HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Techno-Watch >
Go to: HSC Trainings
Télécharger le catalogue des formations
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Bulletin juridique HSC
o Press review
o Press releases
o Publications
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|  
> Access to the content HTML Beginning of the report  
> Description Report on the RSA 2000 Europe conference, from 10 to 13 April 2000 in Munich.  
> Context & Dates Report made for our news monitoring service .
The difference between the report writing and publishing dates are generally due to corrections and proofreading by the different people who took part in the conference.
5 June 2000 - Report writing
28 June 2000 - Sending to the news monitoring service subscribers
16 August 2000 - Publication on HSC's web site  
> Author Hervé Schauer (Herve.Schauer@hsc.fr) and Gilles Guiot  
> Type  
> Abstract &
Table of content
 
> Related documents
> Copyright © 2000, Hervé Schauer Consultants, all rights reserved.

 

Durant les quatre jours de la conférence, la sécurité des PABX a été l'objet de plusieurs révélations. À partir des PABX récents, il est ainsi possible d'écouter une pièce au travers un appareil non décroché, et donc d'espionner une réunion par le biais d'un combiné présent dans la salle. À noter qu'une technique similaire a été présentée, recourant à un téléphone GSM. Il suffit de laisser son téléphone allumé dans une salle, puis d'envoyer un message SMS qui va permettre de "décrocher" le GSM à distance. Pour plus de discrétion, il est même possible que l'écran n'indique pas que le GSM est allumé. Dans un autre registre, il apparaît que des connaissances dans le domaine Linux/Unix semblent suffisantes pour obtenir des diversions sur les PABX récents basés sur ces systèmes. Les fonctions sont ouvertes et ne peuvent pas être fermées, car elles sont en cascade et partent du principe que l'on offre le même service à tous. Une autre commande intéressante est présente notamment dans les commutateurs d'entreprise Lucent mais aussi dans tous ceux compatibles avec ces derniers. Il s'agit de la commande de facturation 90# sur les PABX, qui permet une imputation non différée. Cela permet à la maintenance d'appeler et de faire facturer l'appel au propriétaire du PABX. Cette commande bien réelle peut cependant être inhibée, et c'est la politique appliquée de tous temps par France Telecom. Il va sans dire que ces fonctionnalités ne sont généralement pas documentées pour l'utilisateur final.

Cette manifestation était aussi l'occasion de découvrir la vision d'Internet 2 tel que souhaité entre autres par British Telecom. Ce futur réseau de réseaux présenterait un ticket d'entrée très élevé, ce qui restreindrait de fait le nombre des opérateurs, aboutissant à une forme de monopole des Telcos.

Signe des temps, la technologie WAP, et à travers elle, celle du sans fil, était au coeur de nombreuses conférences et un sujet phare de la conférence. La sécurité des successeurs de WAP n'a cependant pas été évoquée. Dans les protocoles à faible bande passante il est difficile d'utiliser RSA à cause du poids de la composition. Compaq (ex-DEC) a présenté une nouvelle méthode RSA basée sur de multiples nombres premiers pour le WAP, cependant Marc Girault du CCETT a rappelé des références vielles de plus de 10 ans sur cette méthode.

La cryptographie n'était pas non plus oubliée, avec une table ronde animée et de nombreuses interrogations. À noter que le brevet RSA tombe dans le domaine public le 20 septembre 2000 et ne sera donc plus une source de revenus pour RSA. Les courbes elliptiques sont toujours le sujet phare des discussions, la difficulté de cassage semble beaucoup plus importante par rapport à la cryptographie asymétrique classique.

Les déclarations des grands éditeurs tels que Netscape ou RSA ont assombri l'avenir/les perspectives des Critères Communs. Pour ces éditeurs, l'évaluation sur FIPS 1240-2 est clairement prioritaire, et ils renâclent à/sont réticents à s'investir parallèlement sur la question des Critères Communs.

La question d'Echelon a été soulevée par Lazzaro Pejsachowicz de Bull. Il apparaît que le problème posé par Echelon 1 est son coût faramineux. La NSA rechercherait donc des solutions permettant de mettre en place un Echelon 2 moins dispendieux. Comment s'assurer que les produits n'étant évalués qu'aux USA vis-à-vis de FIPS 1240-2, ils ne contiennent pas de trappes pour cet Echelon 2 ? Face à cette interrogation légitime, les éditeurs se sont contentés d'arguer de leur sérieux et de leur respectabilité et d'appeler à la confiance...

Les Français on étés mis en accusation car ils légifèrent sur la cryptographie. Le représentant du ministère français de la défense n'a pas répondu.

Enfin, lors de la session plénière, le président allemand de la commission ayant élaboré la directive européenne sur la signature électronique a longuement minimisé l'importance de cette commission et de son travail. Il faut rappeler que les pays membres ont jusqu'à juillet 2001 pour mettre en oeuvre cette directive.

Last modified on 26 Mars 2003 at 09:59:25 CET - webmaster@hsc.fr
Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants