HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Veille technologique >
Accéder au : Site HSC des formations
Télécharger le catalogue des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Bulletin juridique HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|  
> Accès au contenu HTML Début du rapport  
> Description Compte-rendu de la conférence RSA 2000 Europe, du 10 au 13 avril 2000 à Munich.  
> Contexte & Dates Rapport réalisé pour notre service de veille en actualité .
La différence entre la date de rédaction et la date d'envoi est généralement due aux corrections et relectures par les différentes personnes ayant participé à la conférence.
5 juin 2000 - Rédaction du compte-rendu
28 juin 2000 - Envoi aux abonnés de la veille en actualité
16 août 2000 - Publication sur le site web d'HSC  
> Auteur Hervé Schauer (Herve.Schauer@hsc.fr) et Gilles Guiot  
> Langue et Nature  
> Résumé &
Table des matières
 
> Documents liés
> Droits d'auteur © 2000, Hervé Schauer Consultants, tous droits réservés.

 

Durant les quatre jours de la conférence, la sécurité des PABX a été l'objet de plusieurs révélations. À partir des PABX récents, il est ainsi possible d'écouter une pièce au travers un appareil non décroché, et donc d'espionner une réunion par le biais d'un combiné présent dans la salle. À noter qu'une technique similaire a été présentée, recourant à un téléphone GSM. Il suffit de laisser son téléphone allumé dans une salle, puis d'envoyer un message SMS qui va permettre de "décrocher" le GSM à distance. Pour plus de discrétion, il est même possible que l'écran n'indique pas que le GSM est allumé. Dans un autre registre, il apparaît que des connaissances dans le domaine Linux/Unix semblent suffisantes pour obtenir des diversions sur les PABX récents basés sur ces systèmes. Les fonctions sont ouvertes et ne peuvent pas être fermées, car elles sont en cascade et partent du principe que l'on offre le même service à tous. Une autre commande intéressante est présente notamment dans les commutateurs d'entreprise Lucent mais aussi dans tous ceux compatibles avec ces derniers. Il s'agit de la commande de facturation 90# sur les PABX, qui permet une imputation non différée. Cela permet à la maintenance d'appeler et de faire facturer l'appel au propriétaire du PABX. Cette commande bien réelle peut cependant être inhibée, et c'est la politique appliquée de tous temps par France Telecom. Il va sans dire que ces fonctionnalités ne sont généralement pas documentées pour l'utilisateur final.

Cette manifestation était aussi l'occasion de découvrir la vision d'Internet 2 tel que souhaité entre autres par British Telecom. Ce futur réseau de réseaux présenterait un ticket d'entrée très élevé, ce qui restreindrait de fait le nombre des opérateurs, aboutissant à une forme de monopole des Telcos.

Signe des temps, la technologie WAP, et à travers elle, celle du sans fil, était au coeur de nombreuses conférences et un sujet phare de la conférence. La sécurité des successeurs de WAP n'a cependant pas été évoquée. Dans les protocoles à faible bande passante il est difficile d'utiliser RSA à cause du poids de la composition. Compaq (ex-DEC) a présenté une nouvelle méthode RSA basée sur de multiples nombres premiers pour le WAP, cependant Marc Girault du CCETT a rappelé des références vielles de plus de 10 ans sur cette méthode.

La cryptographie n'était pas non plus oubliée, avec une table ronde animée et de nombreuses interrogations. À noter que le brevet RSA tombe dans le domaine public le 20 septembre 2000 et ne sera donc plus une source de revenus pour RSA. Les courbes elliptiques sont toujours le sujet phare des discussions, la difficulté de cassage semble beaucoup plus importante par rapport à la cryptographie asymétrique classique.

Les déclarations des grands éditeurs tels que Netscape ou RSA ont assombri l'avenir/les perspectives des Critères Communs. Pour ces éditeurs, l'évaluation sur FIPS 1240-2 est clairement prioritaire, et ils renâclent à/sont réticents à s'investir parallèlement sur la question des Critères Communs.

La question d'Echelon a été soulevée par Lazzaro Pejsachowicz de Bull. Il apparaît que le problème posé par Echelon 1 est son coût faramineux. La NSA rechercherait donc des solutions permettant de mettre en place un Echelon 2 moins dispendieux. Comment s'assurer que les produits n'étant évalués qu'aux USA vis-à-vis de FIPS 1240-2, ils ne contiennent pas de trappes pour cet Echelon 2 ? Face à cette interrogation légitime, les éditeurs se sont contentés d'arguer de leur sérieux et de leur respectabilité et d'appeler à la confiance...

Les Français on étés mis en accusation car ils légifèrent sur la cryptographie. Le représentant du ministère français de la défense n'a pas répondu.

Enfin, lors de la session plénière, le président allemand de la commission ayant élaboré la directive européenne sur la signature électronique a longuement minimisé l'importance de cette commission et de son travail. Il faut rappeler que les pays membres ont jusqu'à juillet 2001 pour mettre en oeuvre cette directive.

Dernière modification le 26 mars 2003 à 09:59:25 CET - webmaster@hsc.fr
Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants