonne chose du point de vue du système d’information et de son utilisation. Par contre, c’est un point de faiblesse en terme de sécurité car n’importe qui peut déduire l’identifiant d’un utilisateur (ou d’un équipement) compte tenu de la règle adoptée. Généralement, l’identifiant ne peut pas être considéré comme un élément de sécurité.

+ Identification

Procédé permettant de reconnaître un utilisateur de manière sûre par la récupération de données qui lui sont propres. [DCSSI]
S’identifier : Délivrer son identité.
Identifier un utilisateur : Distinguer un utilisateur d’un autre par la collecte d’un ou plusieurs éléments d’identité comme un identifiant unique par exemple.

+ Identité

Information la plus courte qui permet de distinguer et donc de nommer un individu à l’exclusion de tous les autres dans un contexte particulier.
Dans mon cercle d’amis, « Pascal » est mon identité. Dans le milieu professionnel, c’est « Pascal Thoniel ». Mon identité civile est « Pascal Thoniel, né le … à … ». Mon identité ludique est « Joocool », etc.
L’identité publique peut être civile, militaire, religieuse, artistique…
L’identité s’applique aux personnes, aux animaux, aux plantes, aux autres organismes vivants, aux objets lorsqu’ils sont sérialisés, aux entités, aux systèmes, aux programmes, aux processus, etc.
Par exemple, l’identité d’un véhicule est composé du type (marque, modèle, année) et de son numéro de série (unique dans le type considéré). Sa plaque minéralogique suppose sa mise en circulation.

+ IMEI ou code IMEI

Le code IMEI (International Mobile Equipment Identity) est un numéro de série unique, propre à chaque téléphone et chaque smartphone. C’est donc l’identifiant de votre mobile. Il est composé de 15 à 17 chiffres que vous pouvez obtenir en composant la séquence *#06# sur le clavier de votre mobile, ou bien en le lisant sous la batterie ou sur l’étiquette du coffret d’emballage. Cette information est primordiale pour la déclaration du vol de votre mobile.

+ Information

Ensemble de données associées et structurées de façon significative destiné généralement à une communication ultérieure.

+ Information classifiée

Une information classifiée est une information sensible dont l’accès est restreint par une loi ou un règlement à un groupe spécifique de personnes. Une habilitation est requise pour posséder ou accéder à des informations classifiées. [Wikipédia]

+ Infrastructure de Gestion de Clés (IGC)

Une Infrastructure de Gestion de Clés est une organisation administrative, économique et technologique qui a pour vocation la délivrance et l’usage de clés cryptographiques intra-entité ou inter-entités dans un cadre de confiance.
Depuis près de 30 ans, le standard international de l’IGC est l’Infrastructure de Gestion de Clés Publiques (IGCP) plus connue sous le terme anglo-saxon de PKI (Public Key Infrastructure). Le fondement de cette IGCP est le concept d’Autorité de Certification (AC). Toutefois, une IGC n’est pas forcément une IGCP et d’autres voies sont possibles : avec des tiers de confiance comme les notaires électroniques ou bien encore sans tiers de confiance comme dans les anneaux de clés proposés dans PGP.

+ Infrastructure de Gestion de Clés Publiques (IGCP ou PKI)

L’Infrastructure de Gestion de Clés Publiques (IGCP) est plus connue sous le terme anglo-saxon de PKI (Public Key Infrastructure). Son fondement est le concept d’Autorité de Certification (AC). Une IGCP est donc composée d’autorités de certification, d’autorités d’enregistrement et d’un service de publication.
Une IGCP délivre à ses utilisateurs un ensemble de services :

  • Enregistrement des utilisateurs,
  • Génération de certificats,
  • Révocation de certificats,
  • Publication des certificats valides et révoqués,
  • Identification et authentification des utilisateurs,
  • Archivage des certificats.

Ces certificats de clés cryptographiques serviront au chiffrement, à l’authentification et à la signature numérique.

+ Ingénierie sociale

Catégorie d’attaque qui exploite en priorité les facteurs humains et sociaux afin d’obtenir des éléments clé susceptibles de favoriser des attaques informatiques. Le célèbre pirate Kevin Mitnick a montré la redoutable efficacité de ces méthodes qui utilisent la déduction (votre mot de passe pourrait être le nom de votre chien ou la date de naissance de votre fille), la supercherie et l’abus de confiance (hameçonnage). Le manque de discrétion, l’excès de confiance, l’ignorance, la naïveté et la crédulité sont des faiblesses classiques des acteurs du système d’information.

+ Intégrité

L’intégrité concerne les données, les programmes et plus généralement les systèmes informatiques.

Intégrité : propriété assurant que des données n’ont pas été modifiées ou détruites de façon non autorisée. [ISO 7498-2]
Intégrité : garantie que le système et l’information traitée ne sont modifiés que par une action volontaire et légitime. [IGI 500]

J

+ Jeton de sécurité (token)

Un jeton de sécurité est un bloc de données transmis sur le réseau et qui contient des revendications (« claims ») concernant une entité. Notamment, le jeton précise le lien entre une identité d’une part, et les clés ou secrets d’authentification d’autre part. Une revendication est une déclaration émise par une entité concernant une entité : un nom, une identité, un groupe, une clé, un privilège, etc.

+ Journalisation

La journalisation consiste à enregistrer toutes les actions des utilisateurs et des administrateurs d’un traitement informatique dans un journal (ou log en anglais) afin de pouvoir tracer ultérieurement « qui à fait quoi » à des fins de vérification, de controle ou de sécurité.

K

L

+ Logiciel espion (logger)

Programme informatique dont la fonction est la collecte silencieuse de données liées à l’activité du terminal ou du serveur informatique sur lequel il est installé et qui s’exécute à l’insu des utilisateurs et des administrateurs. L’enregistrement de la frappe des touches du clavier (key-logger) ou des images écran (screen-logger) permet par exemple de récupérer frauduleusement des identifiants, des mots de passe, des codes de carte bancaire… puis de les communiquer à l’attaquant.

M

+ Mot de passe

Un mot de passe est associé à un identifiant. C’est une valeur secrète, partagée entre un utilisateur et la ressource à laquelle il doit accéder. Le mot de passe constitue un élément de sécurité. Le niveau de sécurité d’un mot de passe dépend de plusieurs paramètres :

  • sa facilité d’écoute,
  • sa robustesse,
  • son stockage du côté de l’utilisateur,
  • son stockage du côté du serveur,
  • son caractère statique ou dynamique.

+ MRZ ou Bande MRZ

Machine Readable Zone. La bande MRZ a été introduite en 1999 dans les nouveaux passeports délivrés par l’Union Européenne. Cette bande contient la nationalité, le nom, les prénoms, la date de naissance et le sexe de la personne, le numéro du passeport et sa date d’expiration ainsi que plusieurs valeurs conformes à une norme internationale. Sa lecture directe par la machine adéquate permet un gain de temps considérable lors des contrôles aux frontières et dans les aéroports du monde entier. Sa sécurité est loin d’être à toute épreuve car elle peut être falsifiée.

N

+ Non-répudiation

Fonction de sécurité qui assure qu’aucun des participants à une transaction informatique ne pourra renier sa participation en prétendant ne pas avoir émis des données, reçu des données ou effectué un traitement. La non-répudiation est particulièrement utile dans le cadre de la messagerie et du commerce électronique.

O

+ One-Time Password (OTP)

Le mot de passe à usage unique ou One-Time Password renforce de façon considérable la sécurité des mots de passe. Une des principales attaques sur un réseau, qu’il soit local ou étendu, est l’écoute de ligne. Elle est facile à réaliser, peu coûteuse et difficile à détecter. Tous les couples identifiant-mot de passe qui sont envoyés depuis un terminal vers un serveur peuvent être lus par un analyseur réseau, stockés et/ou envoyés à l’attaquant. Une fois en possession du précieux sésame, l’attaquant n’a plus qu’à re-jouer le même couple pour se faire passer pour l’utilisateur légitime et ainsi usurper son identité. Par contre, si le mot de passe utilisé est généré ou calculé à chaque fois, sa valeur n’est pas ré-utilisable pour la transaction suivante. La récupération de ce mot de passe par l’attaquant lors de la transaction en cours ne lui est plus d’aucune utilité. C’est pourquoi on parle de mot de passe à usage unique ou encore de mot de passe dynamique en opposition au mot de passe statique qui lui ne change jamais.

P

+ PKCS – Public Key Cryptographic Standards (spécifications pour la cryptographie à clé publique)

A l’origine, RSA Security a développé les PKCS pour permettre à ses clients d’implanter ses propres solutions de cryptographie à clé publique. Ces spécifications sont aujourd’hui largement reprises par les solutions de sécurité du marché, à base de cryptographie asymétrique et plus particulmièrement celles qui utilisent des certificats. PKCS offre une structure cohérente et rigoureuse pour faciliter le développement et l’intégration de la cryptographie asymétrique dans les plate-formes et les applications à sécuriser.

PKCS #1 (RFC 3447) Standard de Cryptographie RSA. Version courante : 2.1.
Définit la Cryptographie RSA.

PKCS #2 (Obsolète) Décrivait le chiffrement RSA des résumés de messages. A été intégrée dans PKCS #1.

PKCS #3 Standard d’échange des clés Diffie–Hellman. Version courante : 1.4.
L’échange de clés Diffie-Hellman est un protocole mathématique d’échange d’informations préliminaires sur un réseau non-sûr qui permet à deux personnes distantes de se mettre d’accord sur un secret (un nombre), qu’ils pourront ensuite utiliser comme clé pour chiffrer la conversation suivante, sans qu’un pirate puisse le découvrir en écoutant la ligne.

PKCS #4 (Obsolète) Décrivait la syntaxe de clé RSA. A été intégrée dans PKCS #1.

PKCS #5 (RFC 2898) Standard de chiffrement des mots de passe. Version courante : 2.0.

PKCS #6 (Obsolète) Définissait les extensions de l’ancienne spécification de certificat X.509 v1. Dernière version : 1.5.

PKCS #7 (RFC 2315) Standard de syntaxe de message cryptographique. Version courante : 1.5.
Utilisé pour signer et/ou chiffrer des messages dans le cadre d’une infrastructure à clés publiques. Sert également à la transmission de certificats (notamment en réponse à un message PKCS#10)

PKCS #8 (RFC 5208) Standard de syntaxe d’information de clé privée. Version courante : 1.2.
Utilisé par Apache pour le chargement des clés des certificats privés. Sans chiffrement.

PKCS #9 (RFC 2985) Types d’attribus sélectionnées dans : les certificats étendus du PKCS #6, les messages signés numériquement du PKCS #7, les informations de clé privée du PKCS #8, les demandes de signature des certificats du PKCS #10. Version courante : 2.0.

PKCS #10 (RFC 2986) Standard de Requête de Certificat. Version courante : 1.7.
Définit le format des messages envoyés à une Autorité de Certification et demandant la signature d’une paire de clés.

PKCS #11 Interface de périphérique cryptographique (« cryptoki »). Version courante : 2.20.
API définissant une interface générique pour périphériques cryptographiques, tels que les cartes à puce par exemple.

PKCS #12 Standard de syntaxe d’information personnelle. Version courante : 1.0.
Définit un format de fichier généralement utilisé pour stocker la clé privée et le certificat de clé publique correspondant en les protégeant par un mot de passe.

PKCS #13 (en cours de développement) Standard de Cryptographie sur les courbes elliptiques.
Les courbes elliptiques, objets mathématiques, peuvent être utilisées pour des opérations asymétriques comme des échanges de clés sur un canal non-
sécurisé ou un chiffrement asymétrique : ECC (Elliptic Curve Cryptography), concurrent direct de l’algorithme RSA.

PKCS #14 (en cours de développement) Générateur de nombres pseudo-aléatoires.
Très utilisé en cryptographie.

PKCS #15 Standard de format d’information sur les périphériques cryptographiques. Version courante : 1.1.
Définit un standard permettant aux utilisateurs de périphériques cryptographiques de s’identifier auprès des applications, indépendamment de l’implantation de la « cryptoki » par l’application (PKCS #11) ou une autre API.

+ Politique de Référencement Intersectorielle de Sécurité (PRIS)

La PRIS est un cahier des charges édité par l’Etat français à destination des prestataires de services de confiance (autorité de certification, autorité d’horodatage …) et des fournisseurs de produits de sécurité pour les aider à définir leurs offres, de sorte qu’elles soient recevables par la sphère publique tant pour ses échanges internes que pour les échanges avec les usagers. La version 2.1 a été publiée en août 2008.

+ Protection des données

Ensemble des garanties apportées par une entité concernant l’usage qu’elle fait des données collectées sur les utilisateurs de ses services (politique de confidentialité, charte de déontologie, non partage ou revente, etc.).

Q

R

+ Référentiel Général de Sécurité (RGS)

Le RGS est un document co-produit par la DGME (Direction Générale de la Modernisation de l’Etat) et l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Son objectif est de fixer les règles essentielles qui permettront de garantir la sécurité des systèmes d’information. Selon l’ANSSI, « … le référentiel général de sécurité donne aux autorités administratives françaises les clés de compréhension et de mise en œuvre de téléservices fiables et sécurisés. » Ce référentiel est un recueil de procédures qui ne fait la promotion d’aucune technologie. Le RGS constitue une base utile pour l’élaboration d’une politique de sécurité. Sa mise en œuvre est obligatoire dans les administrations publiques françaises.

+ Renseignement

Ensemble d’informations de valeur, collectées, analysées, traitées, pour etre diffusé à qui de droit pour une exploitation ultérieure.
L’opération de « renseignement » désigne toutes les activités et processus nécessaires à son obtention (collecte, analyse, traitement et diffusion).

+ Résilience

Degré de résistance d’un dispositif de protection à l’impact d’une attaque ou d’un accident.
Capacité de fonctionnement d’un système informatique après une attaque ou un accident.

+ Risque

Probabilité plus ou moins grande de voir une menace informatique se transformer en événement réel (incident, accident ou attaque) entraînant un dégât. Les risques informatiques peuvent être d’origine naturelle ou humaine, accidentelle ou intentionnelle. Le risque informatique se mesure à la fois par la probabilité d’occurrence d’une menace et par le montant de la perte consécutive à sa réalisation.

+ RSA

RSA (créé en 1977 par Ronald Rivest, Adi Shamir et Leonard Adleman) est l’algorithme de cryptographie asymétrique le plus utilisé au monde. Son brevet a expiré en septembre 2000. La société américaine RSA Security (devenue en septembre 2006 une filiale du groupe américain EMC) est l’artisan du déploiement de l’algorithme RSA dans de nombreuses solutions de sécurité matérielles et logicielles, en partie grace à ses spécifications PKCS (Public Key Cryptographic Standards). RSA permet le chiffrement des clés de session lors de l’établissement d’un tunnel chiffré ainsi que la mise en oeuvre de la signature électronique. RSA s’appuie mathématiquement sur la difficulté de factoriser un grand nombre en deux nombres premier et produit une bi-clé – clé privé et clé publique – propre à chaque utilisateur. On chiffre un message avec la clé publique du destinataire qui seul sera en mesure de le déchiffrer avec sa clé privée. Je signe avec ma clé privée afin que tout le monde puisse vérifier ma signature avec ma clé publique. Toutefois, les progrès du calcul mathématique obligent l’algorithme RSA à utiliser des clés de plus en plus longues pour rester sûr : 512 bits est aujourd’hui insuffisant et il est recommandé d’utiliser des clés de 1024 voire 2048 bits. Depuis le milieu des années 2000, l’algorithme RSA est concurrencé par l’algorithme ECC (Elliptic Curve Cryptography) fondé sur l’utilisation des courbes elliptiques.

S

+ Scellement

Le scellement s’applique aux données stockées ou archivées ainsi qu’aux programmes informatiques.
L’opération de scellement consiste à appliquer un « sceau » sur un document visant à garantir son intégrité et son origine. Le document est d’abord haché à sens unique afin de calculer son empreinte (ou condensé) puis cette empreinte est chiffrée avec la clé privée du propriétaire ou du dépositaire légitime du document.
Toute modification même infime du contenu du document engendrera une modification significative de son empreinte numérique. Ainsi, le stockage de l’empreinte d’un document permet de vérifier rapidement si son intégrité a été conservée dans le temps. La clé publique du propriétaire ou du dépositaire légitime du document permettra quant à elle d’en vérifier l’origine.
Le scellement n’assure pas la confidentialité des documents mais s’avère utile voire indispensable pour empêcher la falsification dans l’exploitation de formules scientifiques, dans l’usage d’un programme informatique sensible ou pour garantir la validité juridique des contrats stockés sous forme numérique.

+ Sécuritaire

Le terme « sécuritaire » n’est pas pertinent en matière de SSI. Il signifie en fait conforme à la notion de sécurité publique. Ce mot est employé dans le vocabulaire journalistique avec une connotation légèrement péjorative qui souligne le fait que la défense de la sécurité publique est susceptible d’engendrer des abus de pouvoir (exemple : dérive sécuritaire).

+ Sécurité des données

Ensemble des moyens de protection (politique, principes, mesures, procédures et dispositifs de sécurité) mis en oeuvre par une entité pour lutter contre les menaces qui pèsent sur les données stockées ou échangées dans son système d’information.

+ Sécurité de l’information

Protection des ressources informationnelles d’une organisation, face à des risques identifiés, qui résulte d’un ensemble de mesures de sécurité prises pour assurer la confidentialité, l’intégrité et la disponibilité de l’information stockée et traitée.

+ Sécurité informatique

Mise en place et mise en oeuvre d’un ensemble de mesures de sécurité (physiques, logiques, administratives) et de mesures d’urgence en vue d’assurer la protection des biens informatiques, matériels et logiciels d’une organisation, des données de son système d’information et de leur confidentialité, ainsi que la continuité de service.

+ Signature numérique

Technique cryptographique qui permet d’assurer l’intégrité d’un message et l’authentification de l’émetteur de ce message.

+ SSI

La Sécurité des Systèmes d’Information (SSI) est un domaine plus large que la sécurité informatique puisqu’elle englobe également la sécurité de l’information.

La SSI couvre l’ensemble du SI qui se décompose en deux couches :

  1. le système de gestion de l’information (SGI)
  2. l’infrastructure informatique (II)

La SSI traite des aspects sécurité d’un SI sur les plans technique, organisationnel et humain.

+ SSL – SSL/TLS

Le protocole SSL (Secure Socket Layer) est à l’heure actuelle un des systèmes de sécurité les plus utilisés et notamment pour les applications de banque en ligne et le paiement en ligne par carte bancaire.
La dernière version 3.1 de SSL appelée officiellement TLS 1.2 (Transport Layer Security) a été intégrée dans tous les navigateurs Internet. Son utilisation est symbolisée par l’apparition d’un petit cadenas et la mention « https » dans l’URL du site web visité. Côté serveur, il est également implémenté sur les serveurs des banques, des institutions, des grandes entreprises, etc.

Ce protocole a été conçu principalement pour assurer la confidentialité des données échangées sur Internet. Il s’appuie sur la cryptographie asymétrique pour l’authentification et sur la cryptographie symétrique pour la confidentialité.

+ SSO (Single Sign On)

Ce n’est pas une fonction de sécurité mais un service de propagation de l’authentification valide d’un utilisateur auprès d’applications multiples.
Lorsque ces applications font partie d’un même système d’information (ensemble régi par une politique de sécurité commune) on parle de SSO intra-domaine.
Lorsque ces applications font partie de systèmes d’information différents (ensemble régi par des politiques de sécurité différentes) on parle de SSO inter-domaines.
Le SSO permet l’authentification de l’identité d’un utilisateur sur un service grâce à la réutilisation transparente d’une authentification précédente sur un autre service. Attention, si l’on considère qu’un utilisateur peut disposer de plusieurs identités, la propagation de l’authentification du SSO s’applique à l’identité authentifiée et non sur l’ensemble des identités.

+ Stéganographie

Discipline incluant les principes, les moyens et les méthodes de camouflage des données stockées ou transmises, dans le but de soustraire leur contenu à toute personne ou tout système n’étant pas le propriétaire ou le destinataire de ces données. L’information n’est ni modifiée ni protégée pour assurer sa confidentialité, elle est simplement cachée ou masquée de façon astucieuse parmi d’autres données.

+ Support physique d’authentification

Un support physique d’authentification est un équipement ou périphérique matériel possédé par l’utilisateur et qui lui permet de s’authentifier. Le support physique d’authentification contient notamment le ou les crédentiels propres à l’utilisateur pour apporter la preuve de son identité : mot de passe, clé cryptographique, certificat, table de codage (matrice), représentation d’empreinte digitale, etc. Il peut contenir aussi le ou les programmes de génération ou de calcul des mots de passe à usage unique, des réponses aux défis, de chiffrement/déchiffrement, etc.
Les supports physiques d’authentification : cédécartes, clés USB, crypto-clés USB, cartes à puces, téléphone mobile, calculettes, mémoires SD, etc.
Le terme anglais équivalent le plus approprié serait « personal authentication device » et non pas « token ».

+ Sûreté

Pour le sens commun, la sûreté représente l’absence de danger pour les biens et les personnes.

Article II – Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l’homme. Ces droits sont la liberté, la propriété, la sûreté et la résistance à l’oppression. [Déclaration des droits de l’homme et du citoyen de 1789]

Article 8 (sûreté) – La sûreté consiste dans la protection accordée par la société à chacun de ses membres pour la conservation de sa personne, de ses droits et de ses propriétés. [Déclaration des Droits de l’Homme et du Citoyen de 1793]

Sûreté de fonctionnement d’un système :

  • disponibilité (être prêt à l’emploi),
  • fiabilité (continuité des services),
  • maintenabilité (être réparable),
  • sécurité (non susceptible de provoquer des accidents).

Sûreté d’un système cryptographique : système qui ne peut être attaqué avec succès.

Direction de la Sûreté : Office gouvernemental dont le but est d’assurer la sécurité des biens et des personnes ainsi que la sauvegarde des intérêts de l’Etat en luttant contre les troubles à l’ordre public, l’espionnage, le terrorisme… Ce peut être aussi un organisme militaire chargé d’assurer la surveillance policière des personnels militaires.

+ Système cryptographique ou crypto-système

Ensemble cryptographique cohérent qui permet de stocker, traiter, échanger, et diffuser des données de façon sécurisée au sein de plusieurs entités. Un système cryptographique est généralement constitué d’un algorithme de chiffrement, d’un algorithme de déchiffrement, d’un mode de chiffrement, d’un espace de clés et d’un protocole de gestion des clés.

+ Système d’Information (SI)

Un Système d’Information est un ensemble complexe qui collecte, stocke, traite, diffuse et échange de l’information dans le but de réaliser les objectifs de l’organisation qui le dirige.

T

U

+ Usurpation d’identité

Fraude qui consiste à se faire passer pour un utilisateur légitime sur un système d’information.

V

+ Ver

Programme malveillant qui se reproduit de machine en machine par le biais du réseau local ou étendu (Internet). Son exécution ne dépend pas d’un vecteur de rattachement comme le virus. Sa propagation résulte généralement de l’exploitation d’erreurs de configuration des systèmes, de leurs lacunes de sécurité, de certains bogues des logiciels de communication (navigateurs, logiciels de messagerie…) ou des modules de communication des applications.

+ Virus

Programme malveillant dont l’exécution est déclenchée lorsque le vecteur auquel il a été attaché clandestinement est activé, qui se recopie au sein d’autres programmes ou sur des zones systèmes lui servant à leur tour de moyen de propagation, et qui produit les actions malveillantes pour lesquelles il a été conçu.

+ Vol d’identité

Fraude qui consiste à collecter et à utiliser des renseignements personnels à l’insu et sans l’autorisation de la victime, et ce, à des fins généralement criminelles.

+ Vulnérabilité

Faiblesse d’un système se traduisant par une incapacité partielle de celui-ci à faire face aux accidents et à contrer des attaques informatiques.
Les systèmes d’information sont tous, à des degrés divers, vulnérables aux événements, accidentels ou frauduleux, qui peuvent nuire à leur fonctionnement, provoquer leur détérioration ou leur destruction, ou permettre la violation des données qui s’y trouvent stockées.

W

+ Watermarking ou marquage numérique

Apposition d’une information (copyright, origine, droits, sceau, etc.) sous la forme d’une marque sur un document numérique. Cette marque doit être difficile à reproduire.

Suivant le but poursuivi, cette marque peut être visible et par conséquent doit être difficile à enlever. Ou bien cette marque peut être invisible (stéganographie) et par conséquent doit être difficile à deviner pour tout un chacun, mais facile à vérifier pour qui en a la connaissance légitime. Dans ce dernier cas, le but est de pouvoir confondre un copieur.

X

Y

Z

Retour en haut de page

(c) Pascal Thoniel, NTX Research, 2009-2015, sauf mention contraire comme par exemple [DCSSI] ou [ISO].

[:en]

Glossaire de la sécurité des systèmes d’information

Nombre de termes expliqués : 103.

0-9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

0-9

+ 3-D Secure

3-D Secure est la nouvelle architecture de paiement en ligne par carte bancaire proposée par VISA et MasterCard puis adoptée par tous les émetteurs de cartes bancaires. « Verified by Visa » et « Mastercard SecureCode » sont les dénominations commerciales de ce nouveau schéma de paiement sur Internet. Depuis octobre 2008, 3-D Secure remplace officiellement l’ancien système SSL/TLS qui a montré ses limites, notamment en matière d’authentification des porteurs de cartes.
3-D est la contraction de « Three Domain » : le domaine acquéreur (vendeurs), le domaine émetteur (acheteurs) qui comprend une fonction d’authentification du porteur de la carte bancaire et le domaine interbancaire (banques) qui permet de faire communiquer les deux autres domaines sur Internet au sein d’une plate-forme sécurisée.
3-D Secure transfère la responsabilité du marchand vers la banque de l’acheteur. Les acteurs marchand ont donc tout intérêt à adopter ce système pour diminuer leurs impayés. Les banques des acheteurs en ligne doivent renforcer l’authentification de leurs clients lors des transactions pour diminuer la fraude.

A

+ AAA

Acronyme anglais pour Authentication, Authorization, Accounting/Auditing, c’est-à-dire authentification, autorisation et journalisation/traçabilité. La notion de controle d’accès fait généralement référence à ces trois fonctions de sécurité.

+ Accréditation

Qualification permettant à une organisation d’effectuer des opérations sur un système d’information (exploitation, maintenance…). L’accréditation est délivrée par une Autorité après un processus de reconnaissance formelle d’une compétence et d’une autorisation d’exercer. L’accréditation est en quelque sorte à une organisation ce que l’habilitation est à une personne.

+ Adressage IP privé

Le plan d’adressage IP privé (par opposition à public) consiste à attribuer aux machines de votre réseau intérieur des adresses IP non routables depuis l’Internet afin d’empêcher un accès direct à vos machines depuis l’extérieur. C’est une mesure de cloisonnement et de masquage indispensable pour protéger un réseau privé des agressions extérieures. Il est décrit dans la RFC 1918 « Address Allocation for Private Internets » qui indique les plages d’adresses IP privées que vous pouvez utilisez en interne pour votre organisation.

+ Algorithme de chiffrement/déchiffrement

Séquence particulière d’opérations réalisées sur un texte en clair à l’aide d’une clé afin d’obtenir un cryptogramme. Ce cryptogramme, ou texte chiffré, doit demeurer inintelligible à qui ne possède pas cette clé. La clé est le secret qui permet de retrouver le texte en clair initial à partir du cryptogramme en appliquant la séquence inverse.

+ Algorithme de chiffrement asymétrique

Algorithme dont la caractéristique principale est d’utiliser la clé publique du destinataire pour chiffrer le texte en clair en cryptogramme puis d’utiliser la clé privée de ce destinataire pour déchiffrer le cryptogramme en texte en clair. Le déchiffrement n’est pas la fonction inverse du chiffrement. La clé publique et la clé privée sont liées mais il est très difficile de calculer l’une à partir de l’autre.

+ Algorithme de chiffrement symétrique

Algorithme dont la caractéristique principale est d’utiliser la même clé secrète pour chiffrer le texte en clair en cryptogramme puis déchiffrer le cryptogramme en texte en clair. Le déchiffrement est la fonction inverse du chiffrement. L’émetteur et le destinataire d’un message chiffré partagent la même clé.

+ Analyse de risque

Le risque d’un système est la résultante du croisement entre les menaces qui pèsent sur ce système et sa vulnérabilité. L’analyse de risque mettra en rapport la valeur du système d’information à sécuriser et à protéger avec le coût de la sécurisation et de la protection à mettre en œuvre. L’analyse de risque doit permettre de dégager un budget et quelques grandes orientations pour la sécurité.

+ Anonymisation

Fonction dont l’objet principal est d’empêcher la reconnaissance de l’origine d’une requête, d’une commande ou d’un envoi de données par l’intervention d’un relai (anonymiseur) qui substitue sa propre adresse à celle de l’expéditeur. Ainsi, le destinataire peut toujours remonter jusqu’au relai mais ne dispose d’aucun moyen pour connaitre l’adresse d’origine, masquée par le relai. Attention, car l’anonymiseur connait tout (émetteur et destinataire) ; vous devez donc lui faire confiance.

+ Anonymiser

Littéralement, rendre anonyme. Action de masquer l’identité de l’internaute lorsqu’il surfe sur Internet ou bien qu’il envoie des courriels. Côté face, anonymiser permet de préserver sa vie privée. Côté pile, anonymiser permet de masquer l’origine d’une attaque.

+ ANSSI

L’Agence Nationale de la Sécurité des Systèmes d’Information a été créée le 7 juillet 2009 au sein du Secrétariat Général de la Défense Nationale (SGDN). Son rôle consiste à renforcer la capacité de défense des infrastructures informatiques et des systèmes d’information de notre pays. L’ANSSI devient l’instrument de la mise en œuvre de la politique française de défense contre les attaques informatiques. Son directeur actuel est M. Patrick Pailloux. « Cette agence se substitue à l’actuelle Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI) tout en en renforçant les compétences, les effectifs et les moyens. »
Depuis le 11 février 2011, l’ANSSI a également pour mission d’assurer « la fonction d’autorité nationale de défense des systèmes d’information » et peut ainsi décider des mesures à prendre en cas de crise auprès des administrations et des opérateurs de communication d’importance vitale.

+ ANTS

« L’Agence Nationale des Titres Sécurisés (ANTS) est un établissement public administratif, placé sous tutelle du ministère de l’Intérieur, de l’Outre-Mer et des collectivités territoriales. Il a été créé par un décret le 22 février 2007. L’Agence a pour mission de répondre aux besoins des administrations de l’Etat en matière de titres sécurisés : certificat d’immatriculation (communément appelée carte grise) et le passeport biométrique. Ces titres sont des documents qui sont délivrés par l’Etat et qui font l’objet d’une procédure d’édition et de contrôle sécurisée. »

[ANTS]

+ Attribut

Un attribut est un élément constitutif de l’identité. Juridiquement, il s’agit tout simplement des données personnelles d’un individu. Selon le dictionnaire de l’Académie Française, un attribut est ce « qui est propre et particulier à un être, à quelqu’un ou à quelque chose ». Le Larousse en donne la définition suivante : « une propriété distincte, mesurable, physique ou abstraite appartenant nommément à une entité (individu ou autre) ».

Les attributs peuvent prendre des formes très variées :

  • état civil de la personne (nom, prénom, date et lieu de naissance, filiation…) ;
  • qualités (diplôme, nationalité, fonction, employeur…) ;
  • coordonnées postales, téléphoniques, courriel… ;
  • coordonnées bancaires ;
  • données de fidélité ;
  • les certificats qui sont délivrés par des organismes, des services ;
  • les contenus publiés à partir d’outils d’expression (blogs, avis, wikis…) ;
  • les achats (ou ventes) réalisés chez certains marchands ;
  • les données diffusées au travers de réseaux sociaux, sites de rencontre ou mondes virtuels ;
  • les informations fournies par des services de gestion de notoriété et de réputation ;
  • etc.

[Consortium FC²]

+ Audit de sécurité

L’audit dresse un état des lieux de la sécurité du système d’information, c’est une photographie de l’existant. L’audit permet d’analyser les principaux problèmes de sécurité informatique et délivre un premier ensemble de constats et de recommandations. L’audit sécurité ne définit pas la Politique de Sécurité, il est un de ces premiers composants.

+ Authentification

S’applique aux utilisateurs d’un système d’information d’une part, et aux documents, programmes et logiciels d’autre part.
L’authentification est une fonction de sécurité qui assure la preuve de l’identité d’un utilisateur sur un réseau.
Les utilisateurs peuvent être :

  • des personnes physiques,
  • des équipements,
  • des applications.

L’authentification est aussi une fonction de sécurité qui assure la preuve de l’origine d’un document, d’un programme ou d’un logiciel.

S’authentifier : Apporter la preuve de son identité.
Authentifier un utilisateur : Obtenir la preuve de l’identité de cet utilisateur par un procédé d’authentification fondé sur l’analyse de ses « crédentiels » (éléments de preuve d’une identité).

+ Autorisation

Droit accordé à un utilisateur d’un système d’information concernant une action sur les ressources de ce système (consultation, modification, suppression, exécution). Une autorisation peut être accordée ou bien refusée par un système.

B

+ Besoin d’en connaître

Principe de restriction de la délivrance d’informations sensibles lié à la nécessité de connaître ces informations afin de réaliser la tâche ou la mission confiée.

C

+ Canular

Information fausse transmise par messagerie électronique et incitant les destinataires abusés à effectuer des opérations ou à prendre des initiatives inutiles, voire dommageables.
Terme en anglais : hoax.
[Parution au Journal officiel : 20 mai 2005]

+ CAPTCHA

CAPTCHA est l’acronyme de « Completely Automated Public Turing test to tell Computers and Humans Apart ». Cette méthode permet d’authentifier un être humain par rapport à un automate en ce que l’humain est capable de reconnaitre des caractères tordus affichés dans un dessin puis de les restituer, lesquels caractères sont par contre difficiles à interpréter par un programme automatisé. CAPTCHA est notamment utilisé pour bloquer les robots et les programmes de spam lors de la saisie de données dans un formulaire Web. Ainsi, seules de vraies personnes peuvent s’inscrire sur ces sites Web protégés.

+ Certificat de clé publique

Un certificat de clé publique est un petit fichier structuré, normalisé par le format X.509v3, qui établit le lien entre une clé publique, l’identité de son propriétaire et son usage cryptographique. Ces informations sont d’abord vérifiées par une Autorité d’Enregistrement (AE) puis certifiées par une Autorité de Certification (AC) qui signe numériquement avec sa propre clé privée le certificat délivré.

Le certificat de clé publique de l’AC, présent par défaut dans les magasins de clés des navigateurs Internet et dans les serveurs, permet de vérifier cette signature et, par voie de conséquence, la validité des informations contenues dans le certificat. Le certificat apporte la preuve que la clé publique appartient bien à son propriétaire. Grâce à ce certificat, on peut utiliser cette clé publique pour chiffrer un message à l’intention de son propriétaire mais aussi vérifier sa signature numérique.

+ Certificats (formats de fichier)

DER – Definite Encoding Rules. Utilisé pour encoder des certificats X509 en notation ASN.1. Extensions usuelles : .der, .cer, .crt, .cert.

PEM – Privacy Enhanced Mail. Peut contenir des clés privées, des clés publiques et des certificats X.509. Le format PEM est du DER encodé en base64 auquel sont ajoutées des en-têtes en ASCII. Extensions usuelles : .pem, .cer, .crt, .cert.

PFX – Certains produits Microsoft utilisent toujours l’extension « .pfx » (une ancienne spécification maison) pour désigner des fichiers au format PKCS#12.

PKCS#7 – Cryptographic Message Syntax Standard. Cette spécification fait partie des Public-Key Cryptography Standards (PKCS) de la société RSA. Un message signé par Mozilla Thunderbird ou Microsoft Outlook a en pièce jointe un fichier PKCS#7 (ou CMS, Cryptographic Message Syntax) qui contient la signature (.p7s). Le contenu d’un message chiffré par Thunderbird ou Outlook est placé dans une pièce jointe (.p7m). La spécification CMS (RFC 2630,issue de PKCS#7) est utilisée par S/MIME 3. Extensions usuelles de fichiers PKCS#7 : .p7s (données signées), .p7m (données chiffrées).

PKCS#12 – Personnal Information Exchange Syntax Standard. Cette spécification fait partie des Public-Key Cryptography Standards (PKCS) de la société RSA. C’est un standard pour stocker des clés privées, des clés publiques et des certificats en les protégeant en confidentialité et en intégrité (soit par mot de passe – le plus courant – soit avec de la cryptographie asymétrique – plus rare et non utilisé dans les produits grands publics). Les données sont stockées dans un format binaire. C’est le format communément utiliser pour stocker un certificat et sa clé privée associée dans un fichier protégé en confidentialité et intégrité par un mot de passe. Ce format est utilisé par Mozilla et Internet Explorer/Outlook pour importer et exporter un certificat avec sa clé privée associée. Extensions usuelles de fichiers PKCS#12 : .p12, .pfx.

PVK – C’est le format propriétaire qu’utilise Microsoft pour stocker les clés privées de signature dans plusieurs de ses produits. Les clés publiques associées sont quant à elles stockées dans des fichiers « .spc ».

+ Cheval de Troie

Programme malveillant qui, dissimulé à l’intérieur d’un autre programme en apparence inoffensif (par exemple un jeu ou un petit utilitaire), exécute des opérations nuisibles à l’insu de l’utilisateur. Généralement, le cheval de Troie donne un accès non désiré à l’ordinateur sur lequel il est exécuté en ouvrant une porte dérobée. Il permet ainsi aux pirates d’accéder aux fichiers de la machine infectée pour les consulter, les modifier ou les détruire et ce, à l’insu de l’utilisateur. Le cheval de Troie est parfois considéré comme un virus, mais ce n’est pas nécessairement le cas dans la mesure où son but n’est pas de se reproduire pour infecter d’autres machines.

+ Chiffrement

Transformation cryptographique de données produisant un cryptogramme. [ISO 7498-2]

+ Clé privée

Suite particulière de caractères constituant le secret non partagé nécessaire au déchiffrement d’un cryptogramme pour retrouver le texte en clair à l’aide d’un algorithme asymétrique.
Suite particulière de caractères constituant le secret non partagé nécessaire à la signature numérique d’un texte à l’aide d’un algorithme asymétrique.

+ Clé publique

Suite particulière de caractères constituant la valeur nécessaire au chiffrement d’un texte en clair pour obtenir son cryptogramme à l’aide d’un algorithme asymétrique.
Suite particulière de caractères constituant la valeur nécessaire à la vérification d’une signature numérique réalisée par sa clé privée correspondante à l’aide d’un algorithme asymétrique.

+ Clé secrète

Suite particulière de caractères constituant le secret nécessaire au chiffrement d’un texte en clair et au déchiffrement de son cryptogramme à l’aide d’un algorithme symétrique.

+ CNIL

« La Commission Nationale de l’Informatique et des Libertés est une institution indépendante chargée de veiller au respect de l’identité humaine, de la vie privée et des libertés dans un monde numérique. » [CNIL]

+ Code secret

Un code (comme le code PIN de nos cartes à puce bancaires) est associé à un élément personnel. PIN est d’ailleurs l’acronyme de Personal Identification Number. Le terme français est code secret ou code confidentiel. Un code d’accès n’est pas personnel, il est associé à l’objet ou bien au lieu qu’il sécurise. Dans ce dernier cas, le même code d’accès est commun à toutes les personnes autorisées comme pour les « digicodes » de nos immeubles.

+ Coffre-fort électronique

Un coffre-fort électronique, qu’il soit local ou distant, est un espace numérique de stockage privé et sécurisé permettant de restituer à la demande des utilisateurs autorisés et sans altération les fichiers qui y ont été déposés.

+ Compresser

Diminuer la taille d’un ou de plusieurs fichiers au moyen d’un algorithme permettant leur restitution à l’identique, en vue de les stocker ou de les transférer.
Terme en anglais : compress (to), zip (to).
[Parution au Journal officiel : 2 mai 2007]

+ Confidentialité

Fonction de sécurité qui rend inintelligible les données pour les tiers non autorisés et offre la possibilité de retrouver la valeur en clair de ses données (précédemment chiffrées) aux personnes choisies et détentrices d’un secret. Le chiffrement ou « cryptage » ne doit pas être confondu avec la confidentialité. Le chiffrement est une technique qui permet d’obtenir la confidentialité des données mais aussi d’assurer d’autres fonctions de sécurité comme l’authentification par exemple.

+ Connexion

Procédure permettant à un utilisateur de se mettre en relation avec un système informatique et, si nécessaire, de se faire reconnaître de celui-ci.
Terme en anglais : log in, log on.
[Parution au Journal officiel : 10 octobre 1998]

+ Contrôle d’accès

Fonction de sécurité réseau qui assure l’allocation des ressources du système d’information aux utilisateurs autorisés, suivant leur profil. Le contrôle d’accès englobe les fonctions d’identification, d’authentification, d’autorisation et de journalisation.

+ Contrôle d’intégrité

Fonction de sécurité qui assure que les données n’ont pas été modifiées d’une quelconque manière par rapport à leur valeur d’origine. Le contrôle d’intégrité recouvre deux grands domaines : la détection et l’éradication des virus informatiques d’une part, le scellement des informations d’autre part.

+ Courriel

Document informatisé qu’un utilisateur saisit, envoie ou consulte en différé par l’intermédiaire d’un réseau. Un courriel contient le plus souvent un texte auquel peuvent être joints d’autres textes, des images ou des sons. Par extension, le terme « courriel » et son synonyme « courrier électronique » sont employés au sens de « messagerie électronique ». Le terme « courriel » annule et remplace « courrier électronique » publié au Journal officiel du 2 décembre 1997.
Terme en anglais : e-mail, electronic mail.
[Parution au Journal officiel : 20 juin 2003]

+ Cracker

Un « Cracker » ou « black hat hacker » est un pirate. C’est un informaticien, spécialiste de certains aspects de la sécurité informatique, qui possède les connaissances et la capacité de réaliser des attaques sur un système d’information. Son objectif est de pirater les systèmes d’information pour son profit personnel, celui d’une organisation ou pour une « cause » en exploitant les failles et les vulnérabilités d’un système.

+ Crédentiel

Un crédentiel est une valeur numérique secrète qui permet à l’utilisateur d’apporter la preuve de son identité : mot de passe, empreinte de mot de passe, clé cryptographique, certificat, table de codage (matrice), représentation d’empreinte digitale, etc. Le crédentiel est stocké sur un support physique d’authentification individuel côté utilisateur et dans une base de données des utilisateurs autorisés côté serveur.

+ Criticité

Mesure de sécurité complexe qui résulte du croisement entre la probabilité de réalisation d’un risque et le préjudice subi en cas de réalisation de ce risque. La criticité est maximum lorsqu’il y a une forte probabilité de réalisation du risque et que ses conséquences seraient désastreuses (dégâts, préjudices…).

+ Cryptanalyse

Discipline incluant les principes, moyens et méthodes de découverte du sens des données malgré leur chiffrement et de casse des codes secrets.

+ Cryptogramme

Données obtenues par l’utilisation du chiffrement. Le contenu sémantique des données résultantes n’est pas compréhensible. [ISO 7498-2]
Cryptogramme : message chiffré à l’aide d’un algorithme et d’une clé.

+ Cryptogramme visuel

Terminologie appliquée à la carte bancaire. Le cryptogramme visuel est constitué de 3 chiffres qui se trouvent au dos de la carte bancaire. Depuis 2004, ces 3 chiffres sont nécessaires pour réaliser un paiement en ligne. Le cryptogramme visuel a été mis en place afin de lutter contre les générateurs de numéros valides de carte bancaire et la récupération frauduleuse des numéros de carte en local (coup d’oeil indiscret du commerçant ou du passant, facturette…). Cette valeur doit être saisie par le client lors de la transaction en complément du numéro de carte bancaire à 16 chiffres et de sa date d’expiration. Elle est ensuite transmise au serveur de la banque qui la vérifie suivant un protocole appelé « C v v 2 ». Seule la banque émettrice de la carte bancaire du client est en mesure de vérifier cette correspondance.

+ Cryptographie

Discipline incluant les principes, moyens et méthodes de transformation des données, dans le but de cacher leur contenu, d’empêcher que leur contenu ne passe inaperçu et/ou d’empêcher leur utilisation non autorisée. [ISO 7498-2]

+ Cryptologie

Science du secret qui englobe deux disciplines : la cryptographie et la stéganographie.

D

+ Danger

Situation de forte exposition à une attaque ou à un accident susceptible de provoquer des dégâts et/ou des dommages.

+ DCSSI

Direction Centrale de la Sécurité des Systèmes Informatiques. La DCSSI est rattachée au SGDN, Secrétariat Général de la Défense Nationale, qui dépend directement du cabinet du premier ministre. La DCSSI a pour principale mission de contribuer à la définition interministérielle et à l’expression de la politique gouvernementale en matière de sécurité des systèmes d’information. Depuis le 7 juillet 2009, l’ANSSI « se substitue à l’actuelle DCSSI tout en en renforçant les compétences, les effectifs et les moyens. »

+ Déchiffrement

Opération inverse d’un chiffrement réversible. [ISO 7498-2]

+ Décryptage

Opération de récupération d’un texte en clair à partir d’un texte chiffré (ou cryptogramme) sans la connaissance initiale de la convention secrète et notamment de la clé de déchiffrement, mais en pratiquant la cryptanalyse.

+ Déni de service

Pour des utilisateurs autorisés, impossibilité d’accéder à des ressources, ou introduction de retards dans l’exécution des opérations. Le déni de service est généralement provoqué par une attaque informatique (par exemple, une attaque par saturation au moyen de virus visant à paralyser un service) ou bien par une surcharge de demandes d’accès motivée par un événement exceptionnel.

+ Donnée

Valeur brute d’un élément de connaissance destinée généralement à un traitement ultérieur.

E

+ Ecoute de ligne

Attaque qui consiste à récupérer et analyser les transferts de données opérés sur un réseau informatique et de télécommunication. L’écoute de ligne sur Internet se pratique avec un analyseur réseau. Le but principal est de récupérer des informations sensibles : identifiants, mots de passe, numéro de carte bancaire, informations métier confidentielles, etc.

+ Empreinte numérique

Une empreinte numérique est une suite de caractères de taille fixe (généralement 16, 20 ou 32) qui représente le résultat d’une fonction de hachage à sens unique. L’empreinte numérique d’un document, d’un bloc de données ou d’un programme est unique et ne peut être reproduite à partir d’une valeur d’entrée différente.

+ Exploit

Technique, méthode et/ou programme d’attaque sur un système informatique, de télécommunication ou d’information qui exploite(nt) une faille de sécurité de la cible. Les « exploits » réalisés par des hackers et présentés dans des manifestations de spécialistes (les DefCons) ont pour but de démontrer à des fins pédagogiques la faisabilité de ces attaques afin de faire progresser la sécurité des systèmes. Les « exploits » réalisés ou utilisés par des crackers/pirates sont tout simplement des armes à but malveillant.

