Sécurité des systèmes d'information et des réseaux
Raymond Panko
ISBN : 2-7440-7054-8
Ressources pédagogiques
Glossaire
A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
3DES (Triple DES). Extension du DES dans laquelle chaque bloc est chiffré trois fois. Dans le cas où trois clés sont en usage, la longueur de la clé résultante peut atteindre 168 bits.
802.11i. Norme régulant l'utilisation de la méthode d'authentification 802.1x des réseaux locaux sans fil 802.11.
802.1x. Méthode d'authentification pour réseaux locaux câblés et sans fil.
A
AC. Voir Autorité de certification.
ACK. Voir Accusé de réception.
Accord dit des zones sécurisées (Safe Harbor Agreement). Ensemble de dispositifs de protection de confidentialité que les entreprises américaines doivent accepter et observer pour pouvoir exporter des données privées depuis l'Union européenne.
Accusé de réception (acknowledgement). Avis émis lorsqu'un message a été correctement reçu par son destinataire.
Actif. Tous les éléments d'un système d'information qu'une entreprise doit protéger : ordinateurs, réseaux, applications, bases de données, utilisateurs, etc.
Active Directory (répertoire actif). Service d'annuaire de Microsoft.
ActiveX. Langage de programmation de Microsoft. Son emploi dans la génération de contenu actif implique des risques liés au fait qu'aucune limite n'est fixée à l'action des logiciels.
AES (Advanced Encryption Standard). Algorithme de chiffrement symétrique très efficace en termes de temps de traitement et de mémoire, compatible avec des clés d'une longueur de 128, 192 ou 256 bits.
Agrégation. Dans un système de détection d'intrus, rassemblement au sein d'un même fichier d'entrées issues de nombreux journaux concernant différents points du réseau.
Algorithme de chiffrement. Algorithme mathématique utilisé pour le chiffrement de messages.
Algorithme de déchiffrement. Algorithme mathématique utilisé pour le déchiffrement de messages.
Analyse de détection d'anomalies. Méthode de détection d'intrusion qui compare les événements se déroulant à un moment donné avec les schémas d'événement généraux du système.
Analyse d'incident. Détermination de la nature et de la sévérité d'un incident de sécurité.
Analyse de menace qualitative. Analyse des dommages causés par une menace, qui sont importants mais difficiles ou impossibles à quantifier.
Analyse du risque. Analyse des menaces, de leur probabilité et de leur impact (coût). Peut inclure l'analyse des dispositifs de protection et des coûts associés.
Analyse post-mortem. Analyse conduite après un incident afin de déterminer ce qui s'est bien déroulé, ce qui s'est mal déroulé et ce qui devrait être effectué différemment.
Antivirus. Logiciel destiné à protéger un ordinateur ou un système informatique contre l'intrusion de virus, vers, chevaux de Troie ou autres instruments d'attaque.
Architecture de pare-feu. Manière dont une entreprise organise son système pare-feu.
Architecture de sécurité. Ensemble des contre-mesures techniques mises en place par une entreprise - y compris les pare-feux, les ordinateurs sécurisés, les systèmes de détection d'intrusion et autres outils - et façon dont ces contre-mesures sont organisées en un système complet de protection.
ASP (Active Server Pages). Langage de programmation côté serveur largement utilisé sur les serveurs Web Microsoft Windows Server.
Association de sécurité. Accord régissant la façon dont deux hôtes ou deux portails IPsec fournissent des dispositifs de sécurité.
Attaque bête et méchante (smurf attack). Attaque par saturation qui s'appuie sur les routeurs, qui envoient des messages d'annonce aux ordinateurs qu'ils desservent.
Attaques en rafale (multi-pronged attacks). Mise en œuvre simultanée d'attaques informatiques multiples, chacune reposant sur une méthode d'attaque différente, afin de maximiser la destruction et de dérouter les défenseurs.
Attaque de dictionnaire. Recherche d'un mot de passe à l'aide d'une longue liste de mots courants.
Attaque de l'intermédiaire (man in the middle attack). Méthode d'attaque qui consiste à intercepter un message entre deux personnes que l'attaquant est à même de lire, de détruire ou de modifier à sa guise.
Attaque de rejeu (replay attack). Attaque au cours de laquelle un adversaire intercepte un message chiffré et le transmet plus tard à son tour.
Attaque hybride. Attaque qui consiste à déterminer un mot de passe en apportant une légère modification aux mots de passe courants (par exemple bonjour2).
Attaque LAND. Attaque par saturation dans laquelle l'attaquant envoie un paquet avec l'adresse IP du destinataire en tant qu'adresse IP source et destination et avec le port de l'hôte en tant que port cible et destination. Ce type de paquet peut bloquer de nombreux systèmes d'exploitation.
Attaque par balayage (scanning attack). Obtention d'informations au sujet d'un système cible en envoyant des messages et en observant les réponses.
Attaque par violation de répertoire (directory traversal attack). Type d'attaque dans laquelle l'assaillant peut récupérer des fichiers du répertoire root WWW et de ses sous-répertoires.
Attaque par violation de répertoire par échappement de caractères hexadécimaux (hexadecimal directory traversal attack). Attaque par violation de répertoire dans laquelle les données sont présentées sous forme hexadécimale (base 16) pour limiter la détection.
Attributs. Moyens d'authentification d'un utilisateur, tels que son nom et son mot de passe.
Audit de sécurité. Diagnostic du système de sécurité d'une entreprise, souvent effectué par des spécialistes de l'infiltration de réseaux. Opération effectuée lorsqu'une équipe d'attaque est chargée par une entreprise d'essayer de pénétrer dans son système informatique afin d'identifier les failles de sécurité.
Audit informatique. Analyse du fonctionnement du département informatique d'une entreprise. Peut aussi s'appliquer à la vérification de la fiabilité de ses systèmes d'information.
Audit interne. Un audit interne procède généralement à des audits financiers et à des audits organisationnels (analyse des processus mis en place par les différents cahiers des charges de l'entreprise). Peut aussi s'appliquer à la vérification de la fiabilité de ses systèmes d'information.
Audit relatif à une politique. Audit qui vérifie la conformité à une politique sécurité. Il sert à garantir que les systèmes de protection spécifiques requis sont effectivement fournis.
Authentification. Procédure de confirmation d'identité, qui s'applique généralement à un utilisateur particulier.
Authentification bimode. Utilisation de deux méthodes pour authentifier une personne. L'une des deux méthodes est généralement un mot de passe ou un PIN.
Authentification biométrique. Méthode d'authentification basée sur les caractéristiques biologiques uniques de l'utilisateur, c'est-à-dire sur ses attributs biométriques.
Authentification de niveau Applications. Procure une fonction d'authentification au niveau de la couche Applications. C'est généralement une mesure de défense supplémentaire.
Authentification par défi-réponse. Méthode d'authentification par laquelle un prouveur s'identifie en répondant à un défi envoyé par un vérificateur.
Authentification unique ou SSO (Single Sign-On). Système d'authentification qui permet à un utilisateur de se connecter une première fois puis d'accéder aux serveurs d'un système sans authentification ultérieure.
Autorisation d'accès. Système de règles qui définissent les droits d'accès des utilisateurs aux différentes ressources d'un système d'information.
Autorisations spéciales. Sous Windows, groupe de treize autorisations détaillées qui donnent collectivement six autorisations standard.
Autorité de certification (AC). Source d'information indépendante et reconnue sur les clés publiques. Procure ces informations sous la forme de certificats numériques.A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de page
B
Bannière. Information fournie lors du login et qui renseigne généralement sur le fabricant et le numéro de version d'un système d'exploitation ou d'un logiciel.
Bastion internet (bastion host). Serveur spécialement durci au sein d'une DMZ (zone démilitarisée).
Bombe logique. Programme informatique exécuté à un moment opportun de façon à endommager des programmes ou des données informatiques.A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de page
C
Caractérisation de version (fingerprinting). Identification du fabricant et du numéro de version d'un logiciel opérant sur le poste d'une victime potentielle. Pratique rendue nécessaire par la plupart des outils d'attaque Exploit.
Caractérisation de version active (active fingerprinting). Envoi, par un attaquant potentiel, de messages dont les réponses permettent d'identifier à la fois le fabricant et le numéro de version d'un logiciel fonctionnant sur le poste qu'il souhaite corrompre.
CBC (Cipher Block Chaining). Méthode de chiffrement par blocs dans laquelle le cryptogramme ne dépend pas seulement de la clé et du texte en clair, mais aussi du cryptogramme précédent ou, lorsqu'il s'agit du premier bloc, d'un vecteur d'initialisation.
Centre de distribution de clés. Serveur qui authentifie les utilisateurs et leur procure des clés et un ticket pour leur permettre d'accéder à d'autres serveurs ou ressources réseau.
Centre de repli immédiat. Local de remplacement entièrement opérationnel.
Cercle de confiance. Dans PGP (Pretty Good Privacy), méthode d'authentification basée sur une liste de personnes de confiance et parfois sur des individus recommandés par ces personnes. Le danger réside dans le fait qu'une erreur de jugement de la part d'un membre du cercle peut se répercuter sur tous les autres.
CERT (Computer Emergency Response Team). Voir Réseau de correspondants sécurité.
CERT/CC (Computer Emergency Response Team/Coordination Center). Centre d'information de l'université Carnegie-Mellon au service des CERT.
Certificat numérique. Document qui fournit la clé publique ainsi que d'autres informations relatives à un interlocuteur de confiance.
Certification. Évaluation indépendante par une tierce partie du niveau de conformité à un référentiel déterminé.
CFAA (Computer Fraud and Abuse Act). Loi américaine de 1986 relative aux fraudes et aux abus informatiques.
CHAP (Challenge-Handshake Authentication Protocol). Protocole d'authentification par défi-réponse dans lequel le message de réponse est généré en ajoutant un secret partagé et en soumettant le tout à un processus de hachage.
Charge. Code exécuté après qu'un virus ou un ver a infecté un nouveau système. Il agit sur le système victime.
Charge bénigne. Virus ou ver qui n'est pas conçu pour causer des dommages (mais qui peut en causer accidentellement ou s'avérer dommageable pour la victime).
Cheval de Troie servant de trappe. Cheval de Troie qui permet à un pirate de s'infiltrer dans un réseau au moment où il le souhaite. Il s'agit généralement d'un fichier système remplacé par un cheval de Troie du même nom, donc difficile à détecter.
Chiffrement. Procédé qui permet de rendre un message incompréhensible à toute autre personne que son destinataire légitime. D'une manière plus spécifique, processus mathématique appliqué à un texte en clair afin d'obtenir un cryptogramme, ce qui assure une transmission sécurisée.
Chiffrement à clé publique. Famille de méthodes de chiffrement dans lesquelles chaque partie possède une clé publique, qui n'est pas secrète, et une clé privée connue d'elle seulement.
Chiffrement à clé symétrique. Famille de méthodes de chiffrement dans lesquelles les deux parties chiffrent et déchiffrent au moyen de la même clé.
Chiffrement de flux. Chiffrement d'un message sans l'avoir au préalable divisé en blocs de taille fixe.
Chiffrement par blocs. Méthode de chiffrement qui consiste à découper un message en plusieurs morceaux de taille égale et à les chiffrer individuellement.
Chmod (change mode). Commande UNIX qui permet de changer les trois types de permissions (propriétaire, groupe et reste du monde).
Chown. Commande UNIX permettant à l'auteur d'un fichier ou à l'administrateur système d'assigner la propriété du fichier à un autre compte utilisateur.
Chroot. Commande UNIX qui permet de changer la racine apparente d'un système de fichiers. Elle peut offrir une protection en limitant l'espace accessible à des attaquants.
Clé de chiffrement. Chaîne de bits employée avec un algorithme de chiffrement pour transformer un texte en clair en cryptogramme.
Clé d'enregistrement réseau. Dans Kerberos, clé reçue par un poste au cours du service d'authentification Kerberos. Le poste utilise cette clé pour communiquer avec le serveur Kerberos pendant la session d'enregistrement.
Clé de déchiffrement. Chaîne de bits employée avec un algorithme de déchiffrement pour obtenir un texte en clair à partir d'un cryptogramme.
Clé de session. Clé secrète utilisée seulement pendant une session de communication unique. De cette façon, la quantité de données chiffrées envoyées sous la même clé est limitée, ce qui rend plus difficile pour les cryptanalystes un éventuel déchiffrement.
Clé faible. Clé trop courte pour assurer la sécurité. Pour le chiffrement à clé symétrique, les clés faibles ont une longueur inférieure à 100 bits. Pour RSA, une clé est faible si sa longueur est inférieure à 1 000 bits. Cette notion varie avec le temps.
Clé forte (strong key). Clé suffisamment longue pour assurer la sécurité. Pour le chiffrement à clé symétrique, les clés longues sont d'une longueur supérieure à 100 bits. Pour RSA, les clés longues sont d'une longueur supérieure à 1 000 bits. Cette notion varie avec le temps.
Clé principale. Dans Kerberos, clé réutilisable que l'ordinateur partage avec le serveur Kerberos. Elle est utilisée dans le service d'authentification Kerberos.
Clé privée. En chiffrement à clé publique, clé connue uniquement de son propriétaire.
Clé publique. Dans le cas des chiffrements à clé publique, clé donnée à d'autres personnes, par opposition à la clé privée connue de son seul propriétaire.
Code éthique des hackers. Déclaration de certains hackers sur les règles de conduite qu'ils s'engagent à observer dans leurs diverses actions. Le hacking, même éthique, n'en demeure pas moins illégal.
Compte clandestin (backdoor account). Compte doté de privilèges qui permet à un pirate de s'infiltrer dans un réseau au moment où il le souhaite.
Compte privilégié (super account). Compte qui possède les privilèges d'accès permettant à son utilisateur de faire tout ce qu'il souhaite dans tout répertoire du serveur.
Confidentialité. Assurance qu'un message envoyé ne peut être lu par un intrus.
Confidentiel. Système de sécurité dans lequel les informations sont classées selon leur niveau de confidentialité. À chaque niveau correspond une procédure particulière de traitement de l'information.
Contenu actif. Programme ou script sur une page Web ou un courrier électronique au format HTML.
Contre-mesure. Mesure technique ou procédurale prise pour lutter contre une menace donnée.
Contrôle d'accès. Ensemble de pratiques et de stratégies adoptées par une entreprise pour se prémunir contre toute intrusion dans ses systèmes d'information.
Contrôleur de domaine. Sous Microsoft Windows Server, serveur qui administre les ordinateurs et d'autres ressources au sein d'un domaine donné. Les autres serveurs de ce domaine sont appelés serveurs membres.
Cookie. Fichier de type texte (.txt) créé par un serveur Web et enregistré sur le disque dur des ordinateurs clients.
Correctif. Logiciel qui sert à réparer une vulnérabilité.
Correctif de sécurité. Code ajouté à un programme pour supprimer une vulnérabilité connue.
Corrélation d'événements. Analyse séquentielle des informations recueillies par des systèmes de détection d'intrusion répartis en différents points du réseau.
Cryptanalyste. Professionnel du cassage de codes.
Cryptogramme. Produit du chiffrement d'un texte en clair. Assure la confidentialité des envois.
Cryptographie. Science du secret. Utilisée pour protéger des données contre toute interception par une personne non autorisée.A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de page
D
DDoS (Distributed DoS). Attaque par saturation (ou déni de service) lancée simultanément à partir de plusieurs ordinateurs différents.
Débordement de tampon. Phénomène qui se produit lorsqu'un attaquant envoie un message contenant plus d'octets que les tampons ne se sont vus allouer par le programmeur, ceux-ci débordant alors sur d'autres zones de la RAM.
Déchiffrement. Processus mathématique appliqué à un cryptogramme pour obtenir le texte en clair.
Décodage de protocole. Méthode d'analyse dans laquelle le système de détection d'intrusion surveille le déroulement de chaque application pour ne considérer que les attaques réalisables à chaque étape.
Défense en profondeur. Se dit d'un système de défense qui offre plusieurs couches de résistance aux attaquants.
Démon. Sous UNIX, logiciel qui fonctionne en permanence.
Déni de service (DoS). Attaque par saturation qui porte sur la disponibilité d'un système d'information.
Dépôt de clés. Sauvegarde d'une copie d'une clé de déchiffrement sur l'ordinateur d'un tiers en guise de protection contre la perte de l'original.
DES (Data Encryption Standard). Premier grand standard de chiffrement de données qui utilise des clés de 56 bits
Directive pour la protection des données. Au sein de l'Union européenne, directive qui impose aux États membres d'élaborer des lois relatives à la protection de la vie privée.
Durcissement. Série de mesures qui visent à rendre un PC client ou un serveur plus résistant contre d'éventuelles attaques.A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de pageE
EAP (Extensible Authentication Protocol). Protocole d'authentification PPP avec possibilité d'extension qui permet aux utilisateurs de sélectionner un protocole d'authentification parmi une liste. Utilisé dans l'authentification 802.1x.
ECC (Elliptic Curve Cryptosystem). Méthode de chiffrement à clé publique réputée d'une grande efficacité.
Échange de clés. Échange sécurisé de clés symétriques secrètes.
Échange de clés Diffie-Hellman. Méthode utilisée pour le choix d'une clé symétrique commune pour la confidentialité d'un échange entre deux interlocuteurs.
Échange de poignées de main (handshaking). Dans un système de chiffrement, étape initiale au cours de laquelle se négocient les modalités de sécurité, d'authentification et d'échange de clés.
Échelon. Réseau d'écoute développé par les États-Unis et quelques autres pays, conçu à l'origine pour intercepter les télécommunications du bloc de l'Est.
ECPA (Electronic Communications Privacy Act). Loi cadre américaine de 1986 qui interdit l'interception des messages en transit ainsi que des messages reçus et/ou archivés.
EFS (Encrypting File System). Technologie Windows qui assure le chiffrement de fichiers et qui permet la gestion des fichiers chiffrés.
Encapsulation. Fait de placer un message dans le champ de données d'un autre message.
Enregistreur de frappe. Logiciel espion qui sauvegarde toutes les frappes clavier d'un utilisateur afin d'obtenir clés de chiffrement, mots de passe et autres informations confidentielles.
En-tête. Partie d'un message électronique où sont consignés les renseignements qui spécifient l'identité du destinataire, celle de l'expéditeur ainsi que l'objet du message et sa date d'envoi. D'une manière plus générale, informations qui précédent le champ de données d'un message.
En-tête d'authentification. En-tête IPsec qui assure l'authentification et le contrôle de l'intégrité des messages, mais pas leur confidentialité.
En-tête IPsec. En-tête de protection placé à la suite de l'en-tête IP principal d'un paquet.
Entrée de journal. Unité de données d'un fichier journal. Chaque entrée s'accompagne d'une estampille et d'un type d'événement. Les fichiers journaux contiennent par ailleurs des informations qui permettent de diagnostiquer les événements.
ESP (Encapsulating Security Payload). En-tête IPsec qui assure la confidentialité, l'authentification et le contrôle de l'intégrité des messages.
Exploit. Nom d'un outil d'attaque (généralement un logiciel) conçu pour exploiter une faiblesse identifiée au sein d'un système de sécurité.A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de page
F
Fanion. Champ de 1 bit qui peut être positionné en mode actif ou passif.
Fausse alerte. Incident de sécurité supposé qui s'avère n'être finalement qu'un événement sans importance.
Faux négatif. Se dit d'un incident qui se produit sans être détecté. Dangereux.
Faux positif. Synonyme de fausse alerte.
Filtrage de paquets statique. Méthode de filtrage d'un pare-feu qui examine uniquement les valeurs dans certains champs des en-têtes IP, TCP, UDP et ICMP, et qui n'observe que les paquets pris isolément.
Filtrage en entrée. Blocage à l'aide d'un pare-feu de paquets d'attaque tentant de pénétrer un réseau.
Filtrage en sortie. Blocage à l'aide d'un pare-feu de paquets d'attaque lancés vers l'extérieur d'un réseau.
Filtrage MIME. Filtrage par type MIME d'un message applicatif. MIME est un standard général de description des formats de fichiers.
Fonction à sens unique. Fonction mathématique qui ne peut être inversée afin de déduire la valeur d'entrée à partir d'une valeur de sortie connue. Le hachage en est un exemple.
Fragmentation. Division d'un paquet IP en paquets plus réduits pour la traversée d'un sous-réseau.A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de page
G
Garde-barrière IPsec. Serveur qui génère des connexions en mode tunnel en direction des portiers IPsec d'autres sites.
Guerre asymétrique. Expression qui fait référence au fait qu'une entreprise doit se prémunir contre toutes les attaques possibles, tandis que ses attaquants peuvent se contenter de détecter une faiblesse dans le système de sécurité pour lui infliger des dommages.
Guerre informatique. Attaque perpétrée par un gouvernement contre l'infrastructure TIC et/ou physique d'un autre pays. L'un des objectifs principaux d'une guerre informatique est d'infliger un maximum de dommages aussi rapidement que possible, souvent en parallèle avec une attaque militaire conventionnelle.
Guide de sécurité. Groupe d'actions spécifiques qui permettent de sécuriser un programme ou un ordinateur.A - B - C - D - E - F - G - H - I - J - L - M - N - O - P - Q - R - S - T - U - V - Z
Retour haut de pageH
Hachage. Processus mathématique qui permet de diviser une liste de données en listes plus petites, contenant les éléments ayant des points commun avec la liste originale . On parle aussi de fonction de hachage à sens unique.
Hacker. Voir Pirate.
Hacking. Ensemble de techniques qui visent à pénétrer un système informatique sans autorisation ou au-delà des limites autorisées.
Hacking éthique. Pratiques de hacking en accord avec la déontologie du hacker. Demeurent illégales tant qu'elles se font sans l'accord des personnes touchées.
Hacking root. Piratage du compte administrateur sous UNIX. Fait parfois référence au piratage du compte administrateur de tout système d'exploitation.
Hacktivisme. Né de la contraction de hacker et d'activisme. Désigne l'utilisation de l'internet pour défendre une cause.
Handshaking. Voir Échange de poignées de main.
HIDS (Host Based Intrusion Detection System). Système de détection d'intrusion qui analyse le fonctionnement ou l'état du poste sur lequel il est installé afin de détecter toute attaque. Ces systèmes peuvent traiter les protocoles, les systèmes d'exploitation ou les applications.
HMAC (Key-Hashed Message Authentication Code). Méthode d'authentification message-par-message qui a recours à une clé secrète partagée et à une procédure de hachage pour la génération du HMAC à ajouter à chaque message sortant. Celui-ci est donc généré en clair.HSA (Homeland Security Act). Loi américaine votée en 2002 qui renforce les mesures de sécurité prises à l'égard de la menace terroriste. Étend, entre autres, la quantité d'informations qu'il est permis de demander aux fournisseurs d'accès sans avoir à présenter un mandat délivré par un juge.
Horodatage. Champ qui contient l'heure à laquelle un message a été envoyé. Afin d'éviter les attaques de rejeu, les anciens messages ne doivent pas être acceptés.
A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de pageI
IDEA. Algorithme de chiffrement symétrique qui utilise des clés de 128 bits.
Identification.
1. Couplée à l'authentification, sert à déterminer l'identité d'une personne en comparant ses attributs avec ceux de tous les utilisateurs au sein d'une base de données.
2. Valeur d'en-tête IP qui sert au réassemblage de fragments de paquets IP, sachant que tous les fragments d'un même message portent le même identifiant.
IKE (Internet Key Exchange). Protocole responsable non seulement de l'échange de clés authentifié, mais aussi de la gestion des associations de sécurité en général.
Imputabilité. Fait de pouvoir identifier un responsable en cas de violation du règlement.
Incident de sécurité. Événement qui implique la mise en défaut du système de sécurité d'une entreprise, souvent perpétré par un attaquant.
Indice de correspondance. En biométrie, valeur calculée qui détermine la bonne correspondance entre les données caractéristiques clés d'un scan d'accès et les informations stockées dans un modèle ou une base de données.
Infrastructure à clé publique ou PKI (Public Key Infrastructure). Technologie et dispositif de gestion nécessaires à une autorité de certification pour créer des paires de clés privées/clés publiques, distribuer des clés privées, émettre des certificats numériques et maintenir à jour les listes de révocation des certificats.
Ingénierie sociale. Amener un employé à divulguer sans qu'il s'en rende compte des informations ou à effectuer une action qui réduit le niveau de sécurité ou nuit à un système.
Intégrité du message. Acte de dire si un message a été modifié pendant son transit. Assurance que le receveur sera capable de détecter tout changement intervenu pendant le transit.
Initialisation. Dans la résolution d'incidents, premier signalement d'un incident de sécurité.
Interlocuteur de confiance (true party). Personne qui paraît être à l'origine d'un message.
Invité. Compte qui peut être utilisé sans enregistrement. Devrait être désactivé.
IPsec (IP security). Protocole de réseau privé virtuel qui assure la protection transparente de la couche Internet et des couches supérieures.A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de pageJ
Journalisation. Fait de garder une trace de tous les événements qui se produisent au sein d'un système donné.
Journaux d'audit (audit log). Journal qui contient des données relatives aux différentes actions se déroulant sur un réseau, telles que le nom des responsables et l'heure à laquelle celles-ci ont eu lieu.
Journal intégré. Journal centralisé d'événements sur le réseau.K
Kerberos. Système d'authentification qui repose sur le chiffrement à clé symétrique.
A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de pageL
L2TP (Layer 2 Tunneling Protocol). Protocole de tunnelisation PPP qui fournit des trames PPP au travers de l'internet. À la différence de PPP, il n'assure pas la sécurité des données en plus de la mise en tunnel.
Liberty Alliance. Groupement d'acteurs industriels (banques, compagnies aériennes, constructeurs, opérateurs télécoms, etc.) en vue de la conception d'un nouveau modèle de gestion de la confiance sur l'internet, censé stimuler les transactions économiques par l'adoption de nouveaux comportements.
Liste de contrôle d'accès. Liste ordonnée de règles de filtrage de pare-feu qui spécifient les paquets à laisser passer et les paquets à bloquer.
Liste de révocation de certificats ou CRL (Certificate Revocation List). Liste qui répertorie tous les numéros de série des certificats numériques révoqués par une autorité de certification donnée.
Logiciel d'attaque. Logiciel qui permet à un intrus de se servir d'un terminal corrompu pour attaquer d'autres ordinateurs.
Logiciel de cassage de mot de passe. Programme qui automatise la recherche de mots de passe.
Logiciel espion (spyware). Programme qui communique avec l'attaquant et lui envoie des informations sensibles depuis l'ordinateur compromis.
Logiciel malveillant (malware). Terme générique désignant un programme de type virus, ver, cheval de Troie d'administration à distance ou toute autre forme de logiciel d'attaque qui agit de façon autonome ou semi-autonome.A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de pageM
Macro. Ensemble d'instructions incorporées dans un document. Elles sont exécutées par le programme du document lorsqu'une action est effectuée, par exemple le chargement d'un fichier.
Mandat. Autorisation judiciaire délivrée par une autorité légale et qui permet, par exemple, de procéder à l'arrestation d'une personne ou d'effectuer une perquisition.
MD5. Algorithme de hachage qui produit toujours un condensat de 128 bits.
MD5 CHAP. Méthode d'authentification par défi-réponse, utilisée pour le hachage MD5.
Menaces mixtes. Attaques automatisées qui associent les caractéristiques des virus, des vers et d'autres logiciels malfaisants non mobiles et qui se propagent de différentes façons.
Message de défi. Dans la méthode d'authentification par défi-réponse, message envoyé par le vérificateur.
Mode espion. Mode de fonctionnement au cours duquel un système de détection d'intrusion réseau lit l'ensemble du trafic qui le traverse.
Moniteur d'application. Type de système de détection d'intrusion qui surveille l'activité des applications.
Mot de passe BIOS. Mot de passe à renseigner au moment du démarrage d'un PC. Il n'offre qu'une protection de faible niveau.
Mot de passe courant. Mot de passe qui repose sur un terme du dictionnaire ou une combinaison de termes courants.
Mot de passe d'enregistrement. Mot de passe à renseigner pour s'enregistrer à un service particulier. Dans les versions clientes, il n'offre qu'une protection de faible niveau. Dans les versions professionnelle et serveur, il est d'un meilleur niveau.
Mot de passe partagé. Mot de passe unique utilisé par plusieurs personnes pour un accès donné. De ce fait, la notion de responsabilisation n'a plus de sens.
Moyens d'authentification. Procédures ou attributs utilisés pour l'authentification d'un utilisateur.
MPPE (Microsoft Point-to-Point Encryption). Protocole de chiffrement non standard largement utilisé dans PPP pour la confidentialité.A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de page
N
Négociation initiale. Dans un système de chiffrement, étape durant laquelle s'effectue la négociation des modalités de sécurité à employer.
Nimda. Ver sophistiqué à propagation rapide, lancé en 2001.
Noir. Symbolise ce qui n'est pas sensible, ou chiffré, par opposition au rouge, qui symbolise ce qui est sensible ou en clair. Terme utilisé en particulier dans la sécurité militaire.
Non-répudiation. Signifie que les expéditeurs sont dans l'impossibilité de nier qu'ils ont envoyé un message ou les destinataires de nier qu'ils l'ont reçu. Les signatures numériques fournissent des mécanismes de non-répudiation.
No-opt. Service dans lequel les clients n'ont pas le choix sur la façon dont les informations les concernant sont utilisées.
Numéro de port. En TCP et UDP, champ d'en-tête de 16 bits qui spécifie les processus source et de destination à la couche Applications.
Numéro de port dynamique. Numéro qui change fréquemment, aussi appelé numéro de port éphémère.
Numéro de port privé. Autre nom pour les numéros de ports éphémères.
Numéros de port enregistrés. Numéros de port habituellement utilisés par des applications moins importantes que celles auxquelles des numéros de port connus sont attribués.
Numéro d'identification personnel ou PIN (Personal Identification Number). Courte série de chiffres qui doit être saisie dans l'ordre pour authentifier l'utilisateur.A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de page
O
Opt-in. S'emploie lorsque l'utilisateur doit donner son accord explicite et préalable au recueil d'informations le concernant, en toute connaissance de la façon dont ces informations seront utilisées.
Opt-out. S'emploie lorsque l'utilisateur doit effectuer des actions spécifiques s'il ne souhaite pas que les informations le concernant soient recoupées ou utilisées.A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de pageP
Palladium. Puce de sécurité et logiciel associé développés par Microsoft.
Paquet. Message ou fragment de message qui circule sur l'internet.
Pare-feu. Dispositif informatique qui filtre les flux d'informations entre le réseau d'entreprise et l'extérieur, en vue de neutraliser les tentatives de pénétration et de contrôler l'accès depuis l'extérieur.
Pare-feu applicatif. Type de pare-feu qui opère un filtrage pour accroître la sécurité de certaines applications.
Pare-feu proxy. Autre nom du pare-feu applicatif.
Piratage itinérant (drive-by hacking). Fait de pirater un réseau local sans fil depuis un emplacement situé à proximité des bureaux de l'entreprise.
Pirate (hacker). Tout individu qui pénètre un système informatique sans le consentement explicite du responsable de ce système.
PGP (Pretty Good Privacy). Système cryptographique populaire pour les courriers électroniques. L'authentification repose sur le paradigme des cercles de confiance.
PKI. Voir Infrastructure à clé publique.
Plan de continuité d'activités. Ensemble de mesures qui permettent de garantir tout ou partie de la poursuite des activités de l'entreprise dans le cas d'un sinistre majeur, que celui-ci soit d'origine criminelle ou naturelle.
Plate-forme des préférences en matière de confidentialité ou P3P (Platform for Privacy Preferences). Système qui normalise un ensemble de questions strictement définies auxquelles un site Web doit répondre et dont il doit placer les réponses dans une base de données. Les clients équipés de navigateurs compatibles P3P peuvent émettre une requête auprès du site afin de vérifier que les politiques de ce dernier suivent un profil qui leur correspond.
Politique. Déclaration générale qui exprime l'engagement d'une entreprise en ce qui concerne la sécurité, et qui définit les valeurs et principes clés qui doivent guider les activités de sécurité de l'entreprise.
Politique de sécurité. Déclaration générale qui spécifie ce qui doit être mis en œuvre en matière de sécurité.
Politique de sécurité de l'entreprise. Ensemble des principes de sécurité adoptés par l'entreprise.
Politique d'utilisation des ordinateurs et de l'internet. Règlement qui définit les droits et devoirs des utilisateurs ainsi que les sanctions encourues par les contrevenants.
Pollupostage. Messages électroniques à but commercial non sollicités.
Ports réservés. Numéros de ports compris entre 0 et 1023, généralement utilisés par des applications connues comme HTTP et SMTP.
Pourcentage de perturbation. Mesure à quel point un bien est endommagé par une attaque.
PPR (Planification-Protection-Réponse). Cycle de vie du processus de sécurité au cours duquel l'entreprise planifie sa sécurité, met en œuvre des dispositifs de protection puis répond lorsque ces derniers sont franchis. Le cycle est perpétuel.
Principe des droits minimaux. Principe selon lequel chaque utilisateur doit se voir octroyer le plus petit nombre d'autorisations possible afin d'effectuer son travail.Programme de sauvegarde. Politique adoptée par l'entreprise qui définit les modalités de sauvegarde et notamment la durée pendant laquelle les différents types de sauvegarde devront être conservés.
Propriété intellectuelle. Comprend toutes les règles relatives à la protection des droits de propriété industrielle, des droits d'auteur et du savoir-faire.
Protection anti-rejeu. Assurance qu'une information interceptée puis retransmise par un attaquant ne sera pas tenue pour valide par le destinataire.
Protection transparente. Forme de protection dans laquelle le mode de fonctionnement normal du processus protégé par un système cryptographique n'a pas besoin d'être modifié.
Protocole d'authentification par mot de passe ou PAP (Password Authentication Protocol). Forme d'authentification PPP dans laquelle les noms et les mots de passe des utilisateurs sont envoyés en clair, sans chiffrement pour la confidentialité.
Protocole MS-CHAP (Microsoft Challenge-Handshake Authentication Protocol).
Protocole d'authentification PPP dans lequel le message de réponse est généré en ajoutant un mot de passe partagé au message de stimulation et en soumettant le tout à un processus de hachage.
Protocole TKIP (Temporal Key Integrity Protocol). Algorithme de sécurité sans fil provisoire qui modifie fréquemment les clés de chiffrement.
Proxy. Dans un pare-feu applicatif, programme qui filtre une application particulière.A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de pageR
Recherche exhaustive. Procédure qui consiste à appliquer à un cryptogramme toutes les clés possibles pour en trouver une qui le déchiffrera.
Reconnaissance de frappe. Méthode d'accès biométrique basée sur l'analyse du rythme de frappe du clavier d'un utilisateur.
Reconnaissance de signature manuelle. Méthode d'accès biométrique basée sur le chronométrage et la pression d'écriture d'une signature manuelle, ainsi que sur la forme des caractères.
Réduction du risque. Prise de contre-mesures actives, comme l'installation de pare-feux et le renforcement des hôtes.
Refus. Blocage d'un paquet entrant par un pare-feu.
Règlement de contrôle d'accès. Règlement qui spécifie les règles d'autorisation d'accès aux différentes ressources d'un système d'information.
Reprise après sinistre. Englobe tous les services qui permettent d'assurer le fonctionnement de l'entreprise lorsqu'un incident critique interrompt provisoirement son activité. Plus spécifique qu'un dispositif de continuité de l'activité.
Requête de modification. Requête qui concerne une modification dans un système de production. Seuls certains employés devraient être habilités à formuler de telles requêtes.
Réseau de correspondants sécurité (CERT). Réseau d'experts techniques chargés de résoudre les incidents de sécurité d'une certaine nature et dépassant un certain seuil.
Réseau privé virtuel ou VPN (Virtual Private Network). Créé pour protéger le trafic d'ordinateurs entre plusieurs sites.
Rétention. Pour les courriers électroniques, pratique basée sur une politique qui détermine pendant combien de temps les archives de différents types de messages doivent être conservées. La rétention peut être requise par la loi.
Révocation. Processus qui consiste, pour une autorité de certification, à déclarer qu'un certificat numérique est non valide avant la fin de sa période de validité.
Rootkit (logiciel de prise de contrôle). Ensemble de programmes conçus pour des activités de piratage. Les attaquants téléchargent le rootkit sur l'ordinateur cible depuis leur site personnel, depuis un autre ordinateur qu'ils ont corrompu ou depuis un site public.
Routeur filtrant. Type de routeur qui supprime des paquets d'attaque simple.
RSA. Algorithme de chiffrement à clé publique créé par Rivest, Shamir et Adleman.
RWX. Qualifie les trois autorisations d'UNIX : lecture (read), écriture (write) et exécution (execute).A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de pageS
Safe harbour. Voir Accord de zones sécurisées.
Sauvegarde. Enregistrement régulier de fichiers sur un support de conservation.
Sauvegarde différentielle. Enregistrement de tous les fichiers créés ou modifiés depuis la dernière sauvegarde générale. Permet une restauration plus rapide que la sauvegarde incrémentale, mais le temps de sauvegarde est plus long.
Sauvegarde en temps réel. Action de sauvegarder chaque transaction au moment où elle a lieu sur un autre ordinateur, pour une reprise de contrôle immédiate si l'ordinateur principal tombe en panne.
