L’A/B testing consiste à proposer deux versions d’un site variant légèrement (par exemple où seule la couleur d’un bouton est modifiée), à deux groupes d’utilisateurs répartis sur chaque version de manière aléatoire, pour identifier la manière dont une métrique pré-définie est impactée (par exemple, le taux d’inscription au site). Une fois qu’il est déterminé quelle variante est la plus efficace, elle est conservée pour l’ensemble des visiteurs.

Ensemble de règles qui définissent les opérations (lire, écrire, exécuter…) que pourra réaliser un utilisateur sur une ressource (un fichier, le plus souvent, mais aussi une adresse ou un port réseau). Le demandeur en question peut être aussi bien un utilisateur qu’un processus système.

Ou un chien. Parce que sur Internet, personne ne sait que vous êtes un chien.

L’ANSSI est un service à compétence nationale rattaché au Secrétaire général de la défense et de la sécurité́ nationale (SGDSN). Il est créé par décret en juillet 2009 en remplacement de la Direction centrale de la sécurité des systèmes d’information. Parmi ses missions, l’ANSSI est en charge de la défense des systèmes numériques de l’État (et elle conseille les administrations en la matière), de la définition et du contrôle de l’application des exigences de protection numérique pour les Opérateurs d’Importance Vitale, qu’elle accompagne, et plus largement de la diffusion de bonnes pratiques de sécurité numérique auprès des entreprises et des particuliers. L’ANSSI assure par ailleurs au niveau national un service de veille, de détection, d’alerte et de réaction aux attaques informatiques. Enfin, depuis 2018, l’ANSSI délivre les « Visas de Sécurité », un programme de certification et de qualification des solutions de sécurité.
Rien à ajouter. On ne plaisante pas avec l’ANSSI.

Code ayant pour finalité d’afficher des bandeaux publicitaires par le biais du navigateur internet de l’utilisateur.

Remarques : Ce code est très souvent perçu comme une méthode envahissante. Il engendre dans de nombreux cas d’autres effets sur le système, comme l’apparition de fenêtres surgissantes (popups), la dégradation de la bande passante ou de la performance de la machine de l’utilisateur.

Voir aussi:

• Code malveillant, logiciel malveillant (Malicious software, malware)

Un algorithme est la description d’une suite d’étapes permettant d’obtenir un résultat à partir d’éléments fournis en entrée. Par exemple, une recette de cuisine est un algorithme permettant d’obtenir un plat à partir de ses ingrédients! Dans le monde de plus en plus numérique dans lequel nous vivons, les algorithmes mathématiques permettent de combiner les informations les plus diverses pour produire une grande variété de résultats : simuler l’évolution de la propagation de la grippe en hiver, recommander des livres à des clients sur la base des choix déjà effectués par d’autres clients, comparer des images numériques de visages ou d’empreintes digitales, piloter de façon autonome des automobiles ou des sondes spatiales, etc.

Pour qu’un algorithme puisse être mis en œuvre par un ordinateur, il faut qu’il soit exprimé dans un langage informatique, sous la forme d’un logiciel (souvent aussi appelé « application »). Un logiciel combine en général de nombreux algorithmes : pour la saisie des données, le calcul du résultat, leur affichage, la communication avec d’autres logiciels, etc.

Certains algorithmes ont été conçus de sorte que leur comportement évolue dans le temps, en fonction des données qui leur ont été fournies. Ces algorithmes « auto-apprenants » relèvent du domaine de recherche des systèmes experts et de l’« intelligence artificielle ». Ils sont utilisés dans un nombre croissant de domaines, allant de la prédiction du trafic routier à l’analyse d’images médicales.

Une API (application programming interface ou « interface de programmation d’application ») est une interface logicielle qui permet de « connecter » un logiciel ou un service à un autre logiciel ou service afin d’échanger des données et des fonctionnalités.

Les API offrent de nombreuses possibilités, comme la portabilité des données, la mise en place de campagnes de courriels publicitaires, des programmes d’affiliation, l’intégration de fonctionnalités d’un site sur un autre ou l’open data. Elles peuvent être gratuites ou payantes.

L’apprentissage automatique (machine learning en anglais) est un champ d’étude de l’intelligence artificielle qui vise à donner aux machines la capacité d’« apprendre » à partir de données, via des modèles mathématiques. Plus précisément, il s’agit du procédé par lequel les informations pertinentes sont tirées d’un ensemble de données d’entraînement.

Le but de cette phase est l’obtention des paramètres d’un modèle qui atteindront les meilleures performances, notamment lors de la réalisation de la tâche attribuée au modèle. Une fois l’apprentissage réalisé, le modèle pourra ensuite être déployé en production.

L’apprentissage non supervisé est un procédé d’apprentissage automatique dans lequel l’algorithme utilise un jeu de données brutes et obtient un résultat en se fondant sur la détection de similarités entre certaines de ces données.

L’apprentissage supervisé est un procédé d’apprentissage automatique dans lequel l’algorithme s’entraîne à une tâche déterminée en utilisant un jeu de données assorties chacune d’une annotation indiquant le résultat attendu.

Une intrusion informatique ciblée dans laquelle l’attaquant recherche une présence à long terme sur le système compromis, en demeurant furtif. Ce type d’attaque exige de bonnes compétences techniques et des outils créés sur mesure, et il est donc généralement associé à des cybercriminels compétents ou à des acteurs étatiques.

Sert aussi, le plus souvent, d’excuse aux entreprises victimes d’une attaque simpliste, mais qui n’osent l’avouer.

Dans le domaine de l’intelligence artificielle, un réseau de neurones artificiels est un ensemble organisé de neurones interconnectés permettant la résolution de problèmes complexes tels que la vision par ordinateur ou le traitement du langage naturel.

Il s’agit d’un type particulier d’algorithmes d’apprentissage automatique (comme les machines à vecteur de support (SVM en anglais), arbres de décision, K plus proches voisins, etc.) caractérisés par un grand nombre de couches de neurones, dont les coefficients de pondération sont ajustés au cours d’une phase d’entraînement (apprentissage profond).

Il existe de nombreux type de réseaux de neurones artificiels tels que les réseaux de neurones récurrents, les auto-encodeurs, les réseaux transformeurs ou encore les réseaux antagonistes génératifs (generative adversarial networks).

Ce type d’attaque est destiné à infecter les ordinateurs de personnels œuvrant dans un secteur d’activité ou une organisation ciblée.

La technique du « point d’eau » consiste à piéger un site Internet légitime afin d’infecter les machines des visiteurs du domaine d’intérêt pour l’attaquant. Les cas sont nombreux de sites d’associations professionnelles ou de groupements sectoriels insuffisamment sécurisés et dont les vulnérabilités sont exploitées pour contaminer leurs membres, et permettre ainsi d’accéder aux réseaux les plus sensibles de ceux-ci. Les secteurs les plus stratégiques sont évidemment les plus ciblés.

Dans le domaine de l’intelligence artificielle, le processus d’augmentation de données accroît la quantité de données d’entraînement par la création de nouvelles données à partir des données existantes.

Cette augmentation peut être réalisée par différentes opérations, par exemple, dans le cas d’images, par translation, rotation, ajout de bruit, etc.

L’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité.

Accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur malveillant de se connecter à une machine de manière furtive.

Remarques : Une porte dérobée peut également être la cause d’une mise en œuvre incorrecte d’un protocole.

Voir aussi:

• Canal caché (Covert Channel)
• Cheval de Troie (Trojan Horse)
• Code malveillant, logiciel malveillant (Malicious software, malware)

On parle depuis quelques années du phénomène de big data , que l’on traduit souvent par « données massives ». Avec le développement des nouvelles technologies, d’internet et des réseaux sociaux ces vingt dernières années, la production de données numériques a été de plus en plus nombreuse : textes, photos, vidéos, etc. Le gigantesque volume de données numériques produites combiné aux capacités sans cesse accrues de stockage et à des outils d’analyse en temps réel de plus en plus sophistiqués offre aujourd’hui des possibilités inégalées d’exploitation des informations. Les ensembles de données traités correspondant à la définition du big data répondent à trois caractéristiques principales : volume, vélocité et variété.

La biométrie regroupe l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données biométriques sont des données à caractère personnel car elles permettent d’identifier une personne. Elles ont, pour la plupart, la particularité d’être uniques et permanentes (ADN, empreintes digitales, etc.).

Sous le nom Bluetooth se cache la norme 802.15.1 qui permet des communications radio à courte portée donc sans fil. Bluetooth ou « La dent bleue » provient du nom d’un ancien roi viking. Il existe plusieurs versions, dont les plus répandues sont actuellement v1.2 (débit théorique de 1 Mbit/s) et v2.0 (débit théorique de 3 Mbit/s).

Dans l’arc-en-ciel des équipes sécurité (Rouge, Bleu, Violet), la Blue Team représente les défenseurs. Il s’agit de l’équipe SSI chargée d’assurer la sécurité du système d’information. Lors des exercices, elle lutte contre la Red Team (les attaquants). Quant à la Purple Team, elle fusionne les deux approches avec du renseignement sur les menaces pour une vision à 360°

La Blue Team n’a rien à voir avec l’expression « Être bleu métal » popularisée par un humoriste sur les réseaux sociaux. Au contraire, la sobriété est de mise. Oui, pour tout le monde !

Un Botnet, autrement dit un réseau de bots (botnet : contraction de réseau de robots), est un réseau de machines compromises à la disposition d’un individu malveillant (le maître). Ce réseau est structuré de façon à permettre à son propriétaire de transmettre des ordres à tout ou partie des machines du botnet et de les actionner à sa guise.

Remarques : Certains ensembles peuvent atteindre des nombres considérables de machines (plusieurs milliers). Celles-ci peuvent faire l’objet de commerce illicite ou d’actions malveillantes contre d’autres machines. Elles sont souvent pilotées par des commandes lancées à travers un canal de contrôle comme le service IRC (Internet Relay Chat).

Méthode de transmission de données à l’ensemble d’un réseau.

Technique d’exploitation d’une vulnérabilité dans le code d’un programme qui ne vérifie pas correctement la taille de certaines données qu’il manipule.

Remarques : À titre d’illustration, le principe peut être utilisé pour profiter de l’accès à certaines variables du programme, par le biais de fonctions particulières. Il faut considérer celles qui ne contrôlent pas la taille de la variable à enregistrer dans le tampon, afin de pouvoir écraser la mémoire jusqu’à l’adresse de retour de la fonction en cours d’exécution. L’utilisateur malveillant peut alors choisir les prochaines instructions qui seront exécutées par le système. Le code introduit est généralement lancé avec les droits du programme détourné. Les exemples de fonctions les plus communément employées de façon vulnérable sont scanf() ou strcpy() dans la bibliothèque du langage C.

Le bug bounty est une approche collaborative de la recherche de vulnérabilités. Elle repose sur une plateforme d’intermédiation, généralement assurée par une entité commerciale, qui met en relation des entreprises soucieuses d’identifier les vulnérabilités éventuelles sur ses systèmes ou ses produits, et des experts indépendants, qui fournissent la prestation. Outre la mise en relation, la plateforme joue le rôle de tiers de confiance, assure un cadre légal à la prestation, fournit différents services aux experts comme aux clients (tableau de bord, outils) et prélève bien entendu sa dime !

Pratique qui consiste à utiliser ses équipements personnels (téléphone, ordinateur portable, tablette électronique) dans un contexte professionnel.

La captation d’une image est son enregistrement par un dispositif, par exemple une caméra de vidéosurveillance.

Termes simplifiés à privilégier : film, enregistrement.

Dans le domaine de l’intelligence artificielle, la caractéristique (feature en anglais) est la variable utilisée pour représenter une propriété définie d’une entité ou d’un objet.

Il peut s’agir d’informations relatives à la forme, la texture, ou encore à la couleur d’une image. Dans le cas d’un fichier audio, à la hauteur des sons, au timbre ou au tempo.

Fichier informatique signé par une autorité de certification qui garantit par cette signature que son possesseur est bien la personne ou l’entité qu’il prétend être. Les certificats permettent de signer et de chiffrer des documents et des emails, de s’authentifier sur des systèmes distants, de valider l’identité des sites web (le fameux petit cadenas vert du web repose sur un certificat de site). Les certificats numériques reposent tous sur le principe du chiffrement asymétrique, mais se distinguent avant tout par le niveau d’exigence des vérifications opérées par l’Autorité de Certification avant de les délivrer (d’une simple adresse email à un rendez-vous en personne)

Il est techniquement possible de certifier soi-même ses certificats numériques. Mais c’est comme imprimer ses propres diplômes : ça fait joli, mais ça ne sert pas à grand-chose.

Délivrée par l’ANSSI. Elle porte sur des produits de sécurité (matériels ou logiciels). Elle atteste de la conformité d’un produit de sécurité à un niveau de sécurité donné. Il s’agit d’une évaluation à l’état de l’art réalisée en fonction d’une cible de sécurité et d’un niveau de sécurité visé. Elle est matérialisée par un rapport de certification et un certificat tous deux signés par le Directeur Général de l’Agence. Le catalogue des produits de sécurité certifiés, accompagnés de leur cible de sécurité et de leur rapport de certification est publié sur le site Web de l’Agence. On parle de certification « premier niveau » (CSPN) ou de certification « Critères Communs ». Cette certification est délivrée par l’ANSSI sur la base des travaux dévaluation menés par un CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information). Les CESTI sont des laboratoires accrédités par le COFRAC (Comité Français d’Accréditation) et agréés par l’ANSSI. Le catalogue des CESTI est publié sur le site Web de l’Agence. Au sein de l’ANSSI, c’est le Centre National de Certification de la Sous-direction Expertise qui remplit ces missions.

La Certification de Sécurité de Premier Niveau (CSPN) mise en place par l’ANSSI en 2008 consiste en des tests en « boîte noire » effectués en temps (2 mois) et charge (25 ou 35 hommes x jours) contraints. La CSPN est une alternative aux évaluations Critères Communs, dont le coût et la durée peuvent être un obstacle, lorsque le niveau de confiance visé est moins élevé.

Mesure visant à rendre les données à caractère personnel incompréhensibles à toute personne non autorisée à y avoir accès (chiffrement symétrique ou asymétrique, utilisation d’algorithmes publics réputés forts, certificat d’authentification, etc.).

Il convient  :

d’utiliser pour AES des clés de chiffrement de 128 bits. Utiliser pour les algorithmes basés sur RSA des modules et exposants secrets d’au moins 2048 bits ou 3072 bits ; d’utiliser pour les exposants secrets pour le chiffrement supérieurs à 65536 ; de protéger les clés secrètes ; de rédiger une procédure de gestion des clés et certificats ; d’utiliser un algorithme reconnu :

• hachage : SHA-256, SHA-512, SHA-341
• stockage de mots de passe : HMAC utilisant SHA-256, bcrypt, scrypt ou PBKDF2
• chiffrement symétrique : AES, AES-CBC
• chiffrement asymétrique : RSA-OAEP (PKCS#1 v2.1)
• signatures : RSA-SSA-PSS (PKCS#1 v2.1)

La classification est une méthode de catégorisation qui consiste à attribuer une classe ou catégorie à une entrée qui lui est soumise en fonction de sa proximité à la classe en question selon des critères bien choisis.

Exemple : un système d’IA entraîné pour la reconnaissance d’images d’animaux utilise des techniques de classification : oiseaux, chiens, poissons…

Le cloud computing (en français, « informatique dans les nuages ») fait référence à l’utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau. Les applications et les données ne se trouvent plus sur un ordinateur déterminé mais dans un nuage ( cloud ) composé de nombreux serveurs distants interconnectés.

Le CNAME cloaking consiste à déléguer la gestion d’un sous-domaine de l’éditeur à un tiers via une redirection. Cela permet à ce tiers de déposer, sur le terminal de l’utilisateur, des cookies qui seront considérés comme des cookies « first-party » et donc d’échapper aux éventuels blocages mis en place par les navigateurs, qui peuvent limiter le dépôt de cookies « third-party ».

Cette pratique n’est pas illégale, mais elle peut provoquer d’importantes failles de sécurité, notamment en termes de lecture par des tiers de jetons d’authentification (« tokens ») stockés dans des cookies. Si une telle pratique est utilisée, il est donc conseillé de séparer les sous-domaines gérés par des tiers de ceux déposant et lisant des informations sensibles.

Un compte privilégié est un compte bénéficiant de droits d’accès étendus permettant à des utilisateurs malveillants de porter plus facilement ou plus gravement atteinte à la sécurité ou au fonctionnement du SIIV. Les comptes privilégiés sont par exemple des comptes d’administrateurs ou des comptes d’utilisateurs disposant de droits à fort impact métier dans une application.

La vision par ordinateur est une branche de l’intelligence artificielle dont le principal but est de permettre à une machine d’analyser et traiter une ou plusieurs images ou vidéos prises par un système d’acquisition.

Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés.

Toute action ayant pour conséquence la mise en échec des règles ou des mécanismes de sécurité mis en place.

Les cookies sont de petits fichiers, constitués d’une suite d’informations, que certaines plateformes, comme les sites web, peuvent installer sur les ordinateurs des Internautes, via leur navigateur. Ils permettent notamment de stocker des préférences de navigation, de collecter des informations statistiques, de permettre certaines fonctionnalités techniques, etc. Les cookies sont parfois utilisés pour stocker des informations de base sur les habitudes de navigation de l’utilisateur ou de son appareil, voire pour le reconnaître notamment lorsqu’une authentification est requise.

Les cookies sont également utilisés pour gérer la session de l’utilisateur, par exemple pour adapter le contenu d’un site internet aux préférences des utilisateurs.

Le cookie de capping (« plafonnement » en français) est un traceur utilisé pour limiter le nombre de répétitions d’un contenu publicitaire à un même utilisateur.

Ce type de traceur est souvent utilisé dans le cas de la publicité contextuelle pour éviter la diminution de l’efficacité du message publicitaire après un certain nombre de répétitions.

Le cookie matching est un système qui permet de faire coïncider les identifiants publicitaires d’un même utilisateur entre différents réseaux publicitaires.

Lorsque deux réseaux publicitaires tracent la même personne, il peut arriver qu’ils souhaitent échanger des données qu’ils possèdent sur cet individu. Or, les identifiants de cookies qu’ils utilisent ne sont pas les mêmes. Pour arriver à faire le lien entre leurs données, ils font lancer par le navigateur de l’utilisateur une requête qui redirige du domaine de l’un au domaine de l’autre, en renvoyant l’identifiant du premier publicitaire avec la redirection. Pouvant lire son identifiant de cookie ainsi que l’identifiant du premier publicitaire, le second réseau publicitaire est alors capable de réconcilier les deux identifiants et donc d’échanger avec le premier des données sur l’utilisateur.

Un cookie zombie ou supercookie est un cookie qui utilise des méthodes tierces (fingerprinting et autres) pour régénérer l’identifiant permettant de tracer l’utilisateur même quand celui-ci est supprimé (soit volontairement par l’utilisateur, soit par les mécanismes de protection de la vie privée des navigateurs).

Organisation des neurones dans un réseau. Il n’y a pas de connexion entre les neurones d’une même couche : les connexions ne se font qu’avec les neurones de la couche suivante.

Généralement, chaque neurone d’une couche est lié avec tous les neurones de la couche en aval et celle-ci uniquement.

On appelle couche d’entrée l’ensemble des neurones d’entrée et couche de sortie l’ensemble des neurones de sortie.

Les couches intermédiaires n’ont pas de contact avec l’extérieur et sont donc nommées couches cachées.

Document informatisé qu’un utilisateur saisit, envoie ou consulte en différé par l’intermédiaire d’un réseau. L’adresse électronique de l’internaute (adresse e-mail) est le plus souvent composée d’un nom d’utilisateur et d’un nom de domaine séparés par un @.

Remarques : Un courriel contient le plus souvent un texte auquel peuvent être joints d’autres textes, des images ou des sons. Par extension, le terme « courriel » et son synonyme « courrier électronique » sont employés au sens de « messagerie électronique ».

Canal de communication qui permet à un processus malveillant de transférer des informations d’une manière dissimulée. Le canal caché assure une communication par l’exploitation d’un mécanisme qui n’est pas censé servir à la communication.

Remarques : Les canaux cachés sont l’objet de nombreux travaux de recherche, tant pour les créer que pour les détecter.

Le credential stuffing (ou bourrage d’identifiant) consiste à réaliser, à l’aide de logiciels ou de façon manuelle, des tentatives d’authentification massives sur des sites et services web à partir de couples identifiants/mots de passe (généralement, une adresse électronique et un mot de passe).

Elle est due à différents facteurs :

1. L’identifiant d’un utilisateur correspond souvent à son adresse électronique, notamment sur le web.
2. Les utilisateurs se servent souvent des mêmes couples identifiants et mot de passe sur plusieurs sites, sans renouveler leur mot de passe.
3. Des listes contenant des centaines de millions de ces couples email/mot de passe sont disponibles au sein du web caché (dark web) suite à des violations de données.

Si le credential stuffing ne permet pas forcément et facilement de cibler un compte en particulier, il permet en revanche :

• de trouver des couples identifiant/mot de passe valides (un faible pourcentage de plusieurs centaines de millions de comptes représente tout de même un volume de données qui peuvent être compromises) ;
• de déjouer les mesures de sécurité les plus simples. En effet, les attaquants recourent généralement à une architecture distribuée (réseaux de machines zombies ou botnets) afin de ne pas être détectés. Ils peuvent également utiliser des machines ayant la capacité d’outrepasser les mesures de sécurité basiques telles que la résolution des CAPTCHA les plus simples.

Ce type d’attaque se rapproche de celui par force brute (bruteforce attack) dont le taux de réussite est limité aujourd’hui.

Plus d’informations sur cette attaque.

Élément de contrôle de l’évolution d’un algorithme d’apprentissage automatique qui permet, s’il est atteint, d’arrêter le processus itératif.

Il peut prendre différentes formes : la fonction de perte (qui permet de calculer l’erreur de prédiction) a suffisamment décru, le nombre d’itérations fixé est atteint, etc.

Activité malveillante qui consiste à injecter des données arbitraires dans le code de pages HTML. Un utilisateur malveillant peut faire afficher à un site web vulnérable un contenu agressif ; ce contenu peut rediriger l’utilisateur vers d’autres sites, ou transmettre des informations (jetons de sessions, aussi appelés cookies, etc.) ou des droits.

Remarques : Les données arbitraires sont souvent écrites en JavaScript, en HTML ou en vbscript. La personne malveillante introduit ainsi du code dans le serveur vulnérable qui héberge le site. Ce serveur est rarement affecté par ce code (porteur sain). Les visiteurs du site, potentiellement victimes, consultent la page contenant le code injecté. L’exécution du code ne se fait pas au niveau du serveur, mais par le client de navigation de l’utilisateur. La notation XSS a été introduite pour remplacer CSS, acronyme déjà utilisé pour signifier Cascading Style Sheet.

Processus de déchiffrement de données protégées au moyen de cryptographie sans être en possession des clés de chiffrement.

Discipline incluant les principes, moyens et méthodes de transformation des données, dans le but de cacher leur contenu, d’empêcher que leur modification ne passe inaperçue et/ou d’empêcher leur utilisation non autorisée (ISO 7498-2).

Science englobant la cryptographie et la cryptanalyse.

La cryptologie, littéralement science du secret en grec, a longtemps été associée à de mystérieux enjeux d’espionnage militaire et diplomatique bien éloignés des préoccupations scientifiques habituelles. Après s’être longtemps résumée à un jeu sans fondements théoriques profonds entre ingénieux concepteurs de codes secrets et cryptanalystes acharnés, elle s’est transformée, à l’aube du XXIe siècle, en une science dynamique à l’intersection de nombreuses autres plus orthodoxes telles que les mathématiques, l’informatique et la micro-électronique.

Le click-through rate est un indicateur d’efficacité d’une campagne de marketing numérique, que cette efficacité soit due au contenu de la campagne en elle-même ou à son placement (par exemple grâce au ciblage). Il correspond au nombre de clics sur le contenu publicitaire divisé par le nombre d’impressions du contenu. Plus le résultat est élevé, plus la campagne peut être considérée comme efficace. Certaines solutions de publicité ciblée utilisent cet indicateur pour facturer leurs clients (qui payent alors au « coût par clic » ou CPC) comme alternative à la plus traditionnelle facturation au nombre d’impression (« coût par mille impressions » ou CPM).

Préfixe généralement utilisé pour signifier une dimension informatique et réseau à la notion qu’il accompagne (Cyber-harcèlement, Cyberguerre…). Le terme vient du grec Kubernêtikê, signifiant « gouvernail ». Toutefois, au sein de la communauté des professionnels de la sécurité des systèmes d’information (SSI), le terme « Cyber » utilisé seul est généralement synonyme de cybersécurité.

Bonne nouvelle : vous savez maintenant d’où vient le nom de la plate-forme d’orchestration Kubernetes. Mauvaise nouvelle : ça ne vous servira à rien au Trivial Pursuit.

Actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible.

Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels.

Espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques.

État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.

A l’heure de l’explosion de l’intelligence artificielle et d’une transition digitale généralisée à l’ensemble de l’économie, la problématique de cybersécurité apparaît comme incontournable. Que l’on soit acteur public ou entreprise privée, la protection des données devient une priorité face à des attaques de plus en plus sophistiquées.

Alors que les cas de hacking ont généralement une nature transnationale, les réponses apportées par les autorités en terme de répression sont surtout nationales, créant ainsi un boulevard pour des actes de pirateries informatiques de grande ampleur sans réel risque de condamnation.

C’est dans ce contexte que le 12 mars 2019, le Parlement européen a adopté un règlement introduisant le premier dispositif européen de certification en matière de cybersécurité.

De quoi s’agit-il ?

1. Le Cybersécurité Act : Un dispositif réduisant la fragmentation du marché européen

Pour susciter la confiance et assurer la sécurité des produits et services de technologies de l’information et de la télécommunication (TIC), les caractéristiques de sécurité doivent être définies dès les premières phases de conception technique et de développement (sécurité dès la conception ou security by design).

La mise en place au niveau européen d’un dispositif de certification vise à réduire la fragmentation du marché. Un fournisseur de produits, services et processus TIC ne sera plus obligé de passer par divers schémas de certification nationaux pour se déployer au sein de l’Union.

Un dispositif de certification à plusieurs niveaux est ainsi prévu :

• Le niveau d’assurance élémentaire qui renvoie à une certification de cybersécurité accordant un degré limité de fiabilité. Au niveau élémentaire, les fabricants ou les fournisseurs de services pourront effectuer eux-mêmes l’évaluation de conformité. De surcroît, une procédure déclarative est mise en place au sein de ce niveau ;
• Le niveau d’assurance substantiel qui renvoie à une certification accordant un degré satisfaisant de fiabilité. Ce niveau permet que les risques connus d’incidents cybernétiques soient évités mais également d’assurer une résistance aux cyberattaques avec des ressources et des moyens limités ;
• Le niveau d’assurance élevé qui vise principalement les produits et services dont la résistance aux cyberattaques est cruciale, tels que des puces électroniques. La procédure dans ce niveau est robuste avec de fortes exigences en termes de tests de sécurité.

2. Le contrôle du dispositif de certification de cybersécurité européen

Le contrôle de cette certification est toutefois renvoyé aux Etats Membres. Ainsi, il est désormais prévu que chaque Etat membre désigne une autorité nationale de contrôle de la certification. Cette dernière devra être indépendante, tant au regard de son organisation qu’au regard de ses décisions, de son financement, de sa stature juridique ou encore de son processus décisionnel.

L’ensemble sera supervisé par l’Agence européenne de la sécurité des réseaux et de l’information (ENISA) qui se chargera :

• D’éviter la fragmentation des systèmes de certification dans l’Union européenne ;
• De mettre au point des systèmes de certification de l’UE pour des produits ayant des spécificités ;
• De communiquer via un site internet dédié les informations relatives aux certificats retirés et expirés.

Précisons ici que malgré des pouvoirs renforcés, l’ENISA n’aura aucun contrôle sur les décisions des autorités nationales relatives au contrôle de certification. Un système de coopération entre autorités nationales (système de « peer review ») est dès lors privilégié dans une logique de souplesse.

La sécurité étant au cœur de tous les débats et représentant un pilier majeur de la protection des données, ce règlement arrive à point nommé. En effet :

• Pour les clients, la certification permet en effet de faciliter l’identification de solutions présentant des niveaux de garanties adéquates ;
• Pour les fournisseurs de solutions, justifier d’un niveau d’assurance élevé constituera un argument commercial de poids dans une logique de différenciation concurrentielle.

Grâce à ce dispositif européen, la certification devrait poursuivre sa généralisation via des processus de contrôle continus au même titre que les analyses d’impacts et autres audits incluant des tests d’intrusions.

Action malveillante qui consiste à faire enregistrer un nom de domaine dans le seul but de bloquer toute attribution ultérieure de ce nom au profit de titulaires plus naturels ou légitimes.

Remarques : L’objectif est souvent d’obtenir un avantage financier en échange de la rétrocession du nom ainsi détourné. Cette pratique est particulièrement fréquente pour certains noms de domaine comme .net, .com, ou .org.

Références : Pour régler les litiges du .fr et du .re, se reporter à l’Association française pour le nommage internet en coopération, AFNIC, Les procédures alternatives de résolution de litiges (PARL) du .fr et du .re.

Le Dark Net est un réseau parallèle au web quotidien (dit « clair »), qui représente une surcouche de ce dernier et ne peut être accédé que via des outils spécifiques (le navigateur Tor par exemple). Bien que ce dernier soit le plus connu des Dark Nets, il en existe d’autres, tels I2P ou Freenet. Leur premier objectif est souvent de garantir l’anonymat de leurs utilisateurs (et non forcément de soutenir les trafics illégaux, qui ne sont qu’une partie des activités ayant lieu sur le Dark Web).
Si vous n’allez pas visiter le Dark Web, c’est que vous n’avez pas Tor.

Opération inverse d’un chiffrement réversible.

Le deepfake est très impressionnant et encore peu connu des PME-TPE. Pourtant il est particulièrement menaçant et commence à se démocratiser. Grâce à un logiciel d’intelligence artificielle, il est possible de truquer une vidéo grâce à des photos. En effet, l’IA intègre les éléments d’un visage photographié et les transpose sur le visage de quelqu’un d’autre sur une vidéo par exemple. Il s’agit de créer un faux visage pour lui faire dire ce que l’on veut, pour obtenir ensuite une vidéo hyperréaliste. Impressionnant, non ?

Le web profond (« Deep Web ») représente les informations qui sont accessibles de manière classique avec un navigateur courant, mais ne sont pas indexées par les moteurs de recherche, soit parce que leur accès est protégé par un mot de passe, soit parce qu’ils sont personnalisés pour l’utilisateur (requêtes de recherches sur une base de données ou la page d’accueil personnelle, par exemple).

Attention à ne pas confondre web profond et bas-fonds du web. Votre navigateur vous remerciera.

Résultat d’une activité malveillante qui a modifié l’apparence ou le contenu d’un serveur internet, et a donc violé l’intégrité des pages en les altérant.

Remarques : Cette action malveillante est souvent accompagnée de revendications.

Une plateforme de gestion des données est un service effectuant la collecte et la gestion de données utilisateurs, souvent provenant de sources en ligne (via les cookies par exemple), mais aussi hors-ligne (importation de liste de clients de magasins physiques).

Elles permettent d’optimiser le ciblage des personnes, et sont notamment très utilisées pour le ciblage utilisateur lors d’enchères en temps réel. Ces plateformes peuvent être reliées à des demand-side platforms (DSP) ou supply-side platforms (SSP)  afin de permettre d’activer les données sur des campagnes publicitaires.

Dans le domaine de l’intelligence artificielle, le domaine d’emploi est la description de l’environnement et de la population visée par le procédé d’apprentissage automatique.

Dans le domaine de l’intelligence artificielle, une donnée brute est une donnée n’ayant subi aucune transformation depuis son observation initiale.

Dans le domaine de l’intelligence artificielle, une donnée de sortie est une valeur représentant tout ou partie de l’opération effectuée par le système d’IA à partir des données d’entrée.

Action ayant pour effet d’empêcher ou de limiter fortement la capacité d’un système à fournir le service attendu.

Remarques : Cette action n’est pas nécessairement malveillante. Elle peut aussi traduire un mauvais dimensionnement du service, incapable de fournir la réponse à une forte demande. Si l’action est lancée depuis plusieurs sources, il est fréquent de parler de Déni de Service Distribué (DDoS).

Un drone est au sens strict un appareil sans pilote à bord. Il est généralement piloté à distance par un opérateur humain, mais peut avoir un degré plus ou moins important d’autonomie (par exemple pour éviter des collisions ou gérer les conditions aérologiques). Un drone est avant tout une plateforme de capteurs mobiles. C’est un engin d’observation, d’acquisition et de transmission de données géolocalisées.

Un système de gestion de flux de données est un ensemble de programmes qui a pour fonction la gestion et l’interrogation des données dans un flux de données continu. Il est en capacité d’effectuer des requêtes sur le flux de données en continu. Ces dernières sont donc modifiées dès que de nouvelles données arrivent dans ledit flux.

Les demand-side platforms (DSP) sont les intermédiaires permettant aux régies publicitaires et annonceurs de réaliser leurs achats d’inventaires. Elles transfèrent ensuite ces ordres d’achat sur des plateformes d’échanges publicitaires, par exemple lors d’enchères en temps réel.

Dans le domaine de l’intelligence artificielle, l’échantillon est une fraction représentative d’une population ou d’un univers statistique.

L’EDR est un complément à l’antivirus classique. Il se base sur de l’intelligence artificielle qui analyse en temps réel tout ce qu’il se passe dans les machines qui composent le système d’information. Il averti l’administrateur ou le centre de surveillance de la sécurité lorsqu’un mécanisme frauduleux tente une action malveillante.
L’IA apprend et reconnait les méthodologies et les mécanismes frauduleux et réagit avant même l’attaque avec des mécanismes de réponse assurant ainsi une protection en amont d’un piratage. Il existe d’autres termes comme XDR, NDR, qui utilisent les mêmes mécanismes de surveillance basé sur l’IA mais avec des moyens différents (sonde réseau, etc).

Lors d’une attaque informatique, lorsque l’attaquant parvient à exécuter du code sur la machine ciblée, ce dernier l’est souvent avec les mêmes droits que la ressource à travers laquelle il a pu exécuter son code. S’il s’agit d’un utilisateur ayant, par exemple, cliqué sur un lien ou ouvert une pièce jointe piégée, alors le programme malveillant aura les mêmes droits que cet utilisateur. S’il s’agit d’un autre processus (un serveur web par exemple), alors le code malveillant sera limité aux droits de ce dernier. Ces droits ne sont toutefois pas toujours suffisants pour atteindre l’objectif de l’attaquant (c’est d’ailleurs ce que recherchent les défenseurs !). Une élévation de privilège permet donc au pirate de « gagner » des droits plus élevés en exploitant une nouvelle vulnérabilité locale afin de poursuivre son attaque.

Un pirate épris de justice sociale refusera par principe d’élever ses privilèges. Mais il ira moins loin…

Dans un contexte IT, ce terme issu de l’anglais désigne de manière générale le terminal de l’utilisateur final (un ordinateur fixe, un ordinateur portable, un smartphone, une tablette). Il est devenu très utile comme mot-valise au fur et à mesure que le type de terminaux potentiels s’est accru, tout comme le besoin de contrôles déportés sur ces derniers.

On pourrait parler de « terminaux » en français, mais cela serait beaucoup moins cool.

Jeu de données (texte, sons, images, listes, etc.) utilisé lors de la phase d’entrainement / d’apprentissage : le système s’entraîne sur ces données pour effectuer la tâche attendue de lui.

Jeu de données utilisé lors de la phase de test.

Tout ensemble intégré de services numériques choisis et mis à disposition de tous les acteurs de la communauté éducative d’un ou plusieurs établissements de l’enseignement scolaire ou de l’enseignement supérieur dans un cadre de confiance défini par un schéma directeur des espaces numériques de travail (SDET)  […] l’ENT constitue un point d’entrée unifié permettant à l’utilisateur d’accéder, selon son profil et son niveau d’habilitation, aux services et contenus numériques dont il dispose.

Un environnement « loggué » est un site dans lequel l’utilisateur est authentifié par un compte utilisateur qu’il a volontairement créé.

C’est le cas, par exemple, de nombreux réseaux sociaux, de services de courriel, etc. Si le traceur permettant d’authentifier l’utilisateur pour le simple accès au service n’est pas soumis au consentement, toute autre utilisation de tels traceurs à des finalités autres (par exemple publicitaires) est soumise aux mêmes règles que dans les environnements non « loggués ».

L’estimation ou inférence bayésienne s’appuie sur un théorème énoncé par le mathématicien Thomas Bayes. Ce théorème donne une méthode pour calculer la probabilité d’un phénomène grâce à la connaissance de certaines informations. L’estimation bayésienne est donc la méthode qui s’appuie sur ce raisonnement.

Exemple : sachant d’une part que mes chaussures sont peu adhérentes, et d’autre part qu’il a plu, le risque de glisser lors de mon trajet au travail ce matin est élevé.

Une évaluation des risques consiste à faire l’inventaire des risques pesant sur le périmètre considéré (une entreprise, un service, une application…). Les risques sont définis par des menaces capables de s’exercer sur des actifs, modérées par des paramètres tels la probabilité d’occurrence et leur impact. L’ensemble permet de hiérarchiser les risques et d’optimiser des ressources de défense souvent limitées.

L’humour étant par nature risqué, nous nous abstiendrons de toute blague au sujet du risque.

Cette attaque popularisée en 2009 par la chercheuse Joanna Rutkowska consiste à accéder physiquement à une machine dont le disque dur est chiffré (le plus souvent un ordinateur portable) afin de remplacer le BIOS original par une version piégée. Celle-ci est alors capable au prochain démarrage de dérober le mot de passe permettant d’accéder aux données. La référence à la « femme de chambre » tient au fait que ce type d’attaque physique est particulièrement simple à opérer dans une chambre d’hôtel, où les voyageurs laissent souvent leur ordinateur sans protection et le personnel d’entretien peut y accéder aisément.

Si votre employeur vous a réservé une chambre à l’Auberge Rouge, alors cette définition de l’attaque de la femme de chambre malveillante ne sera pas valable. Mais ce sera probablement à ce stade le cadet de vos soucis…

Entreprise ou personne dont l’activité est d’offrir un accès à des services de communication au public en ligne, autrement dit à l’internet ; cf. liste des membres de l’association des fournisseurs d’accès en France sur AFA.

Vulnérabilité dans un système informatique permettant à un attaquant de porter atteinte à son fonctionnement normal, à la confidentialité ou à l’intégrité des données qu’il contient.

Lorsqu’un système de détection lève une alerte alors qu’il n’y a pas lieu, il s’agit d’un faux positif (une action a été réalisée). Lorsque, au contraire, il ne lève pas d’alerte alors qu’il aurait dû, il s’agit d’un faux négatif (aucune action n’a été réalisée). Dans les deux cas, les faux doivent être identifiés et corrigés.

Et lorsqu’il ne produit ni l’un ni l’autre, c’est que le produit est parfait. Ou débranché.

Dispositif permettant de réduire les communications entre deux parties d’un système d’information, par exemple par la déclaration de plages d’adresse réseau autorisées à communiquer entre elles, ou par la déclaration des protocoles autorisés dans cette communication. Dans le cas de TCP ou d’UDP, le filtrage se basera sur un numéro de port.

Le fingerprinting, ou « prise d’empreinte » est une technique probabiliste visant à identifier un utilisateur de façon unique sur un site web ou une application mobile en utilisant les caractéristiques techniques de son navigateur.

Le matériel dont se sert l’utilisateur pour se connecter fournit un certain nombre d’informations au serveur, par exemple la taille de l’écran ou le système d’exploitation. Ces informations, si elles sont suffisamment nombreuses, peuvent permettre distinguer les individus entre eux et de les suivre de manière similaire aux cookies. Les mécanismes de gestion ou blocage des cookies ne permettent pas de s’opposer à cette technique : il faut mobiliser d’autres techniques peu accessibles (comme une extension qui modifie aléatoirement les paramètres transmis par le navigateur).

Un pare-feu (ou garde-barrière), est un outil permettant de protéger un ordinateur connecté à un réseau ou à l’internet. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant) initialisées par des programmes ou des personnes.

Le firmware est le code qui fait fonctionner le matériel électronique. Il s’agit donc d’un programme de très bas niveau, le plus proche du matériel. Or, en cybersécurité, c’est généralement celui qui est le plus proche du matériel qui gagne. Les firmwares sont donc devenus l’enjeu d’une féroce bataille entre pirates et fabricants. Les premiers ont conçu des codes malveillants capables de se terrer dans un firmware, pour résister à une réinstallation du système d’exploitation ou pour en prendre le contrôle avant que n’importe quelle solution de sécurité ne puisse se lancer, et les seconds ont développé des systèmes de chaînes de démarrage sécurisé afin de s’assurer de l’intégrité du microcode.

Inutile d’insister, la marque Tupperware ne produit pas de firmware.

Dans le domaine de l’intelligence artificielle, la fonction d’activation peut être vu comme l’équivalent du « potentiel d’activation » qu’on retrouve dans les neurones biologiques.

Cette fonction détermine si un neurone artificiel doit être activé ou pas et, dans le premier cas, le degré de cette activation.

Il existe plusieurs fonctions apportant chacune des comportements différents (sigmoïde, tangente hyperbolique, ReLU, etc.).

Dans le domaine de l’intelligence artificielle, la fonction de perte ou de coût est la quantification de l’écart entre les prévisions du modèle et les observations réelles du jeu de donnée utilisé pendant l’entraînement.

La phase d’entraînement vise à trouver les paramètres du modèle qui permettront de minimiser cette fonction.

Une attaque par force brute (bruteforce attack) consiste à tester, l’une après l’autre, chaque combinaison possible d’un mot de passe ou d’une clé pour un identifiant donné afin se connecter au service ciblé.

Il s’agit d’une méthode ancienne et répandue chez les pirates. Le temps nécessaire à celle-ci dépend du nombre de possibilités, de la vitesse que met l’attaquant pour tester chaque combinaison et des défenses qui lui sont opposées.

Ce type d’attaque étant relativement simple, un organisme peut disposer de systèmes permettant de se protéger de ce type de comportement. La première ligne du système de défense est le blocage de comptes après un nombre limité d’échecs d’authentification pour un même identifiant.

Le fonctionnement de l’attaque par force brute est proche de l’attaque par credential stuffing, mais est moins élaborée.

La forensique couvre le recueil et l’analyse des traces informatiques disponibles au sein d’un système afin d’identifier les actions d’un attaquant ou les abus d’un utilisateur. L’analyse forensique permet de répondre à des questions telles que comment l’attaquant est-il entré ? Quelles vulnérabilités a-t-il exploité ? Quels outils a-t-il utilisé ? Quelles sont leurs caractéristiques ? Des données ont-elles été exfiltrées ? Lesquelles ? Cette analyse s’appuie aussi bien sur les traces consignées par les systèmes (journaux d’événements) que des rémanences (contenu de la mémoire qui n’a pas encore été purgé, bribes de fichiers effacés encore accessibles dans la structure du disque dur, etc.)

L’expert forensique est généralement vu tel un moine persévérant et méticuleux. Mais à la différence de ce dernier, la communauté cyber-forensique ne produit ni fromage ni bière.

La fraude au clic est une création artificielle de clics (que ce soit par des humains ou des programmes) sur des contenus publicitaires ou des liens d’affiliations par des éditeurs. Ces éditeurs reçoivent alors des paiements relatifs aux clics générés. Il est également possible que ces clics frauduleux soient produits par les concurrents des annonceurs afin de leur faire dépenser leur budget marketing inutilement. La plupart des plateformes publicitaires incluent des mécanismes pour détecter ces pratiques.

Technologie permettant de déterminer la localisation d’un objet ou d’une personne avec une certaine précision. La technologie s’appuie généralement sur le système GPS ou sur les interfaces de communication d’un téléphone mobile. Les applications et finalités de la géolocalisation sont multiples : de l’assistance à la navigation, à la mise en relation des personnes, mais aussi à la gestion en temps réel des moyens en personnel et en véhicules des entreprises, etc.

Les Google Dorks sont des combinaisons de mots-clés reconnus par le moteur de recherche Google (des opérateurs de recherche avancés). Ces combinaisons sont utilisées afin d’affiner les critères de recherche, et sont notamment très populaires chez les attaquants durant la phase de repérage d’une attaque. Elles permettent, par exemple, d’identifier rapidement tout document Excel contenant le terme « mot de passe », dont le titre contient le mot « confidentiel » et issu de telle entreprise.

Le mot « dork » signifiant « idiot » en anglais, le Google Dork était tout d’abord « l’idiot de chez Google ». Mais puisque cela n’existe pas, il a bien fallu trouver une nouvelle signification pour recycler le terme.

Le gradient est, en mathématiques, un vecteur représentant la variation d’une fonction au voisinage d’un point donné (en pratique, lorsqu’on dessine une courbe, plus le gradient est élevé, plus la « pente » de la courbe est forte).

Appliqué au cas de l’apprentissage d’un modèle d’IA, le gradient est utilisé pour mettre en œuvre l’algorithme de descente de gradient (ou algorithme de la plus forte pente). Ce dernier permet d’obtenir un résultat optimal selon certains critères (par exemple : minimisation d’une fonction de perte), de manière itérative, c’est-à-dire par une succession d’étapes.

Différentes stratégies existent pour réaliser la descente de gradient qui mobilisent des ensembles de données différents (batch gradient descent, mini-batch gradient descent, stochastic gradient descent, etc.).

Si le « Black Hat » est l’expert en cybersécurité qui a versé dans l’illégalité et le « White Hat » celui qui préfère œuvrer du bon côté, le « Gray Hat » est fort logiquement… entre les deux ! Le Gray Hat peut ainsi avoir recourt à des approches clairement illégales (s’introduire dans un système sans autorisation) pour atteindre des objectifs éthiques (prévenir le propriétaire des vulnérabilités identifiées et lui offrir son aide pour les corriger). Il estime que la moralité de ses actions (il ne vise pas l’enrichissement personnel) prime sur les moyens utilisés pour y parvenir. La justice, toutefois, ne retiendra quant à elle bien souvent que l’aspect illégal de ses actions…

Cette obsession pour les chapeaux de couleur est très étonnante pour une communauté où, de toute manière, les experts ne portent que des sweats à capuche.

Acte de malveillance numérique qui consiste à exploiter une ou plusieurs vulnérabilités (techniques, logiques, humaines ou organisationnelles) d’un système ou d’une entité afin d’en contourner les protections légitimes et d’y accéder (et parfois s’y maintenir) afin d’atteindre des objectifs tels que sabotage, espionnage, vol ou manipulation d’information.

Cette définition n’a toutefois pas toujours été la plus acceptée : le sens premier du terme tient plutôt au bricolage de génie, animé par le désir de comprendre le fonctionnement de systèmes complexes (un bon « hack » est ainsi aussi une modification ingénieuse)

Pour le cinéma, « Hacking » est une marque de sweat à capuche qui taille toujours trop grand et n’existe qu’en noir.

Contraction de « hacker » et « activiste », l’hacktiviste est un militant numérique. Ses modes d’action sont ainsi purement cyber, à travers des opérations destinées à déstabiliser ses cibles (très souvent des attaques par déni de service, très visibles, mais aussi du vol d’informations compromettantes afin de les rendre accessibles au plus grand nombre).

Le gros défaut de l’hacktivisme, c’est l’absence du stand à merguez lors des actions virtuelles.

L’utilisation d’une fonction de hachage permet de ne pas stocker les mots de passe en clair dans la base mais uniquement de stocker une empreinte de ces derniers. Il est important d’utiliser un algorithme public réputé fort afin de calculer les dites empreintes. A ce jour, MD5 ne fait plus partie des algorithmes réputés forts.

De même, les fonctions de hachage publiques réputées fortes étant par nature à la disposition de tous, il est techniquement possible pour tout un chacun de calculer des empreintes. Aujourd’hui, on trouve facilement sur internet des dictionnaires immenses d’empreintes MD5 précalculées et, grâce à ces données, il est aisé de retrouver instantanément le mot de passe ayant été utilisé afin de générer ces empreintes. Afin de limiter ce risque, il est conseillé d’utiliser des fonctions spécialisées appelées « fonction de dérivation de clé », telles que PBKDF2 ou Argon2 par exemple, qui sont conçues spécifiquement pour stocker des mots de passe.

Fonction cryptographique qui transforme une chaîne de caractères de taille quelconque en une chaîne de caractères de taille fixe et généralement inférieure. Cette fonction satisfait entre autres deux propriétés :
– la fonction est « à sens unique » : il est difficile pour une image de la fonction donnée de calculer l’antécédent associé ;
– la fonction est « sans collision » : il est difficile de trouver deux antécédents différents de la fonction ayant la même image.

En raison de la forte fragmentation du marché publicitaire, et pour maximiser le revenu des inventaires disponibles, certains éditeurs utilisent la technique du « header bidding » qui consiste à intégrer dans la page web du code permettant de proposer l’inventaire disponible à plusieurs supply-side platforms (SSP) et Ad Exchange avant de sélectionner le plus offrant.

Cette méthode permet donc à l’éditeur d’organiser une mise en concurrence des différents réseaux publicitaire lors de la vente de son inventaire et donc de maximiser ses revenus. Cette technique peut cependant ajouter beaucoup de latence au chargement des pages.

Information vraie ou fausse, souvent transmise par messagerie électronique ou dans un forum, et incitant les destinataires à effectuer des opérations ou à prendre des initiatives, souvent dommageables.

Remarques : Il peut s’agir d’une fausse alerte aux virus,de chaîne de solidarité, pétitions, promesse de cadeaux, etc. Quelques canulars fréquents sont répertoriés sur des sites dédiés comme « Hoaxbuster » ou « Hoaxkiller ».

L’homologation est délivrée par une autorité d’homologation pour un système d’information avant sa mise en service opérationnel. L’homologation permet d’identifier, d’atteindre puis de maintenir un niveau de risque de sécurité acceptable pour le système d’information considéré. Elle est imposée pour les systèmes d’information traitant des informations classifiées (IGI 1300) ou pour les télé-services dans le cadre du Référentiel Général de Sécurité (RGS). Dans le cadre des systèmes traitant des informations classifiées (IGI 1300), la décision d’homologation doit être communiquée à l’ANSSI. Dans le cadre des télé-services (RGS), la décision d’homologation doit être communiquée aux utilisateurs des télé-services. L’ANSSI peut, dans certains cas, être autorité d’homologation ou participer aux commissions d’homologation. La liste des homologations délivrées par l’ANSSI ou auxquelles elle a participé n’est pas publiée.

Le pot de miel est un système rendu volontairement vulnérable afin d’attirer les attaquants, observer leurs techniques et récupérer leurs outils. Ces systèmes sont fictifs et les actions de l’attaquant n’ont pas d’impact sur l’extérieur (ils ne peuvent être utilisés pour envoyer des campagnes de spam ou de phishing, les données financières ou à caractère personnel qu’ils contiennent sont fictives, etc.). Les pots de miel sont un outil essentiel dans l’arsenal des acteurs de la Threat Intelligence (renseignement sur les menaces), car ils leur permettent de se tenir informés des dernières techniques développées par les attaquants.

Comme quoi, en SSI, il suffit d’un pot de miel et il en faut peu pour être heureux…

Élément indépendant de l’apprentissage tels que le nombre de nœuds et la taille des couches cachées du réseau de neurones, l’initialisation des poids, le coefficient d’apprentissage, la fonction d’activation, etc.

L’intelligence artificielle est un procédé logique et automatisé reposant généralement sur un algorithme et en mesure de réaliser des tâches bien définies. Pour le Parlement européen, constitue une intelligence artificielle tout outil utilisé par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ». Plus précisément, la Commission européenne considère que l’IA regroupe :

• les approches d’apprentissage automatique ;
• les approches fondées sur la logique et les connaissances ; et
• les approches statistiques, l’estimation bayésienne, et les méthodes de recherche et d’optimisation.

Outil cryptographique permettant de garantir l’authenticité des clés publiques par la signature électronique d’autorités de certification organisées de façon hiérarchique. Une ICP est l’un des outils fondamentaux d’une IGC.

Les systèmes de contrôle industriels sont des systèmes informatiques dédiés au pilotage et au contrôle d’équipements industriels. Ils sont généralement hébergés sur des réseaux distincts de ceux de l’informatique traditionnelle (dite « bureautique »). Les ICS se sont imposés dans le paysage (et les débats !) de la sécurité des systèmes d’information, car il s’agit de cibles souvent critiques et, traditionnellement, peu protégées, car anciens et jusqu’à peu rarement connectés à d’autres réseaux. Toutefois, quand ils le sont, les vulnérabilités de ces systèmes peuvent permettre à des attaquants de prendre le contrôle, de neutraliser ou de saboter des pans entiers d’industries vitales. Heureusement, les systèmes récents prennent, eux, mieux en compte la cybersécurité.

Certains glossaires chagrins ont pu par le passé proposer pour l’acronyme ICS la définition « Impossible à Correctement Sécuriser ». Mais ils ont depuis été défacés (voir « Défiguration »).

L’impression est l’affichage d’un contenu publicitaire à un utilisateur. Le nombre d’impressions est un indicateur notamment utilisé dans la publicité.

Un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Exemples : utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application, etc.

L’article 413-9 du Code pénal indique que « les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers dont la divulgation ou auxquels l’accès est de nature à nuire à la défense nationale ou pourrait conduire à la découverte d’un secret de la défense nationale » font l’objet de mesures de classification destinées à restreindre leur diffusion ou leur accès.

L’injection SQL est une technique permettant d’injecter des éléments, notamment du code de type SQL (Structured Query Language, langage utilisé pour manipuler les bases de données), dans les champs des formulaires web ou dans les liens des pages afin de les envoyer au serveur web. De cette façon, les attaquants outrepassent les contrôles de sécurité et parviennent à afficher ou à modifier des éléments présents dans une base de données, par exemple des mots de passe ou des coordonnées bancaires. L’injection SQL permet ainsi l’accès à toutes les données personnelles (par exemple, des identités ou coordonnées d’utilisateurs ou d’employés) ou non personnelles (les articles présents, les prix de ces derniers, etc.), contenues dans une base de données SQL.

Garantie que le système et l’information traitée ne sont modifiés que par une action volontaire et légitime.

L’intrusion est le fait, pour une personne ou un objet, de pénétrer dans un espace (physique, logique, relationnel) défini où sa présence n’est pas souhaitée.

L’inventaire désigne un espace publicitaire réservé (par exemple l’emplacement d’une bannière en haut d’une page web) qui est vendu par l’éditeur. Ces espaces ne sont généralement pas mis sur le marché directement par l’éditeur, mais par les supply-side plaforms (SSP) qui en organisent la vente.

L’internet des objets est un concept décrivant la multiplication des terminaux connectés à Internet allant bien au-delà des ordinateurs, smartphones, tablettes, voire montres connectées, actuels. Les terminaux IoT peuvent être intégrés à des objets domestiques (réfrigérateurs, serrures, compteurs électriques), à du mobilier urbain ou même à des êtres vivants (animaux comme humains). Le concept d’Internet des Objets englobe cette multiplication des terminaux ainsi que leur connexion permanente à un réseau global afin de partager leurs données en temps réel, et forme ainsi la base des villes dites « intelligentes » (smart city) et des réseaux d’énergie plus efficaces (smart grids). Évidemment, pour la communauté de la sécurité des systèmes d’information, l’IoT présente un nouveau défi d’envergure.

Depuis qu’un casino britannique a été piraté par l’intermédiaire de son thermomètre d’aquarium connecté, les experts SSI sont convaincus que ces objets connectés leur permettront de franches rigolades.

Action de compromettre volontairement un système (le plus souvent le système d’exploitation d’un smartphone) afin de supprimer des limitations techniques. Le « jailbreaking » de smartphone permet par exemple à l’utilisateur d’installer tout type de logiciels ou d’activer des fonctionnalités qui n’existent pas dans la version officielle du système d’exploitation. La pratique est toutefois considérée comme dangereuse, car elle peut ouvrir des accès dérobés, et est souvent interdite par les licences d’utilisation des systèmes concernés.

La chanson « Jailbreak » du groupe AC/DC a entrainé la perte de nombreux smartphones après que leurs utilisateurs les aient branchés directement sur du courant alternatif, croyant qu’il s’agissait d’un tutorial.

Logiciel ou matériel employé par un utilisateur malveillant pour capturer ce qu’une personne frappe au clavier.

Remarques : Cette technique permet de voler efficacement les mots de passe, les données bancaires, les messages électroniques, etc.

Protocole d’authentification basé sur l’échange de tickets, conçu pour permettre l’authentification mutuelle au travers de réseaux non sécurisés. Le nom est bien entendu une référence au cerbère, le chien à trois têtes qui garde l’entrée des enfers.

Les tickets Kerberos sont notamment protégés contre les attaques par rejeu et l’interception. Le protocole a été créé par le Massachusetts Institute of Technology (MIT), et a depuis été adopté (et adapté) par Microsoft pour en faire le protocole d’authentification par défaut des infrastructures Windows.

Il se dit que le véritable cerbère est particulièrement mécontent d’être associé à un simple contrôleur de tickets. Mais personne n’est encore revenu pour confirmer la rumeur.

Le noyau d’un système d’exploitation est le saint des saints : il s’agit du code chargé d’organiser le fonctionnement de tous les autres éléments du système, et notamment d’assurer leur accès à la mémoire et au matériel.

Le noyau dispose donc des droits les plus élevés sur le système (essentiellement des droits absolus), et il s’agit donc d’une cible de choix pour les pirates. C’est pourquoi les systèmes d’exploitation récents mettent en œuvre des techniques de protection spécifiques pour l’accès au noyau. Toutefois, une fois un code malveillant capable d’accéder au noyau, la partie est essentiellement terminée pour les défenseurs, car il est alors en mesure neutraliser bon nombre de solutions de sécurité.

Il ne serait pas exagéré de dire qu’un accès illégitime au noyau est un sérieux pépin.

Ce sont l’ensemble des phases et étapes utilisées par un pirate pour s’introduire dans un SI. Connaître la kill chain permet de définir la méthodologie d’une attaque et donc de mettre en place des défenses sur chacune de ces étapes.

Dans le domaine des réseaux informatiques, les couches réseau sont un modèle destiné à simplifier la compréhension du fonctionnement du réseau. L’un des deux modèles principaux (OSI, l’autre étant TCP/IP) reconnaît sept couches, depuis la couche physique (le câble lui-même) jusqu’à la couche applicative (la manière dont les données sont arrangées pour que les applications sachent les utiliser, par exemple des protocoles tels que http pour le web, SMTP pour le courrier électronique, etc.). En matière de cybersécurité, la notion de couches réseau est importante, car elle définit différents niveaux où il va être possible de placer des solutions de filtrage. Les premiers pare-feux, par exemple, opéraient à un niveau bas (couches 2 et 3) et permettaient de lutter contre des attaques très différentes des pare-feux applicatifs actuels, qui opèrent sur la couche 7 (applicative) afin de comprendre le comportement des applications.

L’aspect totalement virtuel des couches réseau fait rêver bon nombre de jeunes parents.

Dans le domaine de l’intelligence artificielle, le taux d’apprentissage est le facteur multiplicatif appliqué au gradient. À chaque itération, l’algorithme de descente de gradient multiplie le taux d’apprentissage par le gradient.

Le taux d’apprentissage est un hyperparamètre qui joue sur la rapidité de la descente de gradient : un nombre d’itérations plus ou moins important est nécessaire avant que l’algorithme ne converge, c’est-à-dire qu’un apprentissage optimal du réseau soit réalisé.

• Sur un système de filtrage ou de contrôle d’accès, la liste blanche contient les éléments autorisés (actions, ressources, utilisateurs ou autres), tandis que la liste noire contient à l’inverse les éléments interdits. Le fait d’être sur une liste blanche ou noire est prioritaire sur les autres décisions d’accès.

  Contrairement à la musique, en SSI une liste blanche ne vaut pas deux listes noires.

• Un certificat numérique est une preuve d’identité délivrée par un organisme de confiance (l’autorité de certification). Cette dernière doit être en mesure d’invalider un certificat, soit automatiquement (les certificats ont une durée de vie de limitée) soit ponctuellement (à cause d’une fraude, par exemple). Pour que les utilisateurs soient en mesure de savoir que le certificat qui leur est présenté n’est plus valable – par exemple lorsqu’ils se connectent à un site web – l’autorité de certification qui l’a délivré propose une liste en ligne qui recense les certificats invalides. Un navigateur, ou tout autre dispositif qui s’appuie sur le certificat (pour la signature numérique par exemple) se doit de contrôler la présence du certificat présenté sur une telle liste avant de l’accepter.

  Contrairement au certificat de mariage, le certificat numérique a donc une durée limitée.

Logiciel malveillant conçu pour causer des dommages à un système informatique et qui est déclenché lorsque certaines conditions sont réunies.

Remarques : Certains virus contiennent une fonction de bombe logique : déclenchement à date fixe, déclenchement quand une adresse réticulaire (URL) particulière est renseignée dans le navigateur, etc.

Il s’agit de systèmes de protection qui s’installent sur un ordinateur et qui permettent notamment de bloquer l’accès aux sites inappropriés aux plus jeunes. Certains permettent également de paramétrer l’accès à l’internet (plages horaires, durée, applications…). Tout ordinateur personnel utilisé par un mineur devrait en être équipé (voir résultats du comparatif des principaux logiciels existants sur le marché)

Voir aussi:

• Pare-feu (Firewall)

Promulguée le 18 décembre 2013, la loi de programmation militaire fait suite aux orientations fixées par le Livre blanc sur la défense et la sécurité nationale 2013. Elle constitue l’outil législatif qui va permettre aux opérateurs d’importance vitale pour la Nation, qu’ils soient privés ou publics, de mieux se protéger et à l’ANSSI de mieux les soutenir en cas d’attaque informatique.

L’article 22 en particulier confère à l’ANSSI de nouvelles prérogatives : l’agence, au nom du Premier Ministre pourra imposer aux OIV des mesures de sécurité et des contrôles de leurs systèmes d’information les plus critiques.

Voir aussi:

• Opérateur d’importance vitale
• Systèmes d’information d’importance critique

• Une macro (abréviation de « macro-commande ») est une suite de commandes destinées à être jouées automatiquement au lieu d’être lancées individuellement par l’utilisateur. En SSI, le terme fait le plus souvent référence aux macro-commandes intégrées dans les documents de la suite Office de Microsoft. Cette fonctionnalité, bien que légitime, a depuis longtemps été détournée par les cybercriminels afin de permettre la prise de contrôle de la machine de l’utilisateur à l’ouverture d’un document Office piégé. Désormais, les macro-commandes de Microsoft Office ne sont plus activées par défaut, et il faut donc que l’utilisateur lui-même les autorise pour qu’elles s’exécutent. Cela passe le plus souvent par une forme d’ingénierie sociale (voir « ingénierie sociale ») telle qu’un message indiquant que le document est protégé et qu’il est nécessaire d’activer les macro-commandes pour accéder à son contenu.

  Pour la brigade de répression du proxénétisme, en revanche, les macros ne commandent pas.

Envoi d’une grande quantité de courriels à un destinataire unique dans une intention malveillante.

Remarques : Forme particulière de déni de service contre les systèmes de courriers électroniques.

Action qui consiste à parcourir un grand nombre de ressources publiques (pages internet, groupes de discussion, etc.), afin d’y collecter les adresses électroniques avec des intentions malveillantes.

Remarques : Les adresses récupérées sont utilisées, par exemple, pour envoyer des courriels contenant des virus, des canulars ou des pourriels. Une méthode pour s’en prémunir est de présenter sur ces ressources publiques une adresse électronique qui trompe les outils de recherche (comme prenom.nom_AT_domain.fr pour les outils cherchant ’@’, caractéristique d’une adresse) ; ceci est appelé address munging.

Voir aussi:

• Canular (Hoax)
• Courriel (e-mail, mail)
• Pourriel, polluriel (spam)

Tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau.

Remarques : Les virus ou les vers sont deux types de codes malveillants connus.

Voir aussi:

• Rançongiciel (Ransomware)
• Outils de dissimulation d’activité (Rootkit)
• Ver (Worm)
• Virus
• Vulnérabilité (Vulnerability)

Catégorie d’attaque où une personne malveillante s’interpose dans un échange de manière transparente pour les utilisateurs ou les systèmes.

Remarques : La connexion est maintenue, soit en substituant les éléments transférés, soit en les réinjectant. Une attaque connue dans cette catégorie repose sur une compromission des tables ARP (ARP Poisoning). Contrer les attaques par le milieu est aussi l’un des objectifs des infrastructures de gestion de clés

Logiciel permettant de dialoguer en direct avec une liste connue d’amis.

Outil en licence Libre permettant de développer et de déployer des attaques informatiques basées sur des vulnérabilités connues. Metasploit est très utilisé par les consultants en sécurité aussi bien que par les pirates. Il est régulièrement mis à jour afin d’intégrer des vulnérabilités rendues publiques. L’outil est très modulaire et permet de créer de nouvelles capacités d’attaques (il n’est d’ailleurs désormais pas rare qu’une nouvelle vulnérabilité soit publiée avec son module Metasploit). L’outil existe en une version communautaire sous licence Libre, mais aussi en deux versions commerciales, dotées de fonctionnalités spécifiques.

Vous comprenez désormais que la « sploit » n’est pas le nouvel uniforme des pentesteurs que vous croyez avoir entendu dire « mets ta sploit ».

Le fameux MFA, on le voit fleurir partout ! L’authentification multi-facteurs a le vent en poupe et ce n’est pas pour nous déplaire. Le principe st simple : on valide l’identité de la personne qui se connecte une seconde fois (après qu’elle ait renseigné son login et son mot de passe), à l’aide d’une notification, d’un QR code, d’un code unique… C’est un principe que l’on retrouve déjà massivement sur nos applications bancaires. Grâce à l’authentification multi-facteurs, on évite au maximum les tentatives de connexion frauduleuses, c’est en quelque sorte le rempart ultime à l’usurpation  d’identifiants. Un petit clic pour l’homme, une grande barrière pour les hackers.

Modèle capable de réaliser une prédiction quant à l’appartenance à une classe pour des données nouvelles sur la base d’un apprentissage réalisé auparavant sur un jeu de données d’entraînement.

Le modèle d’IA est la construction mathématique générant une déduction ou une prédiction à partir de données d’entrée. Le modèle est estimé à partir de données annotées lors de la phase d’apprentissage (ou d’entraînement) du système d’IA.

Un système de détection d’intrusion réseau observe le trafic sur une branche du réseau (généralement depuis une position stratégique) afin d’y repérer des tentatives d’attaques, soit à partir de signatures (pour les attaques connues) soit en identifiant les comportements anormaux. La famille des systèmes d’intrusion (IDS) comprend ainsi les NIDS sur le réseau et les HIDS (pour Host-based intrusion detection system) sur les postes de travail.

La maréchaussée observe elle aussi le trafic à la recherche des comportements anormaux. Mais nous nous désolidarisons de toute blague au sujet des NIDS de poules sur la route.

La directive NIS est un texte européen voté en juillet avec pour objectif d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes de l’Union européenne. La transposition française identifie notamment deux types d’acteurs principaux concernés par cette loi : les opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN : les places de marché, les moteurs de recherche et les opérateurs de services Cloud). Les entreprises concernées par la directive NIS seront accompagnées par l’ANSSI et devront répondre à des exigences de sécurité spécifiques (plus légères toutefois que celles des OIV).

Les opérateurs de services essentiels français (OSEF) ont déjà fait savoir qu’ils se moquaient totalement de cette nouvelle directive.

Le traitement automatique du langage naturel est un domaine multidisciplinaire impliquant la linguistique, l’informatique et l’intelligence artificielle.

Il vise à créer des outils de capable d’interpréter et de synthétiser du texte pour diverses applications.

La non-répudiation est l’une des propriétés de l’information considérées en cybersécurité (avec la confidentialité, l’intégrité et la disponibilité). Elle consiste en l’assurance qu’une action sur la donnée réalisée au nom d’un utilisateur (après authentification) ne saurait être répudiée par ce dernier. Tout comme la confidentialité et l’intégrité, la non-répudiation s’appuie sur des mécanismes de chiffrement.

En France, les époux d’un mariage sont aussi considérés comme non répudiables. Méfiez-vous si l’on vous assure le contraire !

NTP est un protocole réseau chargé d’assurer la synchronisation du temps à travers un réseau. Mais pourquoi parler de temps en matière de cybersécurité ? Parce que l’accès à un temps précis est une condition indispensable au bon fonctionnement de l’authentification de type « One Time Password », dans laquelle les mots de passe ont une durée de vie limitée. L’heure doit être synchronisée très précisément entre l’infrastructure d’authentification et les dispositifs déportés affichant les mots de passe uniques. Durant les investigations numériques, également, il est important de disposer d’horaires fiables et harmonisés à travers tous les journaux d’événement afin de pouvoir suivre les traces de l’intrus.

Une mauvaise synchronisation du temps fait passer la méthode d’authentification de « OTP » à « OQP » (il faut bien reconnaître que les blagues de geek ne sont pas toujours les meilleures…)

L’« obfuscation » de code, que l’on peut traduire par « dissimulation », est une technique qui consiste à rendre un code informatique le plus difficilement compréhensible possible par un être humain, tout en le laissant bien entendu parfaitement fonctionnel. L’objectif est de faire perdre du temps à l’analyste qui tente de comprendre ce que fait réellement le programme étudié, jusqu’à potentiellement le pousser à abandonner si le temps nécessaire à l’analyse ne rend plus rentable l’exploitation du code révélé. L’obfuscation de code est utilisée aussi bien dans des codes malveillants (pour dissimuler leurs capacités) que dans des logiciels du commerce (pour protéger les algorithmes ou toute autre propriété intellectuelle)

Le concept de la boucle OODA (Observe, Orient, Decide, Act) a été inventé en 1960 par le pilote de chasse américain John Boyle (également l’un des pères du chasseur F16). Ce dernier a ainsi modélisé la séquence d’action qui, selon lui, permet de « penser et agir plus vite que l’adversaire » et d’emporter la victoire. Cette approche a depuis été adapté au monde de l’économie et reprise récemment dans le domaine de la cybersécurité, en particulier dans le contexte de la réponse à incident. La nature dynamique de la réponse à incident et la présence d’un adversaire à contrer se prête tout à fait à une telle approche.

Et maintenant, vous ne pourrez plus voir un « incident responder » sans l’imaginer sautant partout dans un costume jaune en chantant « Huba huba Loop » !

Le modèle OSI (Open Systems Interconnection) est un modèle réseau initié à la fin des années 1970 afin de permettre l’interconnexion de systèmes numériques différents et donc, jusqu’à présent, incapables d’échanger entre eux. L’aspect le plus significatif du modèle OSI pour la cybersécurité est sa définition du concept de couches d’abstraction (chacune s’appuyant sur celle en dessous pour fournir un service à celle au-dessus), qui permet de définir quelles menaces s’appliquent et quelle technologie de filtrage doit être positionnée (voir « Layers » pour plus de détails sur les couches du modèle OSI)

Ce modèle n’a pas beaucoup évolué avec le temps, car il ne saurait être remis en question : OSI qui mal y pense…

Le renseignement en sources ouvertes n’a rien de strictement cyber : le terme désigne tout simplement l’exploitation de sources d’information accessibles à tout un chacun (journaux, sites web, conférences…) à des fins de renseignement. Cependant, l’essentiel de ces informations existe désormais sous une forme numérique, et les systèmes informatiques permettent leur découverte et leur traitement de manière automatique et massive. Dans le domaine de la cybersécurité, l’OSINT permet notamment aux attaquants de mener des reconnaissances efficaces contre leurs victimes (individus comme entreprises). Les informations ainsi collectées contribuent notamment à rendre plus crédible l’escroquerie. Le renseignement en sources ouvertes est aussi un outil important du monde du renseignement économique.

Lire la presse à longueur de journée et écouter les brèves de comptoir au PMU local est peut-être une forme d’OSINT efficace, mais difficile à valoriser…

Dans le domaine de l’intelligence artificielle, le surapprentissage entraîne un modèle qui correspond trop précisément à une collection particulière de données utilisées pour l’entrainement. Cette analyse risque de ne pas correspondre à des données utilisées en phase de production et donc de ne pas permettre une utilisation fiable du système d’IA.

Dans le domaine de l’intelligence artificielle, le paramètre est la propriété apprise des données utilisées pour l’entraînement (par exemple le poids de chaque neurone d’un réseau).

Le partitionnement de données (clustering en anglais) est une méthode ayant pour but de diviser un ensemble de données en différents sous-ensembles homogènes, c’est-à-dire partageant des caractéristiques communes.

Ces caractéristiques reposent sur des critères de proximité définis en introduisant la notion de distance entre les objets.

Les « Prestataires d’audit de la sécurité des systèmes d’information qualifiés » sont des entreprises de cybersécurité spécialisées dans l’audit ayant été qualifiées par l’État français, à travers le programme des Visas de Sécurité de l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI). Devenir PASSI représente un investissement non négligeable, notamment en temps, de la part de l’entreprise candidate, mais constitue un gage de qualité et un bon différenciateur commercial.

Ne dites jamais à une société fraîchement qualifiée : « tu vois, ce n’était PASSI compliqué… »

Un mot de passe est un élément de déverrouillage servant dans la vérification de l’identité annoncée d’une personne par un système d’information.

Réseau d’échange et de partage de fichiers de particulier à particulier (exemples : e-mule, kasaa, limewire, eDonkey).

Le PenTest est un test de pénétration dans le système d’information, qui vise à en déceler les failles des systèmes de protection informatique. Imaginons de faux pirates tentant de vous hacker. Une entreprise complice donne la mission à ses experts de rentrer dans le système d’information par tous les moyens possibles (phishing, malware, intrusion dans les failles, usurpation d’identité…). Le but est de mettre en évidence les faiblesses mais aussi de tester les réflexes des collaborateurs. Un rapport complet des points de douleurs de la structure en ressort, pour pouvoir par la suite mettre en place des actions correctives.

Ensemble organisé de composantes fournissant des services de gestion des clés cryptographiques et des certificats de clés publiques au profit d’une communauté d’utilisateurs.

Code écrit pour démontrer la faisabilité d’une attaque utilisant une vulnérabilité donnée.

Remarques : Ce code de démonstration n’est généralement pas malveillant. Il est souvent écrit pour inciter l’éditeur à produire un correctif pour la vulnérabilité. Toutefois, il est évident qu’un code malveillant peut être développé par la suite, à partir de ce code rendu public.

Le concept de clé publique / clé privée est au cœur de la notion de chiffrement asymétrique. Il s’agit d’une révolution mathématique qui a permis les communications sécurisées entre deux entités incapables de s’échanger de manière sûre via une clé de chiffrement au préalable. La clé publique d’un utilisateur ne permet que de chiffrer des messages à son intention, et peut donc être diffusée largement, auprès de quiconque peut vouloir communiquer avec lui. Seule la clé privée correspondante (qui doit donc être, elle, protégée) permet d’accéder au contenu des messages. En inversant la procédure (chiffrer avec la clé privée et déchiffrer avec la clé publique), il est possible de garantir qu’un message provient bien du propriétaire de la clé privée en question. Ce mécanisme, associé à un algorithme de hashage, est la base de la signature électronique.

Non, ce n’est pas parce que vous pouvez désormais expliquer la différence entre clé privée et clé publique que vous êtes autorisé à dire « crypter ». Toujours pas.

Obtention de privilège supérieur par exploitation d’une vulnérabilité. Par exemple, si un utilisateur local accède à des droits normalement réservés à l’administrateur, il y a élévation de privilège. Une élévation de privilège est souvent recherchée par une personne malveillante lorsqu’elle a réussi à s’introduire sur un système d’information en usurpant l’identité d’un utilisateur légitime.

La communication sur l’internet est fondée sur un protocole appelé IP pour Internet Protocol qui permet aux ordinateurs de communiquer entre eux. Ce protocole utilise des adresses numériques pour distinguer ces machines et tronçonne la communication en paquets comportant chacun une adresse de source et une adresse de destination. La version la plus couramment employée du protocole est la version IPv4 dans laquelle les adresses sont composées de 4 nombres par exemple 213.56.176.2. Une nouvelle version du protocole est en cours de déploiement : IPv6. Elle utilise des adresses plus longues composées de 8 nombres notés en hexadécimal par exemple 1 fff:0000:0a88:85a3:0000:0000:ac1f:8001. Enfin IPsec désigne un protocole de chiffrement et de signature des paquets IP.

La publicité ciblée (ou personnalisée) est une technique publicitaire qui vise à identifier les personnes individuellement afin de leur diffuser des messages publicitaires spécifiques en fonction de caractéristiques individuelles.

Elle nécessite donc de connaître la personne consultant la publicité et de disposer d’informations sur elle afin de choisir un contenu publicitaire plus susceptible de la faire interagir, par exemple concernant l’un de ses centres d’intérêt supposés ou une intention d’achat. Pour cela, les acteurs de la publicité constituent des « profils » qui sont associés aux utilisateurs.

Sur Internet, ces informations sur les intérêts de la personne sont souvent obtenues via des traceurs comme des cookies, ou bien sont achetées à des tiers. En raison de l’impossibilité de traiter toutes ces informations manuellement, la publicité ciblée est presque exclusivement programmatique.

Publicité ciblée en ligne : quels enjeux pour la protection des données personnelles ?

La publicité contextuelle est une technique publicitaire qui vise à diffuser sur un support (web, télévision) des publicités choisies en fonction du contexte dans lequel le contenu publicitaire est inséré.

Par exemple, les constructeurs automobiles vont préférer placer leurs contenus publicitaires dans un journal spécialisé sur les automobiles.

Cette technique publicitaire est loin d’être nouvelle puisqu’elle est historiquement employée dans les média papier, audiovisuels ou par affichage. L’intérêt de ce type de publicité est qu’il ne nécessite pas de disposer d’informations sur la personne consultant la publicité.

Sur Internet, la gestion de ces publicités peut néanmoins nécessiter d’utiliser des traceurs, comme des cookies de capping ou de lutte contre la fraude au clic pour être correctement valorisée.

Pour la diffusion de campagnes publicitaires, notamment ciblées, l’achat d’inventaires ne peut généralement pas se faire au cas par cas.

La publicité programmatique permet donc de planifier l’achat automatique d’éléments d’inventaire selon des critères prédéfinis (prix, caractéristiques de l’audience, géolocalisation…). Un type prévalent de publicité programmatique est l’enchère en temps réel.

La qualification est « la recommandation par l’État français de produits ou services de cybersécurité éprouvés et approuvés par l’ANSSI ». La démarche entre dans le cadre du programme des Visas de Sécurité de l’ANSSI. Les entreprises soumises au régime des opérateurs d’importance vitale (OIV) ont pour obligation d’avoir recourt à des produits et des fournisseurs qualifiés pour leur périmètre d’importance vitale.

Contrairement au football, les qualifications de l’ANSSI ne sont pas rejouées chaque année. Même si le débauchage des experts en cybersécurité a tout d’un mercato.

Le ransomhack: un logiciel de chantage à la non-conformité

Inspiré du ransomware, le ransomhack est un programme informatique permettant de s’introduire dans un système de traitement automatisé de données (STAD). Cependant, et à la différence du ransomware, le ransomhack ne chiffre pas les données pour en bloquer l’accès, mais menace de les rendre publiques si la victime ne paie pas la rançon imposée par le cybercriminel.

Or, nombreuses sont les entreprises en non-conformité avec la réglementation européenne sur la protection des données. Les rançons demandées s’évaluant entre 1000 et 20 000 dollars, la tentation peut être, alors, forte pour les entreprises victimes de payer une telle somme, en échange du silence de leur bourreau.

Les sanctions imposées par le RGPD en cas de manquements (jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros) sont telles que la victime pourrait penser qu’il serait plus rentable de payer que de se faire condamner par la CNIL.

En outre, les dispositions de l’article 33 du RGPD imposent aux entreprises victimes d’une violation de leur STAD de déclarer l’incident dans les 72 heures. Mais la victime d’une attaque informatique ne sera pas nécessairement sanctionnée par la CNIL. Elle devra, ainsi, démontrer aux autorités de contrôle qu’elle a pris les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque avant d’être attaquée.

Cependant, si l’entreprise victime a payé la rançon demandée par le cybercriminel, elle ne pourra plus se prévaloir de cette excuse auprès de la CNIL.

En France, les attaques informatiques par ransomware ne cessent d’augmenter. En 2017, 420 procédures ont été initiées, mais ce chiffre est encore très éloigné de la réalité numéraire de ces attaques.

Les infractions de cybercriminalités sont donc aussi nombreuses qu’il existe de cybercriminels. Autant de comportements que d’acteurs, les services de lutte contre la cybercriminalité n’ont de cesse que de mener des campagnes de prévention et d‘orientation à destination des entreprises.

Forme d’extorsion imposée par un code malveillant sur un utilisateur du système.

Le terme « rançongiciel » (ou ransomware en anglais) est une contraction des mots « rançon » et « logiciel ». Il s’agit donc par définition d’un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon.

Pour y parvenir, le rançongiciel va empêcher l’utilisateur d’accéder à ses données (fichiers clients, comptabilité, factures, devis, plans, photographies, messages, etc.), par exemple en les chiffrant, puis lui indiquer les instructions utiles au paiement de la rançon.

Lorsqu’un rançongiciel infecte un poste de travail, le plus souvent (mais pas nécessairement) par l’envoi d’un courrier électronique piégé, l’infection est dès lors susceptible de s’étendre au reste du système d’information (serveurs, ordinateurs, téléphonie, systèmes industriels, etc. ).

La reconnaissance faciale est une technique qui permet à partir des traits de visage :

• D’authentifier une personne : c’est-à-dire,  vérifier qu’une personne est bien celle qu’elle prétend être (dans le cadre d’un contrôle d’accès)
• ou
• D’identifier une personne : c’est-à-dire, de retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données.

En pratique, la reconnaissance peut être réalisée à partir d’images fixes (photos) ou animées (enregistrements vidéo) et se déroule en deux phases :

1. A partir de l’image, un modèle ou « gabarit » qui représente, d’un point de vue informatique, les caractéristiques de ce visage est réalisé. Les données extraites pour constituer ce gabarit sont des données biométriques au sens du RGPD (article 4-14).
2. La phase de reconnaissance est ensuite réalisée par la comparaison de ces modèles préalablement réalisés avec les modèles calculés en direct sur des visages présents sur l’image candidate.

Dans le cas de l’authentification, le système vérifie si l’identité prétendue est bien la bonne en comparant le modèle du visage présenté au modèle préalablement enregistré correspondant à l’identité prétendue.

Dans le cas de l’identification, le système vérifie si le modèle du visage présenté correspond à l’un des modèles contenus dans la base de données. Les résultats de la comparaison correspondent à celui ou ceux présentant le score de similarité le plus élevé parmi ceux dépassant un certain seuil pré‑déterminé.

La reconnaissance faciale ne doit pas être confondue avec la détection de visage qui caractérise la présence ou non d’un visage dans une image indépendamment de la personne à qui il appartient.

Cette technologie n’en est désormais plus à ses balbutiements. Les enjeux de protection des données et les risques d’atteintes aux libertés individuelles que de tels dispositifs sont susceptibles d’induire sont considérables, dont notamment la liberté d’aller et venir anonymement. Tout projet d’y recourir devra à tout le moins faire l’objet d’une analyse d’impact relative à la protection des données (AIPD).

Méthode permettant de diminuer la quantité d’information en ne conservant que le strict nécessaire, permettant ainsi d’obtenir plus d’efficacité en termes de résultats et de temps d’analyse.

Cette réduction de l’information utile peut se faire par sélection des caractéristiques les plus pertinentes ou par création de nouvelles caractéristiques plus appropriées que celles de départ.

La remédiation est la phase qui suit l’identification d’un risque ou le traitement d’un incident. Il s’agit de l’ensemble des actions apportées afin de limiter l’impact du risque ou de l’incident. Ces mesures sont consignées dans un plan de remédiation, ou définies de manière ad hoc par l’équipe de réponse à incident.

Il ne s’agit donc pas d’une médiation avec l’attaquant…

En informatique, capacité d’un système d’information à résister à une panne ou à une cyberattaque et à revenir à son état initial après l’incident.

Le retargeting est une technique de publicité ciblée dans laquelle les informations collectées sur l’utilisateur servent à identifier un produit ou service pour lequel il a exprimé un intérêt (par exemple en visitant un site de e-commerce ou bien en ajoutant un objet à son panier).

Une fois cet intérêt identifié, des publicités relatives à celui-ci sont alors proposées à l’utilisateur, afin de l’inciter à finaliser son acte d’achat.

Les puces RFID permettent d’identifier et de localiser des objets ou des personnes. Elles sont composées d’une micropuce (également dénommée étiquette ou tag) et d’une antenne qui dialoguent par ondes radio avec un lecteur, sur des distances pouvant aller de quelques centimètres à plusieurs dizaines de mètres. Pour les applications dans la grande distribution, leur coût est d’environ 5 centimes d’euros. D’autres puces communicantes, plus intelligentes ou plus petites font leur apparition avec l’avènement de l’internet des objets. Certains prototypes sont quasi invisibles (0,15 millimètre de côté et 7,5 micromètres d’épaisseur) alors que d’autres, d’une taille de 2 mm2, possèdent une capacité de stockage de 512 Ko (kilo-octets) et échangent des données à 10Mbps (méga bits par seconde).

Le « Référentiel Général de Sécurité » est un texte applicable aux autorités administratives, qui a pour objectif d’imposer des règles de sécurité relatives aux services exploités dans le cadre de leurs échanges électroniques avec les usagers. Le texte concerne notamment des fonctionnalités sensibles telles que la certification et l’horodatage électroniques, l’authentification ou l’audit de sécurité. Le RGS a été conçu par l’ANSSI et est entré en vigueur par ordonnance du 8 décembre 2005.

Les mauvais esprits ont longtemps prétendu que RGS signifiait « Règlement Grandement Symbolique »

Dans le domaine de l’intelligence artificielle, la résilience est la capacité du système à maintenir sa conformité à des exigences de performance et/ou de sécurité en présence de données d’entrée extérieures à son domaine d’emploi (par exemple en raison d’un défaut sur un capteur).

L’utilisateur « Root » est, dans les systèmes POSIX (dont Unix ou Linux, mais aussi MacOS) un utilisateur privilégié disposant des droits nécessaires pour administrer l’intégralité du système (bien que les dernières versions de MacOS se soient légèrement éloignées de ce modèle). De par les privilèges dont il jouit, le compte root est bien entendu une cible de choix pour un attaquant.

Si votre administrateur système vous dit qu’il s’apprête à « tailler la root », espérons qu’il ne parle de pas de sa collègue de bureau…

Tout programme ou ensemble de programmes permettant de dissimuler une activité, malveillante ou non, sur une machine. Par extension, tout programme ou ensemble de programmes permettant à une personne malveillante de maintenir un contrôle illégitime du système d’information en y dissimulant ses activités. Par extension, programme ou ensemble de programmes permettant de dissimuler une activité, malveillante ou non, sur une machine. L’activité dissimulée peut être une activité sur le système de fichiers (création, lecture, écriture), une activité réseau, une activité en mémoire. Pour cela, un rootkit peut travailler dans l’environnement de l’utilisateur, sans droits particuliers, ou en profondeur dans le système d’exploitation, nécessitant par conséquent des droits d’exécution élevés.

Remarques : L’installation de ces programmes nécessite que le système soit préalablement compromis (cheval de Troie, intrusion). Ces programmes modifient souvent les commandes usuelles de l’administrateur, afin de dissimuler toute trace de leur présence. Ils effectuent aussi fréquemment plusieurs opérations au niveau du noyau du système d’exploitation, comme l’installation de portes dérobées, la capture des frappes clavier, etc. Un outil de dissimulation d’activité n’a pas pour but d’offrir un accès quelconque à la machine hôte. En revanche, la plupart de ces outils malveillants embarquent des fonctionnalités de porte dérobée permettant à l’auteur un accès à distance et un maintien sur le système compromis.

Voir aussi:

• Capteur clavier, enregistreur de frappes (Keylogger, keystroke logger)
• Cheval de Troie (Trojan Horse)
• Code malveillant, logiciel malveillant (Malicious software, malware)

Le responsable de la sécurité des systèmes d’information pilote la cybersécurité sur son périmètre (l’entreprise dans sa totalité si celle-ci n’a pas nommé de Directeur cybersécurité, ou bien des périmètres fonctionnels, géographiques, etc.). Son positionnement (dans la DSI ? Près des Risques ?) ainsi que son niveau hiérarchique (pourquoi juste « responsable » ? Doit-il avoir accès au COMEX en l’absence d’un Directeur cybersécurité ?) font l’objet de nombreux débats. En France, le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) ou le Club de la sécurité de l’information français (CLUSIF) sont les deux associations qui portent les intérêts des RSSI et alimentent le débat sur ces sujets.

Un jour, quelqu’un a dit que le RSSI était « celui qui mange seul à la cantine ». Ce à quoi le responsable du contrôle interne a répondu : « au moins, il mange… »

Le real-time bidding est un type de publicité programmatique qui repose sur la mise aux enchères de chaque impression de manière indépendante.

Lorsqu’un utilisateur consulte une page web avec un espace publicitaire, celui-ci est mis aux enchères à un ensemble d’acheteurs potentiels. Ces derniers peuvent consulter des informations sur l’utilisateur et les croiser avec l’éventuel profil publicitaire qu’ils détiennent sur lui pour évaluer l’intérêt d’afficher une publicité à son attention et donc déterminer le prix qu’ils sont éventuellement prêts à payer pour cela. Le publicitaire avec l’enchère la plus haute l’emporte et peut donc afficher sa publicité à l’utilisateur. Ce processus prend en général quelques centaines de millisecondes.

Pour plus de détails, voir l’article sur les enchères en temps réel sur le site du LINC.

Le responsable de la sécurité des systèmes d’information pilote la cybersécurité sur son périmètre (l’entreprise dans sa totalité si celle-ci n’a pas nommé de Directeur cybersécurité, ou bien des périmètres fonctionnels, géographiques, etc.). Son positionnement (dans la DSI ? Près des Risques ?) ainsi que son niveau hiérarchique (pourquoi juste « responsable » ? Doit-il avoir accès au COMEX en l’absence d’un Directeur cybersécurité ?) font l’objet de nombreux débats. En France, le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) ou le Club de la sécurité de l’information français (CLUSIF) sont les deux associations qui portent les intérêts des RSSI et alimentent le débat sur ces sujets.

Un jour, quelqu’un a dit que le RSSI était « celui qui mange seul à la cantine ». Ce à quoi le responsable du contrôle interne a répondu : « au moins, il mange… »

Le Security Operations Center est la « tour de contrôle » de la cybersécurité de l’entreprise ! Il s’agit d’une équipe chargée de superviser les différents équipements du système d’information et de traiter les alertes que ceux-ci émettent durant leur fonctionnement quotidien (peu importe que les alertes viennent de l’antivirus, d’un serveur ou d’un équipement de routage réseau… tant qu’elles peuvent remonter jusqu’au SOC !). Une fois les alertes reçues, l’équipe d’experts du SOC doit alors les vérifier, qualifier la menace éventuelle et donner l’alerte. L’outil principal des analystes SOC est le SIEM, qui collecte et centralise les milliers d’événements générés par le système d’information.

Non, l’outil principal du SOC n’est pas la charrue…

Tout courrier électronique non sollicité par le destinataire.

Remarques : Le courrier est souvent envoyé simultanément à un très grand nombre d’adresses électroniques. Les produits les plus vantés sont les services pornographiques, la spéculation boursière, des médicaments, le crédit financier, etc.

Voir aussi:

• Hameçonnage (Phishing)

En cybersécurité, le terme spoofing (« usurpation » en anglais) est utilisé pour désigner l’imitation de la source d’un message (email, SMS) ou d’une connexion (adresse IP). Il existe pour cela différentes méthodes, mais toutes ont en commun d’exploiter le fait que les protocoles sur lesquels reposent les messages en question n’ont pas été conçus pour garantir l’authentification des sources. De nouveaux protocoles, ou les évolutions de ceux existants tentent désormais de prendre en compte cette menace par des procédés d’authentification cryptographiques.

 « spoof » fait votre compte en banque après que vous ayez confié vos identifiants à un message spoofé

La segmentation des données est une méthode permettant la division d’un corpus de données en plusieurs ensembles (par exemple d’entraînement, de validation et de test), soit à partir de critères objectifs (date, âge, etc.) soit de manière aléatoire.

La ville intelligente est un nouveau concept de développement urbain. Il s’agit d’améliorer la qualité de vie des citadins en rendant la ville plus adaptative et efficace, à l’aide de nouvelles technologies qui s’appuient sur un écosystème d’objets et de services. Le périmètre couvrant ce nouveau mode de gestion des villes inclut notamment : infrastructures publiques (bâtiments, mobiliers urbains, domotique, etc.), réseaux (eau, électricité, gaz, télécoms) ; transports (transports publics, routes et voitures intelligentes, covoiturage, mobilités dites douces – à vélo, à pied, etc.) ; les e-services et e-administrations.

Le compteur communicant est une des composantes des réseaux de distribution d’énergie intelligents (également désignés sous les termes anglais de smart grids ). Ces réseaux utilisent des moyens informatiques évolués afin d’optimiser la production et l’acheminement de l’électricité, notamment grâce à la télétransmission d’informations relatives à la consommation des personnes. Cette télétransmission aura notamment pour conséquence de supprimer la relève physique des compteurs.

Outil matériel ou logiciel dont l’objet est de capturer les trames transitant sur le réseau.

Remarques : Si les trames contiennent des données non chiffrées, un utilisateur malveillant peut aisément récupérer des données confidentielles, comme des mots de passe, des courriers électroniques, des contenus de pages internet, etc. L’utilisateur malveillant peut aussi, à partir des trames, récupérer des informations sur les systèmes échangeant les trames, comme le système d’exploitation ou les services employés.

Manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes.

Remarques : Il s’agit, pour les personnes malveillantes usant de ces méthodes, d’exploiter le facteur humain, qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d’information.

Qu’est-ce que c’est ?

« Illusion is everything » – Bernz
C’est une technique qui a pour but d’extirper des informations à des personnes sans qu’elles ne s’en rendent compte. Contrairement aux autres attaques, elle ne nécessite pas de logiciel. La seule force de persuasion est la clé de voûte de cette attaque. Il y a quatre grandes méthodes de social engineering : par téléphone, par lettre, par internet et par contact direct.

Par téléphone

Le hacker vous contactera par téléphone. C’est la technique la plus facile. Son but est d’avoir le renseignement le plus rapidement possible. Un bon hacker aura préparé son personnage et son discours. Il sera sûr de lui. Il sera très persuasif dans le timbre de sa voix. Certains hackers ont quelques techniques pour parfaire leur crédibilité, comme jouer sur un magnétophone une cassette préalablement enregistrée de bruits de bureau, ou encore utiliser un matériel qui change le timbre de la voix pour imiter celle d’une secrétaire.

Comment parer cette méthode ?

Si vous recevez un coup de fil d’une personne que vous ne connaissez pas : Ne donnez aucun renseignement. Restez dans le vague, et débarrassez vous de lui : soit vous mettez un terme à cet appel, soit demandez une confirmation par écrit (par fax) de la demande. Par fax, on obtient le numéro appelant, et il est donc facile de l’identifier. Et ainsi, on garde une trace écrite, cela pouvant être d’une grande importance pour déposer une plainte.
Malheureusement, un bon hacker vous aura étudié avant, et se fera passer pour un client, un fournisseur, ou un de vos collègue situé dans un autre bureau dans le cas d’une grande entreprise. Pire encore, il attaquera au moment le plus propice pour lui : par exemple, lorsque le responsable d’un client est en vacances. Il devient très dur alors, de se douter d’une mauvaise intention…

Par lettre

Le hacker vous fera une lettre très professionnelle. Au besoin, il n’hésitera pas à voir un imprimeur pour avoir du papier à lettre comportant un logo, un filigrane, téléphone, fax, mail… Il utilisera très certainement une boîte postale pour l’adresse de sa société fictive.

Comment parer cette méthode ?

L’idéal serait de filtrer tout le courrier entrant de l’entreprise. Pour chaque source inconnue de l’entreprise, il faudrait faire une vérification de l’existence réelle de celle-ci.

Par internet

Le social engineering par internet est semblable à celui par téléphone. Le hacker se fera facilement passer pour un opérateur système, un responsable informatique ou un ingénieur système.

Comment parer cette méthode ?

Comme pour le téléphone, ne donnez pas de renseignements à quelqu’un que vous ne connaissez pas. Mais par internet, c’est plus facile de donner de la crédibilité, tant il y a de noms de domaines et d’adresses mails farfelus. Il n’est donc pas facile de faire la part des choses. Une bonne étude de la gestion de l’extranet et de la mise en place d’une structure matérielle et personnelle adéquate est la meilleure solution.

Par contact direct

C’est le social engineering le plus dur de la part du hacker. Il sera équipé pour que vous n’y voyez que du feu : costard, cravate, très classe, très propre, attaché-case , agenda rempli, documents divers, carte de visite, badge… Si le hacker prend de tels risques, c’est qu’il est déterminé à obtenir les renseignements souhaités. Il sera donc très persuasif.

Comment parer cette méthode ?

Cela est très difficile, car vous avez été directement confronté au charisme du hacker. S’il a réussi, vous êtes persuadé de son honnêteté. Cependant, lors d’une discussion, n’hésitez pas à demander un maximum de renseignements « concrets » (nom de votre interlocuteur, nom et adresse de la société, etc), pour, par la suite, vérifier auprès des organismes compétents l’existence réelle de votre interlocuteur. N’hésitez pas à téléphoner à la société pour savoir si la personne existe, et si elle est au courant qu’elle vous a vu ces dernières heures…

Conclusion

Il ne faut pas perdre de vue que le hacker ne se limitera pas à une seule de ces techniques, mais au contraire, utilisera une combinaison de ces quatre méthodes. Par exemple : téléphoner pour obtenir un rendez-vous, confirmer par écrit, et passer une heure en votre compagnie…
Il est important, de la part d’une entreprise, de former le personnel à ce problème. Un bon hacker s’attaquera à la personne la plus faible de l’entreprise, à savoir le personnel non technique (secrétaires, comptables…) et les personnes récemment recrutées.

Les supply-side platforms sont les intermédiaires permettant aux éditeurs de contenus sur le web de commercialiser leurs inventaires publicitaires. Elles mettent ensuite ces inventaires en vente sur des plateformes d’échanges publicitaires, par exemple en enchères en temps réel.