F

+ Fédération d’identité

La fédération d’identité est une notion très large et évolutive qui décrit des mécanismes ayant pour but la portabilité des identités numériques d’un utilisateur. Cette portabilité concerne à la fois des scénarios utilisateur-vers-utilisateur, utilisateur-vers-application et application-vers-application et s’appuie sur des approches à la fois centrées sur l’utilisateur (User-centric, BtoC) et centrées sur les entreprises ou les administration (Enterprise-centric, BtoB).
Les cas d’usages typiques de la fédération d’identité concernent à la fois le SSO intra et inter-domaine, la partage d’attributs intra et inter-domaine mais aussi la gestion de l’accréditation et l’approvisionnement des données.
Conceptuellement, il est entendu par fédération d’identités le fait de rapprocher/lier des identités.
Ce rapprochement/lien peut avoir lieu au sein d’un tiers de confiance à l’intérieur d’un cercle de confiance. C’est le modèle « fédéré » de Liberty Alliance. Mais ce rapprochement peut aussi être géré par l’utilisateur. C’est le modèle « centré sur l’utilisateur » d’OpenID et Infocard. [Consortium FC²]

+ Fonction de hachage à sens unique

Une fonction de hachage à sens unique calcule une empreinte numérique de taille fixe (généralement inférieure ou égale à 32 caractères) à partir d’un document de taille quelconque, aussi gros soit-il. Une modification infime du document d’origine entraine un changement radical de la valeur de l’empreinte. Cette caractéristique permet de contrôler facilement et avec une grande fiabilité l’intégrité d’un document, d’un bloc de données ou d’un programme. Les algorithmes les plus connus sont MD5, SHA-1 et SHA-2(256).

+ Fonction de sécurité

Mesure technique, susceptible de satisfaire un objectif de sécurité. [DCSSI]

Les cinq fonctions de sécurité réseau définies par l’ISO :

  • Authentification
  • Contrôle d’accès
  • Confidentialité
  • Intégrité (ou Contrôle d’intégrité)
  • Non-répudiation

G

H

+ Habilitation

Qualification permettant à un individu de consulter des informations sensibles. L’habilitation est délivrée par une Autorité après un processus de reconnaissance formelle d’une aptitude et d’une autorisation d’exercer. L’habilitation est en quelque sorte à une personne ce que l’accréditation est à une organisation.

+ Hacker

Un « hacker » ou « white hat hacker » n’est pas un pirate. C’est un informaticien, spécialiste de la sécurité informatique, qui possède les connaissances et la capacité de réaliser des attaques sur un système d’information. Son objectif est de sensibiliser à la sécurité des systèmes d’information et de prévenir les responsables en démontrant les failles et les vulnérabilités d’un système.

+ Hameçonnage (Phishing)

L’hameçonnage est une technique d’attaque utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. L’hameçonnage peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques. [Wikipédia]

L’hameçonnage rentre dans la catégorie des attaques par ingénierie sociale.

+ Horodatage

L’horodatage appose et garantit une date et une heure précise sur un document ou bien une transaction électronique.
L’opération d’horodatage délivre une attestation d’existence d’une donnée à une date-heure-minute-seconde donnée. Cette attestation consiste en une contremarque associée à une représentation non équivoque de cette donnée, c’est-à-dire à son empreinte. La contremarque est une structure signée composée de : l’empreinte et l’algorithme de hachage à sens unique de la donnée qui a été horodatée, la date et le temps universel (UTC), l’identifiant du certificat de l’Autorité d’Horodatage qui a généré la contremarque, l’identifiant de l’Autorité d’Horodatage, l’identifiant de l’Autorité de Certification ayant signé la clé privée de l’Autorité d’Horodatage.

+ HSM (Hardware Security Module)

Un Hardware Security Module (Module Matériel de Sécurité) est une carte électronique enfichable dans un ordinateur ou mieux encore un boîtier externe dédié dont la fonction est la génération, le stockage et la protection des clés cryptographiques ainsi que leur utilisation contrôlée à des fins de vérification de valeurs. Les informations secrètes contenues dans le HSM ne sont pas réputées accessibles de l’extérieur. Les HSM sont principalement utilisés dans le monde bancaire et par les Autorités de Certification (IGCP/PKI) pour assurer certains services de sécurité dans des conditions de protection optimales.

I

+ Identifiant

L’identifiant est une valeur unique qui permet de distinguer un utilisateur ou un équipement dans un système d’information. L’identifiant est soit un numéro, soit une variante logique et évidente du nom de l’utilisateur (ou de l’équipement). Dans ce dernier cas, cette codification est une bonne chose du point de vue du système d’information et de son utilisation. Par contre, c’est un point de faiblesse en terme de sécurité car n’importe qui peut déduire l’identifiant d’un utilisateur (ou d’un équipement) compte tenu de la règle adoptée. Généralement, l’identifiant ne peut pas être considéré comme un élément de sécurité.

+ Identification

Procédé permettant de reconnaître un utilisateur de manière sûre par la récupération de données qui lui sont propres. [DCSSI]
S’identifier : Délivrer son identité.
Identifier un utilisateur : Distinguer un utilisateur d’un autre par la collecte d’un ou plusieurs éléments d’identité comme un identifiant unique par exemple.

+ Identité

Information la plus courte qui permet de distinguer et donc de nommer un individu à l’exclusion de tous les autres dans un contexte particulier.
Dans mon cercle d’amis, « Pascal » est mon identité. Dans le milieu professionnel, c’est « Pascal Thoniel ». Mon identité civile est « Pascal Thoniel, né le … à … ». Mon identité ludique est « Joocool », etc.
L’identité publique peut être civile, militaire, religieuse, artistique…
L’identité s’applique aux personnes, aux animaux, aux plantes, aux autres organismes vivants, aux objets lorsqu’ils sont sérialisés, aux entités, aux systèmes, aux programmes, aux processus, etc.
Par exemple, l’identité d’un véhicule est composé du type (marque, modèle, année) et de son numéro de série (unique dans le type considéré). Sa plaque minéralogique suppose sa mise en circulation.

+ IMEI ou code IMEI

Le code IMEI (International Mobile Equipment Identity) est un numéro de série unique, propre à chaque téléphone et chaque smartphone. C’est donc l’identifiant de votre mobile. Il est composé de 15 à 17 chiffres que vous pouvez obtenir en composant la séquence *#06# sur le clavier de votre mobile, ou bien en le lisant sous la batterie ou sur l’étiquette du coffret d’emballage. Cette information est primordiale pour la déclaration du vol de votre mobile.

+ Information

Ensemble de données associées et structurées de façon significative destiné généralement à une communication ultérieure.

+ Information classifiée

Une information classifiée est une information sensible dont l’accès est restreint par une loi ou un règlement à un groupe spécifique de personnes. Une habilitation est requise pour posséder ou accéder à des informations classifiées. [Wikipédia]

+ Infrastructure de Gestion de Clés (IGC)

Une Infrastructure de Gestion de Clés est une organisation administrative, économique et technologique qui a pour vocation la délivrance et l’usage de clés cryptographiques intra-entité ou inter-entités dans un cadre de confiance.
Depuis près de 30 ans, le standard international de l’IGC est l’Infrastructure de Gestion de Clés Publiques (IGCP) plus connue sous le terme anglo-saxon de PKI (Public Key Infrastructure). Le fondement de cette IGCP est le concept d’Autorité de Certification (AC). Toutefois, une IGC n’est pas forcément une IGCP et d’autres voies sont possibles : avec des tiers de confiance comme les notaires électroniques ou bien encore sans tiers de confiance comme dans les anneaux de clés proposés dans PGP.

+ Infrastructure de Gestion de Clés Publiques (IGCP ou PKI)

L’Infrastructure de Gestion de Clés Publiques (IGCP) est plus connue sous le terme anglo-saxon de PKI (Public Key Infrastructure). Son fondement est le concept d’Autorité de Certification (AC). Une IGCP est donc composée d’autorités de certification, d’autorités d’enregistrement et d’un service de publication.
Une IGCP délivre à ses utilisateurs un ensemble de services :

  • Enregistrement des utilisateurs,
  • Génération de certificats,
  • Révocation de certificats,
  • Publication des certificats valides et révoqués,
  • Identification et authentification des utilisateurs,
  • Archivage des certificats.

Ces certificats de clés cryptographiques serviront au chiffrement, à l’authentification et à la signature numérique.

+ Ingénierie sociale

Catégorie d’attaque qui exploite en priorité les facteurs humains et sociaux afin d’obtenir des éléments clé susceptibles de favoriser des attaques informatiques. Le célèbre pirate Kevin Mitnick a montré la redoutable efficacité de ces méthodes qui utilisent la déduction (votre mot de passe pourrait être le nom de votre chien ou la date de naissance de votre fille), la supercherie et l’abus de confiance (hameçonnage). Le manque de discrétion, l’excès de confiance, l’ignorance, la naïveté et la crédulité sont des faiblesses classiques des acteurs du système d’information.

+ Intégrité

L’intégrité concerne les données, les programmes et plus généralement les systèmes informatiques.

Intégrité : propriété assurant que des données n’ont pas été modifiées ou détruites de façon non autorisée. [ISO 7498-2]
Intégrité : garantie que le système et l’information traitée ne sont modifiés que par une action volontaire et légitime. [IGI 500]

J

+ Jeton de sécurité (token)

Un jeton de sécurité est un bloc de données transmis sur le réseau et qui contient des revendications (« claims ») concernant une entité. Notamment, le jeton précise le lien entre une identité d’une part, et les clés ou secrets d’authentification d’autre part. Une revendication est une déclaration émise par une entité concernant une entité : un nom, une identité, un groupe, une clé, un privilège, etc.

+ Journalisation

La journalisation consiste à enregistrer toutes les actions des utilisateurs et des administrateurs d’un traitement informatique dans un journal (ou log en anglais) afin de pouvoir tracer ultérieurement « qui à fait quoi » à des fins de vérification, de controle ou de sécurité.

K

L

+ Logiciel espion (logger)

Programme informatique dont la fonction est la collecte silencieuse de données liées à l’activité du terminal ou du serveur informatique sur lequel il est installé et qui s’exécute à l’insu des utilisateurs et des administrateurs. L’enregistrement de la frappe des touches du clavier (key-logger) ou des images écran (screen-logger) permet par exemple de récupérer frauduleusement des identifiants, des mots de passe, des codes de carte bancaire… puis de les communiquer à l’attaquant.

M

+ Mot de passe

Un mot de passe est associé à un identifiant. C’est une valeur secrète, partagée entre un utilisateur et la ressource à laquelle il doit accéder. Le mot de passe constitue un élément de sécurité. Le niveau de sécurité d’un mot de passe dépend de plusieurs paramètres :

  • sa facilité d’écoute,
  • sa robustesse,
  • son stockage du côté de l’utilisateur,
  • son stockage du côté du serveur,
  • son caractère statique ou dynamique.

+ MRZ ou Bande MRZ

Machine Readable Zone. La bande MRZ a été introduite en 1999 dans les nouveaux passeports délivrés par l’Union Européenne. Cette bande contient la nationalité, le nom, les prénoms, la date de naissance et le sexe de la personne, le numéro du passeport et sa date d’expiration ainsi que plusieurs valeurs conformes à une norme internationale. Sa lecture directe par la machine adéquate permet un gain de temps considérable lors des contrôles aux frontières et dans les aéroports du monde entier. Sa sécurité est loin d’être à toute épreuve car elle peut être falsifiée.

N

+ Non-répudiation

Fonction de sécurité qui assure qu’aucun des participants à une transaction informatique ne pourra renier sa participation en prétendant ne pas avoir émis des données, reçu des données ou effectué un traitement. La non-répudiation est particulièrement utile dans le cadre de la messagerie et du commerce électronique.

O

+ One-Time Password (OTP)

Le mot de passe à usage unique ou One-Time Password renforce de façon considérable la sécurité des mots de passe. Une des principales attaques sur un réseau, qu’il soit local ou étendu, est l’écoute de ligne. Elle est facile à réaliser, peu coûteuse et difficile à détecter. Tous les couples identifiant-mot de passe qui sont envoyés depuis un terminal vers un serveur peuvent être lus par un analyseur réseau, stockés et/ou envoyés à l’attaquant. Une fois en possession du précieux sésame, l’attaquant n’a plus qu’à re-jouer le même couple pour se faire passer pour l’utilisateur légitime et ainsi usurper son identité. Par contre, si le mot de passe utilisé est généré ou calculé à chaque fois, sa valeur n’est pas ré-utilisable pour la transaction suivante. La récupération de ce mot de passe par l’attaquant lors de la transaction en cours ne lui est plus d’aucune utilité. C’est pourquoi on parle de mot de passe à usage unique ou encore de mot de passe dynamique en opposition au mot de passe statique qui lui ne change jamais.

P

+ PKCS – Public Key Cryptographic Standards (spécifications pour la cryptographie à clé publique)

A l’origine, RSA Security a développé les PKCS pour permettre à ses clients d’implanter ses propres solutions de cryptographie à clé publique. Ces spécifications sont aujourd’hui largement reprises par les solutions de sécurité du marché, à base de cryptographie asymétrique et plus particulmièrement celles qui utilisent des certificats. PKCS offre une structure cohérente et rigoureuse pour faciliter le développement et l’intégration de la cryptographie asymétrique dans les plate-formes et les applications à sécuriser.

PKCS #1 (RFC 3447) Standard de Cryptographie RSA. Version courante : 2.1.
Définit la Cryptographie RSA.

PKCS #2 (Obsolète) Décrivait le chiffrement RSA des résumés de messages. A été intégrée dans PKCS #1.

PKCS #3 Standard d’échange des clés Diffie–Hellman. Version courante : 1.4.
L’échange de clés Diffie-Hellman est un protocole mathématique d’échange d’informations préliminaires sur un réseau non-sûr qui permet à deux personnes distantes de se mettre d’accord sur un secret (un nombre), qu’ils pourront ensuite utiliser comme clé pour chiffrer la conversation suivante, sans qu’un pirate puisse le découvrir en écoutant la ligne.

PKCS #4 (Obsolète) Décrivait la syntaxe de clé RSA. A été intégrée dans PKCS #1.

PKCS #5 (RFC 2898) Standard de chiffrement des mots de passe. Version courante : 2.0.

PKCS #6 (Obsolète) Définissait les extensions de l’ancienne spécification de certificat X.509 v1. Dernière version : 1.5.

PKCS #7 (RFC 2315) Standard de syntaxe de message cryptographique. Version courante : 1.5.
Utilisé pour signer et/ou chiffrer des messages dans le cadre d’une infrastructure à clés publiques. Sert également à la transmission de certificats (notamment en réponse à un message PKCS#10)

PKCS #8 (RFC 5208) Standard de syntaxe d’information de clé privée. Version courante : 1.2.
Utilisé par Apache pour le chargement des clés des certificats privés. Sans chiffrement.

PKCS #9 (RFC 2985) Types d’attribus sélectionnées dans : les certificats étendus du PKCS #6, les messages signés numériquement du PKCS #7, les informations de clé privée du PKCS #8, les demandes de signature des certificats du PKCS #10. Version courante : 2.0.

PKCS #10 (RFC 2986) Standard de Requête de Certificat. Version courante : 1.7.
Définit le format des messages envoyés à une Autorité de Certification et demandant la signature d’une paire de clés.

PKCS #11 Interface de périphérique cryptographique (« cryptoki »). Version courante : 2.20.
API définissant une interface générique pour périphériques cryptographiques, tels que les cartes à puce par exemple.

PKCS #12 Standard de syntaxe d’information personnelle. Version courante : 1.0.
Définit un format de fichier généralement utilisé pour stocker la clé privée et le certificat de clé publique correspondant en les protégeant par un mot de passe.

PKCS #13 (en cours de développement) Standard de Cryptographie sur les courbes elliptiques.
Les courbes elliptiques, objets mathématiques, peuvent être utilisées pour des opérations asymétriques comme des échanges de clés sur un canal non-
sécurisé ou un chiffrement asymétrique : ECC (Elliptic Curve Cryptography), concurrent direct de l’algorithme RSA.

PKCS #14 (en cours de développement) Générateur de nombres pseudo-aléatoires.
Très utilisé en cryptographie.

PKCS #15 Standard de format d’information sur les périphériques cryptographiques. Version courante : 1.1.
Définit un standard permettant aux utilisateurs de périphériques cryptographiques de s’identifier auprès des applications, indépendamment de l’implantation de la « cryptoki » par l’application (PKCS #11) ou une autre API.

+ Politique de Référencement Intersectorielle de Sécurité (PRIS)

La PRIS est un cahier des charges édité par l’Etat français à destination des prestataires de services de confiance (autorité de certification, autorité d’horodatage …) et des fournisseurs de produits de sécurité pour les aider à définir leurs offres, de sorte qu’elles soient recevables par la sphère publique tant pour ses échanges internes que pour les échanges avec les usagers. La version 2.1 a été publiée en août 2008.

Q

R

+ Référentiel Général de Sécurité (RGS)

Le RGS est un document co-produit par la DGME (Direction Générale de la Modernisation de l’Etat) et l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Son objectif est de fixer les règles essentielles qui permettront de garantir la sécurité des systèmes d’information. Selon l’ANSSI, « … le référentiel général de sécurité donne aux autorités administratives françaises les clés de compréhension et de mise en œuvre de téléservices fiables et sécurisés. » Ce référentiel est un recueil de procédures qui ne fait la promotion d’aucune technologie. Le RGS constitue une base utile pour l’élaboration d’une politique de sécurité. Sa mise en œuvre est obligatoire dans les administrations publiques françaises.

+ Renseignement

Ensemble d’informations de valeur, collectées, analysées, traitées, pour etre diffusé à qui de droit pour une exploitation ultérieure.
L’opération de « renseignement » désigne toutes les activités et processus nécessaires à son obtention (collecte, analyse, traitement et diffusion).

+ Résilience

Degré de résistance d’un dispositif de protection à l’impact d’une attaque ou d’un accident.
Capacité de fonctionnement d’un système informatique après une attaque ou un accident.

+ Risque

Probabilité plus ou moins grande de voir une menace informatique se transformer en événement réel (incident, accident ou attaque) entraînant un dégât. Les risques informatiques peuvent être d’origine naturelle ou humaine, accidentelle ou intentionnelle. Le risque informatique se mesure à la fois par la probabilité d’occurrence d’une menace et par le montant de la perte consécutive à sa réalisation.

+ RSA

RSA (créé en 1977 par Ronald Rivest, Adi Shamir et Leonard Adleman) est l’algorithme de cryptographie asymétrique le plus utilisé au monde. Son brevet a expiré en septembre 2000. La société américaine RSA Security (devenue en septembre 2006 une filiale du groupe américain EMC) est l’artisan du déploiement de l’algorithme RSA dans de nombreuses solutions de sécurité matérielles et logicielles, en partie grace à ses spécifications PKCS (Public Key Cryptographic Standards). RSA permet le chiffrement des clés de session lors de l’établissement d’un tunnel chiffré ainsi que la mise en oeuvre de la signature électronique. RSA s’appuie mathématiquement sur la difficulté de factoriser un grand nombre en deux nombres premier et produit une bi-clé – clé privé et clé publique – propre à chaque utilisateur. On chiffre un message avec la clé publique du destinataire qui seul sera en mesure de le déchiffrer avec sa clé privée. Je signe avec ma clé privée afin que tout le monde puisse vérifier ma signature avec ma clé publique. Toutefois, les progrès du calcul mathématique obligent l’algorithme RSA à utiliser des clés de plus en plus longues pour rester sûr : 512 bits est aujourd’hui insuffisant et il est recommandé d’utiliser des clés de 1024 voire 2048 bits. Depuis le milieu des années 2000, l’algorithme RSA est concurrencé par l’algorithme ECC (Elliptic Curve Cryptography) fondé sur l’utilisation des courbes elliptiques.

S

+ Scellement

Le scellement s’applique aux données stockées ou archivées ainsi qu’aux programmes informatiques.
L’opération de scellement consiste à appliquer un « sceau » sur un document visant à garantir son intégrité et son origine. Le document est d’abord haché à sens unique afin de calculer son empreinte (ou condensé) puis cette empreinte est chiffrée avec la clé privée du propriétaire ou du dépositaire légitime du document.
Toute modification même infime du contenu du document engendrera une modification significative de son empreinte numérique. Ainsi, le stockage de l’empreinte d’un document permet de vérifier rapidement si son intégrité a été conservée dans le temps. La clé publique du propriétaire ou du dépositaire légitime du document permettra quant à elle d’en vérifier l’origine.
Le scellement n’assure pas la confidentialité des documents mais s’avère utile voire indispensable pour empêcher la falsification dans l’exploitation de formules scientifiques, dans l’usage d’un programme informatique sensible ou pour garantir la validité juridique des contrats stockés sous forme numérique.

+ Sécuritaire

Le terme « sécuritaire » n’est pas pertinent en matière de SSI. Il signifie en fait conforme à la notion de sécurité publique. Ce mot est employé dans le vocabulaire journalistique avec une connotation légèrement péjorative qui souligne le fait que la défense de la sécurité publique est susceptible d’engendrer des abus de pouvoir (exemple : dérive sécuritaire).

+ Sécurité de l’information

Protection des ressources informationnelles d’une organisation, face à des risques identifiés, qui résulte d’un ensemble de mesures de sécurité prises pour assurer la confidentialité, l’intégrité et la disponibilité de l’information stockée et traitée.

+ Sécurité informatique

Mise en place et mise en oeuvre d’un ensemble de mesures de sécurité (physiques, logiques, administratives) et de mesures d’urgence en vue d’assurer la protection des biens informatiques, matériels et logiciels d’une organisation, des données de son système d’information et de leur confidentialité, ainsi que la continuité de service.

+ Signature numérique

Technique cryptographique qui permet d’assurer l’intégrité d’un message et l’authentification de l’émetteur de ce message.

+ SSI

La Sécurité des Systèmes d’Information (SSI) est un domaine plus large que la sécurité informatique puisqu’elle englobe également la sécurité de l’information.

La SSI couvre l’ensemble du SI qui se décompose en deux couches :

  1. le système de gestion de l’information (SGI)
  2. l’infrastructure informatique (II)

La SSI traite des aspects sécurité d’un SI sur les plans technique, organisationnel et humain.

+ SSL – SSL/TLS

Le protocole SSL (Secure Socket Layer) est à l’heure actuelle un des systèmes de sécurité les plus utilisés et notamment pour les applications de banque en ligne et le paiement en ligne par carte bancaire.
La dernière version 3.1 de SSL appelée officiellement TLS 1.2 (Transport Layer Security) a été intégrée dans tous les navigateurs Internet. Son utilisation est symbolisée par l’apparition d’un petit cadenas et la mention « https » dans l’URL du site web visité. Côté serveur, il est également implémenté sur les serveurs des banques, des institutions, des grandes entreprises, etc.

Ce protocole a été conçu principalement pour assurer la confidentialité des données échangées sur Internet. Il s’appuie sur la cryptographie asymétrique pour l’authentification et sur la cryptographie symétrique pour la confidentialité.

+ SSO (Single Sign On)

Ce n’est pas une fonction de sécurité mais un service de propagation de l’authentification valide d’un utilisateur auprès d’applications multiples.
Lorsque ces applications font partie d’un même système d’information (ensemble régi par une politique de sécurité commune) on parle de SSO intra-domaine.
Lorsque ces applications font partie de systèmes d’information différents (ensemble régi par des politiques de sécurité différentes) on parle de SSO inter-domaines.
Le SSO permet l’authentification de l’identité d’un utilisateur sur un service grâce à la réutilisation transparente d’une authentification précédente sur un autre service. Attention, si l’on considère qu’un utilisateur peut disposer de plusieurs identités, la propagation de l’authentification du SSO s’applique à l’identité authentifiée et non sur l’ensemble des identités.

+ Stéganographie

Discipline incluant les principes, les moyens et les méthodes de camouflage des données stockées ou transmises, dans le but de soustraire leur contenu à toute personne ou tout système n’étant pas le propriétaire ou le destinataire de ces données. L’information n’est ni modifiée ni protégée pour assurer sa confidentialité, elle est simplement cachée ou masquée de façon astucieuse parmi d’autres données.

+ Support physique d’authentification

Un support physique d’authentification est un équipement ou périphérique matériel possédé par l’utilisateur et qui lui permet de s’authentifier. Le support physique d’authentification contient notamment le ou les crédentiels propres à l’utilisateur pour apporter la preuve de son identité : mot de passe, clé cryptographique, certificat, table de codage (matrice), représentation d’empreinte digitale, etc. Il peut contenir aussi le ou les programmes de génération ou de calcul des mots de passe à usage unique, des réponses aux défis, de chiffrement/déchiffrement, etc.
Les supports physiques d’authentification : cédécartes, clés USB, crypto-clés USB, cartes à puces, téléphone mobile, calculettes, mémoires SD, etc.
Le terme anglais équivalent le plus approprié serait « personal authentication device » et non pas « token ».

+ Sûreté

Pour le sens commun, la sûreté représente l’absence de danger pour les biens et les personnes.

Article II – Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l’homme. Ces droits sont la liberté, la propriété, la sûreté et la résistance à l’oppression. [Déclaration des droits de l’homme et du citoyen de 1789]

Article 8 (sûreté) – La sûreté consiste dans la protection accordée par la société à chacun de ses membres pour la conservation de sa personne, de ses droits et de ses propriétés. [Déclaration des Droits de l’Homme et du Citoyen de 1793]

Sûreté de fonctionnement d’un système :

  • disponibilité (être prêt à l’emploi),
  • fiabilité (continuité des services),
  • maintenabilité (être réparable),
  • sécurité (non susceptible de provoquer des accidents).

Sûreté d’un système cryptographique : système qui ne peut être attaqué avec succès.

Direction de la Sûreté : Office gouvernemental dont le but est d’assurer la sécurité des biens et des personnes ainsi que la sauvegarde des intérêts de l’Etat en luttant contre les troubles à l’ordre public, l’espionnage, le terrorisme… Ce peut être aussi un organisme militaire chargé d’assurer la surveillance policière des personnels militaires.

+ Système cryptographique ou crypto-système

Ensemble cryptographique cohérent qui permet de stocker, traiter, échanger, et diffuser des données de façon sécurisée au sein de plusieurs entités. Un système cryptographique est généralement constitué d’un algorithme de chiffrement, d’un algorithme de déchiffrement, d’un mode de chiffrement, d’un espace de clés et d’un protocole de gestion des clés.

+ Système d’Information (SI)

Un Système d’Information est un ensemble complexe qui collecte, stocke, traite, diffuse et échange de l’information dans le but de réaliser les objectifs de l’organisation qui le dirige.

T

U

+ Usurpation d’identité

Fraude qui consiste à se faire passer pour un utilisateur légitime sur un système d’information.

V

+ Ver

Programme malveillant qui se reproduit de machine en machine par le biais du réseau local ou étendu (Internet). Son exécution ne dépend pas d’un vecteur de rattachement comme le virus. Sa propagation résulte généralement de l’exploitation d’erreurs de configuration des systèmes, de leurs lacunes de sécurité, de certains bogues des logiciels de communication (navigateurs, logiciels de messagerie…) ou des modules de communication des applications.

+ Virus

Programme malveillant dont l’exécution est déclenchée lorsque le vecteur auquel il a été attaché clandestinement est activé, qui se recopie au sein d’autres programmes ou sur des zones systèmes lui servant à leur tour de moyen de propagation, et qui produit les actions malveillantes pour lesquelles il a été conçu.

+ Vol d’identité

Fraude qui consiste à collecter et à utiliser des renseignements personnels à l’insu et sans l’autorisation de la victime, et ce, à des fins généralement criminelles.

+ Vulnérabilité

Faiblesse d’un système se traduisant par une incapacité partielle de celui-ci à faire face aux accidents et à contrer des attaques informatiques.
Les systèmes d’information sont tous, à des degrés divers, vulnérables aux événements, accidentels ou frauduleux, qui peuvent nuire à leur fonctionnement, provoquer leur détérioration ou leur destruction, ou permettre la violation des données qui s’y trouvent stockées.

W

+ Watermarking ou marquage numérique

Apposition d’une information (copyright, origine, droits, sceau, etc.) sous la forme d’une marque sur un document numérique. Cette marque doit être difficile à reproduire.

Suivant le but poursuivi, cette marque peut être visible et par conséquent doit être difficile à enlever. Ou bien cette marque peut être invisible (stéganographie) et par conséquent doit être difficile à deviner pour tout un chacun, mais facile à vérifier pour qui en a la connaissance légitime. Dans ce dernier cas, le but est de pouvoir confondre un copieur.

X

Y

Z

Retour en haut de page

(c) Pascal Thoniel, NTX Research, 2009-2015, sauf mention contraire comme par exemple [DCSSI] ou [ISO].