Qu’est-ce que la veille technologique ?
La veille technologique consiste à surveiller les évolutions techniques, les innovations dans un secteur d’activité donné. La veille technologique comprend notamment la surveillance, la collecte, le partage et la diffusion d’information dans le but de les analyser et ainsi faire apparaitre des tendances et des corrélations. L’analyse des données collectées permet d’anticiper et de s’informer sur les changements en matière de recherche et développement.
I. Présentation de la pile TLS
a. Protocole réseau de chiffrement : Transport Layer Security (TLS)
Les premiers travaux en matière de protocoles de chiffrement ont débuté avec IPsec. D’autres protocoles ont émergé avec la démocratisation de d’Internet et l’arrivée des navigateurs web. Rapidement, l’idée de sécuriser les sessions HTTP entre les clients et les serveurs s’imposa. La société Netscape, dès 1994, développa le protocole SSL (Secure Socket Layer) afin d’ajouter HTTPS dans leur navigateur. Par la suite, l’Internet Engineering Task Force (IETF) poursuit les recherches et lance, en 1999, le standard TLS (Transport Layer Security). TLS devient le successeur de SSL.
- L’intégrité : garantir que les données n’ont pas été modifiées en cours de route (interception, corruption des données)
- La confidentialité : s’assurer que seules les personnes autorisées aient accès aux ressources échangées
- La disponibilité : permet de maintenir le bon fonctionnement du système d’information
- La non-répudiation : permet de garantir qu’une entité qui émet des données ne peut pas nier être l’auteur du message
- L’authentification : sert à vérifier l’identité d’une entité (utilisateur, serveur)
b. Les usages de TLS
La pile TLS est utilisée dans le chiffrement d’équipements réseau (Routeurs, commutateurs, point d’accès wifi, VPN) et de communications (smartphones, téléphones IP) grâce à son implémentation dans des protocoles comme TCP et UDP. L’utilisation de TLS la plus connue est HTTPS qui permet de chiffrer les sessions entre le client (navigateur) et le serveur web. Mais d’autres protocoles de la couche applicative (couche 7 du modèle OSI) utilisent TLS comme SMTP, FTP, XMPP, NNTP.
⇨ OpenVPN, basé sur OpenSSL (bibliothèque renfermant la pile TLS), est un programme pour créer des tunnels chiffrés entre deux entités.
⇨ SARTTLS est une implémentation TLS qui chiffre les transmissions dans la messagerie électronique.
⇨ DANE/TLSA : DNS-based Authentication of Named Entities est un protocole de sécurité internet permettant aux certificats d’authentifications, utilisés dans TLS, d’être liés aux noms de domaines utilisant des extensions de sécurités (DNSSEC). DANE est un protocole qui permet d’associer en toute sécurité un serveur à un certificat lors de l’établissement d’une connexion sécurisée par TLS. DANE permet d’indiquer à un serveur expéditeur l’empreinte (ou hash) du certificat X.509 utilisé par le serveur destinataire. Il pourra ainsi vérifier que ce certificat n’est pas contrefait avant l’établissement de la connexion sécurisée.
⇨ DNS over HTTPS
⇨ DNS over TLS
⇨ Les clients d’un réseau 802.1X peuvent être des équipements réseaux tels que des commutateurs (switchs) ou des points d’accès Wi-Fi (borne wifi) qui fournissent une connectivité au réseau à accès contrôlé à l’aide de ports de connexion. EAP-TLS est un protocole d’authentification mutuelle du supplicant (client) et du serveur par certificats. Cette authentification est réalisée à l’aide d’un handshake TLS.
II. Tri et sélection des articles
1. Méthode et outils de collecte automatisée : agrégateur de liens
⇨ https://www.netvibes.com/
2. Installation de flux RSS dans Thunderbird
Thunderbird est un client mail open source développé par Mozilla qui donne la possibilité de collecter les flux RSS de son choix. Pour cela il suffit d’aller dans Fichier ⇨ Nouveau ⇨ Compte de flux ⇨ Suivant
Ici, j’ai pris l’exemple du flux RSS de Google news avec le mot clé ‘encryption’
Ajouter les flux RSS de son choix
Résultat3. Sélection des articles traitant de la pile TLS
⇨ 06/02/2020 : DoT and DoH. DNS over Transport Layer Security (TLS). Two protocols have been created to achieve encryption and avoid eavesdropping.
DoT is DNS over TLS
DoH is DNS over HTTP over TLS. Different port numbers: DoT traffic uses a dedicated port 853, and can thus be distinguished at the network layer. DoH uses port 443 (HTTPS) due to the protocol layering.
Source : securitymagazine
⇨ 03/02/2020 : Le chiffrement des données est impératif. Perdus, oubliés, volés : les ordinateurs portables professionnels disparaissent vite. Chiffrer l’appareil est la seule façon d’éviter que les informations sensibles qui y sont stockées ne tombent entre de mauvaises mains. La connexion à Windows d’authentification par nom d’utilisateur et mot de passe est peu sécurisée. Avec des outils de pentesting, on peut facilement accéder au système ou copier l’intégralité du disque dur.
Il existe également des solutions pour protéger les réseaux et les données des entreprises. Des outils de chiffrement sont intégrés dans une stratégie de sécurité globale comme la protection contre les malwares et l’authentification à deux facteurs. Source ICTjournal.
⇨ 16/01/2020 : Sécuriser les échanges SMTP grâce à DANE.
Le protocole SMTP (Simple Mail Transfer Protocol) est massivement utilisé dans les échanges entre serveurs de messagerie (MTA ou Mail Transfer Agent). L’utilisation de TLS (Transport Layer Security) permet de sécuriser ces flux. Pour assurer une compatibilité optimale des communications, StartTLS ou TLS opportuniste est utilisé pour faciliter l’établissement de la connexion sécurisée. Source : globalsecuritymag.fr
⇨ 18/12/2019 : Firefox s’associe à NextDNS pour fournir à ses utilisateurs des services privés et sécurisés de DNS dans le cadre du programme Trusted Recursive Resolver.
Firefox a annoncé un nouveau partenariat avec NextDNS pour fournir aux utilisateurs de Firefox des services privés et sécurisés de DNS (Domain Name System) via son programme Trusted Recursive Resolver (il s’agit du paramètre DNS-over-HTTPS utilisé par Firefox). La société s’est engagée à donner la priorité à la confidentialité des utilisateurs dans les efforts de modernisation du DNS. […] Source developpez.com | Article PDF
⇨ 16/12/2019 : Google rend le SMS plus sûr sur Android. Le déploiement des fonctions de vérification de SMS et de protection anti-spam est en cours sur les mobiles Android. Mais le cryptage de bout en bout fait toujours défaut.
Google a démarré hier le déploiement de deux fonctionnalités pour Android Messages, son application officielle pour l’envoi de message (SMS, MMS) et de chat (RCS) : la vérification des textos et la protection anti-spam. Ces protections doivent garantir aux utilisateurs d’Android sur mobile que leurs conversations ne sont pas piratées par des gens avec lesquels ils ne veulent pas communiquer. […] Source lemondeinformatique.fr | Article PDF
⇨ 25/11/2019 : Firefox ESR : la meilleure sécurité des entreprises
En tant qu’internaute, vous avez très probablement entendu parler du navigateur Firefox pour ordinateur et smartphones. Pour les ordinateurs, et ce peu importe leur système d’exploitation, une nouvelle version de Firefox est déployée environ huit fois par an. D’autres mises à jour de sécurité moins importantes sont faites en plus du cycle de huit semaines. En vous abonnant aux mises à jour automatiques, vous n’avez pas à vous en occuper, la dernière version est automatiquement installée après le redémarrage du navigateur. […] Source : toolinux.com | Article PDF
⇨ 22/10/2019 : Microsoft s’associe à des fabricants de puces, notamment AMD, pour créer des firmwares inviolables et accroitre la sécurité des plateformes Windows 10 dans le cadre de son initiative Secured-core PC.
Diverses études ont montré qu’une seule attaque malveillante peut coûter des millions de dollars aux organisations et nécessiter un temps de récupération important. Avec la recrudescence des attaques malveillantes et l’augmentation du nombre d’employés opérant à distance et connectés à un réseau considéré comme moins sûr que le réseau d’entreprise traditionnel, les systèmes informatiques des employés peuvent être perçus comme un maillon faible de la sécurité et un risque pour la sécurité globale de l’entreprise. […] Source : developpez.com | Article PDF
⇨ 18/10/2019 : Firefox fait un sans-faute lors d’un audit réalisé par l’agence allemande de sécurité informatique qui le recommande comme étant le navigateur le plus sécurisé.
Firefox est le seul navigateur à avoir obtenu un sans-faute lors d’un récent audit réalisé par l’agence allemande de sécurité informatique – l’Office fédéral allemand de la sécurité de l’information (ou le Bundesamt für Sicherheit in der Informationstechnik – BSI). La BSI a testé Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 et Microsoft Edge 44. Les tests n’incluaient pas d’autres navigateurs tels que Safari, Brave, Opera ou Vivaldi. […] Source : developpez.com | Article PDF
⇨ 15/10/2019 : L’Afnic renforce et simplifie .FR Lock, son système de sécurité pour les noms de domaine. Des nouveautés qui visent à accélérer l’adoption de ce dispositif, le seul qui assure une protection efficace contre le détournement de sites internet.
Créé par l’Afnic, le service .FR Lock propose une sécurité contre les cyberattaques, et notamment le hijacking, attaque où un assaillant détourne un nom de domaine pour en prendre le contrôle lui permettant ainsi de modifier ou supprimer les données de son choix.
Ce service s’adresse aux entreprises ou institutions dont le site internet et les services en ligne représentent un canal stratégique de leur activité : trafic important, récolte de données, transactions, etc. De plus en plus fréquentes, ces attaques leur portent un lourd préjudice, tant au niveau financier, qu’au niveau de leur image et de la confiance des internautes. […] Source afnic.fr | Article PDF
⇨ 09/10/2019 : Thunderbird 78 va ajouter une fonctionnalité intégrée pour le chiffrement de courriels et les signatures numériques à l’aide du standard OpenPGP.
Le projet Thunderbird a annoncé que pour la future version de Thunderbird 78, prévue pour l’été 2020, il va ajouter une fonctionnalité intégrée pour le chiffrement des courriels et les signatures numériques à l’aide du standard OpenPGP. Cette nouvelle fonctionnalité remplacera le module complémentaire Enigmail, qui continuera d’être pris en charge jusqu’à la fin de vie de Thunderbird 68, qui est prévue pour l’automne 2020 […] Source : developpez.com | Article PDF
⇨ 09/10/2019 : CRYSTALS, un algorithme d’IBM, permet de protéger les données des ordinateurs quantiques. Les chercheurs ont pu chiffrer avec succès un lecteur de stockage sur bande magnétique. IBM annonce que ses chercheurs ont réussi à mettre au point une méthode de chiffrement qui résiste aux ordinateurs quantiques. En août dernier, IBM a annoncé que ses chercheurs ont réussi à mettre au point une méthode de chiffrement qui résiste aux ordinateurs quantiques. En effet, IBM a déclaré en août que ses chercheurs avaient utilisé sa soumission au NIST, un système du nom de CRYSTALS (abréviation de Cryptographic Suite for Algebraic Lattices) pour chiffrer avec succès un lecteur de stockage sur bande magnétique. Selon IBM, CRYSTALS génère ses clés publiques et privées avec une catégorie d’équations appelée « problèmes de réseau ». Bien que les chercheurs étudient ces équations depuis les années 1980, ils n’ont pas développé d’algorithmes classiques ou quantiques capables de les résoudre. […] Source : developpez.com | Article PDF.
⇨ 20/09/2019 : Sécurité du poste de travail : HP s’offre Bromium start-up dont il exploite les technologies d’isolation matérielle pour améliorer la sécurité de ses PC.
Bromium n’est plus seulement un partenaire pour HP. Le groupe informatique a mis la main sur cette start-up californienne qui lui fournissait jusqu’alors ses technologies, sous licence, pour améliorer la sécurité des postes de travail.
Tirant parti des fonctions intégrées aux CPU Intel et AMD, elles isolent les tâches dans des machines virtuelles. Le dispositif s’appuie sur un hyperviseur de type Xen. HP en fait usage sous la marque Sure Click. Le dispositif s’appuie sur un hyperviseur de type Xen. HP en fait usage sous la marque Sure Click. […] Source silicon.fr | Article PDF
⇨ 05/09/2019 : Le Wi-Fi 6 rendra la fiabilité de votre réseau sans fil à toute épreuve, avec des vitesses plus rapides et une plus grande portée.
Qu’apporte le Wi-Fi 6 en termes de sécurité ?
Pour ce qui est de la sécurité, le Wi-Fi 6 intègre le dernier protocole de sécurité pour ce type de réseau, le WPA 3. Le WPA 3 rend plus difficile aux pirates informatiques le déchiffrement de mots de passe et rend certaines données moins utiles même si les pirates parviennent à les obtenir. Les périphériques et routeurs actuels peuvent prendre en charge WPA 3, mais c’est facultatif. Le WPA 3 est requis pour qu’un périphérique Wi-Fi 6 reçoive une certification du Wi-Fi Alliance.
Selon Metin Taskin, CTO de AirTies, le Wi-Fi 6 devrait permettre d’accroître la vitesse et la capacité et de prendre en charge plus efficacement la densité croissante des appareils de la maison connectés avec une latence plus faible et une durée de vie de la batterie améliorée. Couplés au logiciel Smart Wi-Fi d’AirTies et à la gestion basée sur le cloud, les constructeurs pourront améliorer les performances et la couverture Wi-Fi, résoudre et surveiller de manière proactive les problèmes liés au Wi-Fi et améliorer la satisfaction globale de la clientèle.
De plus, pour Chuck Lukaszewski, vice-président de la stratégie sans fil et des normes pour Aruba Networks, « 2019 sera une année exceptionnelle pour les utilisateurs Wi-Fi qui seront étonnés de ce que leurs appareils accompliront pour la prochaine génération d’applications grand public et professionnelles, résultants des améliorations en termes de performances et de sécurité apportées par les infrastructures Wi-Fi CERTIFIED 6 (Wi-Fi 6). Les utilisateurs bénéficieront également d’une expérience radio de niveau opérateur, permettant aux réseaux 5G d’intégrer de manière transparente le Wi-Fi 6 pour une capacité supplémentaire ». […] Source : developpez.com | Article PDF.
⇨ 04/09/2019 : Darktrace, entreprise britannique pionnière dans la cybersécurité, dévoile Cyber AI Analyst, une solution reposant sur l’intelligence artificielle. Reproduisant les procédés des analystes humains, elle trie les anomalies détectées dans le cloud, le réseau et la bureautique des entreprises. Cyber AI Analyst produit des rapports et ne signale que les actes de malveillance. Un outil au service des cyberanalystes et non un remplaçant, souligne Darktrace. « Notre solution est là pour assister les équipes, explique Mike Beck, à la tête du département d’analyse des menaces de l’entreprise. Elle leur permet de gagner du temps et de se consacrer uniquement aux anomalies qui constituent de véritables attaques. Les cyberanalystes peuvent réagir plus rapidement et bénéficient de davantage de temps pour penser leur défense. » Jusqu’à présent, la cybersécurité utilisait l’IA pour détecter les comportements anormaux. Mais le pionnier du domaine, Darktrace, dévoile une nouvelle technologie qui identifie quelles anomalies sont malveillantes à la place des cyber-analystes. Une couche supplémentaire d’automatisation des procédés. L’intelligence artificielle pourrait permettre d’automatiser de nouvelles tâches dans le domaine de la cybersécurité. C’est en tout cas la promesse de Darktrace, entreprise britannique pionnière dans le domaine, qui dévoile mercredi 4 septembre une nouvelle solution basée sur de l’IA appelée Cyber AI Analyst. Cette dernière permet de trier les anomalies détectées afin d’identifier celles malveillantes, reproduisant les procédés des analystes humains selon ses concepteurs. Source : L’Usine Nouvelle | mercredi 4 septembre 2019 | Lien.
III. Evolution de TLS : Post-Quantum Cryptography (PQC)
1. Evolution majeure TLS 1.2 ⇨ TLS 1.3
2. Post-Quantum Cryptography (PQC)
Ordinateurs quantique, une menace pour le chiffrement ?
https://www.idquantique.com/quantum-safe-security/products/