Pour plus de détails, voir l’article sur les enchères en temps réel sur le site du LINC.

On appelle tâche d’administration d’un système d’information les opérations de configuration et de gestion d’une ressource du système d’information : installation, gestion des configurations, maintenance, évolution du système d’information administré, supervision ou gestion de la sécurité.

Dans le domaine de l’intelligence artificielle, le test est un processus consistant à évaluer les performances d’un système et à rechercher des erreurs liées à l’exécution d’un algorithme ou d’un programme en s’appuyant sur des jeux de données d’entrée n’ayant pas été utilisés lors de la phase d’entraînement.

Un test d’intrusion est une prestation d’intrusion cyber menée avec l’accord de l’entreprise « victime », afin de lui permettre d’évaluer ses défenses. Le test porte sur un périmètre bien défini (une application, un réseau…) et précise les conditions d’exécution : avec un accès préalable ou non, avec connaissance ou non du fonctionnement de l’application, etc. Le tout est encadré par un contrat, qui précise également les URL ou plages d’adresses IP qui font partie du test, ainsi que celles qui seront utilisées par l’attaquant. Ce dernier est le plus souvent employé d’une société de cybersécurité spécialisée, mais il peut aussi être indépendant et adossé à une société de Bug Bounty.

Le soir, au coin du feu, les consultants en cybersécurité aiment à raconter l’histoire de l’entreprise qui, un jour, quelque part, a corrigé les vulnérabilités découvertes durant un test d’intrusion.

Le réseau Tor est le Dark Net probablement le plus connu (voir « Dark Net »). Il tient son nom de la manière dont sont chiffrées les données, en empilant les couches de chiffrement telles des pelures d’oignon. Ces données sont ensuite envoyées selon un circuit fait de nœuds (des ordinateurs bénévoles à travers le monde) sélectionnés aléatoirement. Chaque nœud ne peut que déchiffrer sa « pelure » de l’oignon, et ne connaît que l’adresse IP du nœud précédent et du suivant. Ainsi, avec trois nœuds, il est impossible pour un seul d’entre eux de connaître à la fois l’adresse IP source du message et sa destination. Le réseau Tor s’appuie sur le réseau internet classique et fonctionne telle une surcouche, en exploitant les mêmes standards (TCP/IP)

Il parait que l’oignon, ça fait pleurer. C’est en tout cas ce que disent les cybercriminels sous les verrous après avoir eu trop confiance dans l’anonymat supposé de Tor.

Le tracking pixel est une méthode de traçage alternative aux cookies, traditionnellement mise en œuvre sous la forme d’une image de 1 pixel par 1 pixel, intégrée dans le site mais invisible pour l’utilisateur.

Le chargement de cette image, dont le nom contient un identifiant de l’utilisateur, informe le serveur sur lequel elle est hébergée que l’utilisateur tracé a visité une page ou lu un courriel.

Ensemble de disciplines dont l’objectif est la captation, la transmission, l’identification et la synthèse de la parole. Ces disciplines rassemblent notamment la reconnaissance de la parole, la synthèse de la parole, l’identification du locuteur ou encore la vérification du locuteur.

Programme donnant l’impression d’avoir une fonction utile, mais qui possède par ailleurs une fonction cachée et potentiellement malveillante.

Remarques : La fonction cachée exploite parfois les autorisations légitimes d’une entité du système qui invoque ce programme. Elle peut par exemple permettre la collecte frauduleuse, la falsification ou la destruction de données.

Un tunnel est une communication réseau qui en intègre une autre (on parle alors d’un protocole qui en « encapsule » un autre). Cette technique est très utilisée pour faire communiquer des réseaux ou des machines qui sans cela ne pourraient se parler directement. Mais pour le petit monde de la cybersécurité, on parle surtout de tunnel chiffré : il s’agit alors de faire transiter des informations en clair (donc non protégées) au sein d’une communication chiffrée de bout en bout. Un VPN (réseau privé virtuel) est un tel dispositif. Une fois un tunnel chiffré établi, l’ensemble des protocoles qui l’empruntent (http pour la navigation web, IMAP et SMTP pour le courrier électronique, etc.) sont acheminés jusqu’au point de sortie en étant invisibles pour quiconque serait en mesure d’intercepter le trafic en chemin.

Pour un pirate aussi, la phrase « voir le bout du tunnel » est un soulagement : cela signifie qu’il a réussi à prendre pied sur le système distant.

Action malveillante qui consiste à déposer un nom de domaine très proche d’un autre nom de domaine, dont seuls un ou deux caractères diffèrent.

Remarques : Les objectifs de cette action sont de capter une partie du trafic adressé au site officiel. Par exemple, nous pouvons imaginer un nom de domaine correspondant à certa.ssi.gouve.fr, ou encore certa.ssi.gouv_.fr.

L’UTM est une approche tout-en-un de la cybersécurité, généralement sous la forme d’un boîtier unique intégrant plusieurs solutions de sécurité telles qu’un pare-feu, une passerelle antivirus, une solution de filtrage d’URLs, etc. Ces solutions sont le plus souvent destinées aux petites et moyennes entreprises.

Si vous trouvez sur votre bureau un mot doux avec le message « J’UTM », il se peut que votre RSSI vous apprécie vraiment beaucoup. Sauf si vous êtes aux achats, auquel cas il s’agit peut-être juste d’une commande.

Dans le domaine de l’intelligence artificielle, la validation est un processus consistant à expérimenter, observer et optimiser (en modifiant les hyperparamètres notamment) le comportement du système lors de son exécution. Elle permet de s’assurer, dans le domaine d’emploi, de l’adéquation des données de sortie avec les résultats attendus.

Un virus est un programme ou morceau de programme malveillant dont le but est de survivre sur un système informatique (ordinateur, serveur, appareil mobile, etc.) et, bien souvent, d’en atteindre ou d’en parasiter les ressources (données, mémoire, réseau). Le mode de survie peut prendre plusieurs formes : réplication, implantation au sein de programmes légitimes, persistance en mémoire, etc. Pour sa propagation, un virus utilise tous les moyens disponibles : messagerie, partage de fichiers, portes dérobées, page internet frauduleuse, clés USB…

Voir aussi:

• Code malveillant, logiciel malveillant (Malicious software, malware)
• Polymorphe (Polymorphic)
• Ver (Worm)

Technologie qui permet de véhiculer la voix sur l’Internet ou tout autre réseau acceptant le protocole TCP/IP. Cette technologie est notamment utilisée par le service de téléphonie IP (ToIP – telephony over internet protocol) à travers des logiciels tels que Skype, Asterisk…

Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système, ou dans la façon de l’utiliser. Remarques : Une vulnérabilité peut être utilisée par un code d’exploitation et conduire à une intrusion dans le système.

Voir aussi:

• Code d’exploitation (Exploit)

• L’attaque dite « du point d’eau » consiste pour l’attaquant à piéger un site web public qu’il sait être visité par la ou les victimes qu’il cible en particulier. Cela lui évite d’entrer en contact direct avec ses victimes (notamment en envoyant un email de phishing, par exemple, qui est facilement repérable). Il s’agit donc d’une attaque indirecte, qui peut faire de nombreuses victimes collatérales (à commencer par le site web infecté pour l’occasion). Afin d’éviter d’être trop vite détectés, certains attaquants avancés n’infectent toutefois que les visiteurs correspondants au profil de leurs victimes (origine de la visite, adresse IP appartenant à l’entreprise ciblée, etc.).

Support graphique implanté dans une page internet ou un courriel, qui a pour objectif de surveiller la consultation de cette page ou de ce courriel, à l’insu des lecteurs.

Remarques : Ces supports sont souvent invisibles, car beaucoup sont paramétrés avec une taille très petite (1×1 pixel). Ils sont aussi fréquemment représentés par des balises HTML IMG.

Voir aussi:

• Spyware (Espiogiciel)

• WEP et WAP sont deux protocoles destinés à assurer la sécurité des connexions WiFi. Le premier, Wired Equivalent Privacy (WEP) est le plus ancien, et n’est plus considéré comme sécurisé, à la suite de la découverte de plusieurs vulnérabilités critiques. Le second, baptisé Wi-Fi Protected Access (WPA) est aujourd’hui encore le standard de protection des communications WiFi. Il en existe en 3 versions, dont la première a vu le jour en 2003 et la dernière a été annoncée en 2018.

  Il y a forcément une blague à faire autour de Wep et Wap qui seraient tous deux sur un bateau. Si vous la connaissez…

• Une vulnérabilité n’est souvent que potentielle, puis elle se matérialise sous la forme d’une « preuve de concept », un code expérimental qui prouve que la vulnérabilité est bel et bien exploitable. L’étape suivante est pour les pirates de s’en emparer et d’en faire un véritable outil d’attaque qui peut être utilisé dans le cadre d’attaques réelles. On dit alors qu’ils ont armé (« weaponized ») la vulnérabilité, c’est-à-dire qu’ils l’ont transformé en une arme opérationnelle.

• Un test d’intrusion en boîte blanche est conduit en disposant d’un bon niveau d’information sur la cible et d’un accès préalable au système. Il simule l’action d’un adversaire interne, disposant d’une bonne connaissance de l’environnement, de son infrastructure, et jouissant d’un accès légitime (le plus souvent non privilégié). À l’opposé, un test en boîte noire ne permettra que de déterminer si les fonctionnalités exposées sont vulnérables, comme pourrait le faire un attaquant extérieur sans informations préalables.

  L’obsession de la cybersécurité pour les chapeaux et le noir et blanc donnerait presque à ses praticiens un petit air d’Ingrid Bergman ou de Humphrey Bogart. Cela explique probablement l’attractivité de ces carrières…

Technologie de réseau informatique sans fil pouvant fonctionner pour construire un réseau interne accédant à Internet à haut débit. Cette technologie est basée sur la norme IEEE 802.11 (ISO/CEI 8802-11).

Remarques : L’accès sans fil rend nécessaire l’élaboration d’une politique de sécurité dans les entreprises et chez les particuliers, par le biais de la norme 802.11i (WPA2 ou Wi-Fi Protected Access) notamment.

Un ver (ou worm) est un logiciel malveillant indépendant, cherchant à propager son code au plus grand nombre de cibles, puis de l’exécuter sur ces mêmes cibles. Il perturbe le fonctionnement des systèmes concernés en s’exécutant à l’insu des utilisateurs.

Remarques : Les deux termes ver et virus sont relativement proches. Un ver est un virus qui se propage de manière quasi autonome (sans intervention humaine directe) via le réseau. Les vers sont donc une sous-catégorie de virus, dont le vecteur primaire de propagation reste le réseau.

Voir aussi:

• Virus

• Une attaque par cross-site scripting commence lorsqu’un attaquant est en mesure de faire afficher du contenu de son choix sur un site web tiers (par exemple via des commentaires ou des messages privés qui seront lus dans un navigateur). Si le site web qui reçoit et affiche ces contenus ne procède pas à un filtrage suffisant, l’attaquant sera en mesure d’inclure des balises et du code (souvent Javascript, mais cela peut être n’importe quel langage pris en charge par les navigateurs) qui seront alors interprétés par tous les utilisateurs qui l’afficheront. Cela peut conduire à du vol de session (et ainsi permettre à l’attaquant de détourner les comptes de média sociaux des visiteurs, même si le site victime n’a rien à voir avec ces derniers), ou encore de rediriger les victimes vers de faux sites (hameçonnage, voir « Phishing »)

  Mark Slemko, l’un des inventeurs de ce type d’attaque, à qui l’on faisait remarquer que le nom ne décrit pas vraiment son comportement, a répondu : « nous avions des choses plus importantes à faire sur le moment ». Depuis, de nombreux RSSI ont eux aussi tenté de l’utiliser pour se dédouaner lorsque leur site a été victime de XSS. Ils ne sont plus là pour en témoigner.

   

• Acronyme de l’année 2000 (“Year Two Thousand”). Le plus souvent utilisé dans le contexte du « bug de l’An 2000 » à l’occasion du passage informatique à l’an 2000. Certaines applications en fonctionnement à l’époque stockaient l’année sur deux chiffres et menaçaient donc de retourner à 1900 (00 sur deux chiffres) au lieu de 2000. Cela était susceptible d’entraîner de nombreuses incohérences dans les traitements et les bases de données. Il n’y aura finalement aucun incident majeur, au prix de sommes considérables dépensées afin de revoir (ou remplacer) les applications concernées (Wikipedia parle de plusieurs centaines de milliards de dollars consacrés à la tâche à travers le monde)

  Le premier janvier de chaque année est désormais férié chez tous les consultants en système d’information du monde, en souvenir (ému) de ce marché à « quelques » centaines de milliards de dollars.

   

• Une faille zero-day est une vulnérabilité applicative qui n’est connue que des attaquants qui l’exploitent à leur profit. Puisqu’elle est encore inconnue de l’éditeur de l’application ciblée, la vulnérabilité ne peut être corrigée, et les victimes potentielles n’étant pas informées de son existence ne peuvent prendre des mesures compensatoires. Cela permet aux attaquants de compromettre de nombreux systèmes aisément et sans être détectés. La rareté de telles failles zero-day, en particulier lorsqu’elles concernent les versions à jour des principaux systèmes d’exploitation ou mobiles, rend ces dernières particulièrement recherchées. Il existe tout un marché — officiel et officieux — qui propose de telles failles et leur prix peuvent s’élever à plusieurs centaines de milliers d’euros, voire pour certaines d’entre elles jusqu’à plus d’un million d’euros.

• Un ordinateur zombie est une machine infectée par un code malveillant destiné à en donner le contrôle à distance à un attaquant. Ce dernier tente d’infecter un maximum d’ordinateurs de la sorte et de tous les contrôler au sein d’un réseau unique appelé « botnet » (réseau de bots). Chaque membre de ce réseau est appelé de manière imagée un zombie car il n’est plus sous le contrôle réel de son propriétaire, bien que ce dernier ne s’aperçoive généralement de rien. Un botnet est un bien précieux pour un attaquant, car il lui permet de générer des revenus en louant le contrôle de tous ses ordinateurs zombies pour mener des attaques de type déni de service (se connecter en masse à un site web afin de le rendre inaccessible), pour installer des codes malveillants qui permettront de dérober des identifiants et des informations bancaires, ou encore pour héberger des sites de phishing.