Sauvegarde incrémentale. Sauvegarde de tous les fichiers créés ou modifiés depuis la dernière sauvegarde totale ou incrémentale. Cette procédure est plus rapide que la sauvegarde différentielle, mais les restaurations sont plus lentes parce qu'elles impliquent plus de bande.
Sauvegarde intégrale. Enregistrement de tous les fichiers d'un ordinateur.
Scan de port. Balayage d'une série de numéros de port TCP, de numéros de ports UDP ou des deux à la fois pour une adresse IP hôte unique afin d'identifier les services qui opèrent sur l'hôte.
Scan de port UDP. Balayage d'une série de numéros de ports UDP pour une adresse IP hôte unique afin d'identifier les services qui opèrent sur l'hôte.
Sceau électronique. Information accompagnée d'un ticket qui permet au destinataire légitime de vérifier l'origine de l'information et son intégrité.
Script. Petit programme de commandes. Certains attaquants les utilisent pour automatiser leurs attaques.
Secret partagé. Valeur secrète partagée par deux parties, par exemple une clé de chiffrement, un mot de passe ou une chaîne de bits à ajouter au texte en clair avant le chiffrement ou le hachage.
Sécurité étendue. Stratégie qui consiste à parer à toute modalité d'attaque.
Sécurité par discrétion (security through obscurity). Fausse croyance selon laquelle vous êtes en sécurité si vous n'êtes pas très connu ou si votre système de sécurité est peu diffusé.
Serveur d'accès à distance ou RAS (Remote Access Server). Serveur auquel se connectent des utilisateurs distants afin d'être admis sur un site.
Serveur DNS externe. Serveur DNS au sein d'une zone démilitarisée DMZ qui ne procure des informations que sur les hôtes de cette zone.
Serveur Kerberos. Serveur tiers qui procède à l'authentification des utilisateurs, puis donne à leurs processus des clés et un ticket afin d'authentifier le processus auprès d'autres serveurs et ressources du réseau.
Serveur RADIUS (Remote Authentication Dial-In User Service). Serveur central d'authentification auquel des serveurs d'accès à distance envoient des requêtes pour authentifier un utilisateur distant.
Service de contrôle d'accès. Dans Kerberos, service qui permet à un poste de demander une connexion authentifiée à un poste de vérification.
SHA-1. Algorithme de hachage qui produit toujours un condensat de 160 bits. Les versions plus récentes de SHA permettent des condensats encore plus longs. Les SHA-192 et SHA-256 sont nommés d'après leur longueur de condensat.
Signature. Mécanisme qui permet de confirmer l'origine et l'intégrité d'une information. Dans les virus, ensemble de bits utilisé par les programmes antivirus pour identifier un virus.
Signature numérique. Chaîne de bits de taille réduite associée à une information et qui offre au destinataire une garantie sur l'origine de l'information et sur son intégrité.
SSL (Secure Sockets Layer). Système cryptographique de couche Transport souvent utilisé pour protéger du trafic HTTP et parfois utilisé pour protéger du trafic SMTP. Rebaptisé TLS (Transport Layer Security) pour " sécurité de la couche Transport " par l'IETF.
Stéganographie. Littéralement, écriture cachée. Message qui dissimule des informations dans des images et d'autres documents, de sorte qu'une personne ne réalise même pas que des informations sont cachées.
Sujet. Dans un certificat numérique, champ qui contient le nom de l'interlocuteur de confiance impliqué.
Superutilisateur. Utilisateur qui dispose de tous les droits sur un système. Correspond en général à l'administrateur du système.
Système de chiffrement. Programme qui procure confidentialité, authentification, intégrité et autres fonctions de sécurité. Processus logiciels qui appliquent une méthode de chiffrement automatique, généralement de manière totalement transparente, aux différents utilisateurs. Protocoles qui assurent automatiquement la confidentialité, l'authentification, l'intégrité des messages, l'échange de clés et (habituellement) une protection contre les attaques de rejeu. Ces systèmes sont généralement très autonomes.
Système de détection d'intrusion. Dispositif qui avertit l'administrateur de réseau de la détection d'une attaque. Rassemble également des données sur les paquets suspects pour une analyse ultérieure. Intervient parfois automatiquement pour parer à une attaque. Logiciel (et parfois aussi matériel) qui enregistre toutes les activités de réseau dans des fichiers journaux et procure des outils de déclenchement d'alerte automatique et d'émission de requêtes et de rapports pour l'analyse interactive des données avant et après un incident.
A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de page
T
Talonnage (piggybacking). Action de suivre une personne autorisée à travers une porte de sécurité sans avoir été authentifié.
Tatouage numérique. Une application de la stéganographie qui consiste à marquer une image de façon indélébile.
Taux de faux négatifs ou FAR (False Acceptance Rate). Pourcentage de candidatures acceptées alors qu'elles auraient dû être rejetées.
Taux de faux positifs ou FRR (False Rejection Rate). Pourcentage de candidatures rejetées alors qu'elles auraient dû être acceptées.
Temps réel. Dans un système de détection d'intrusion distribué, mode de fonctionnement dans lequel l'agent envoie immédiatement ses entrées de journal à l'administrateur. Cela alourdit la charge par rapport au mode de traitement différé (par lots), mais en cas d'attaque, les attaquants ne peuvent supprimer que les dernières entrées des fichiers journaux.
Terrorisme informatique. Attaques perpétrées par un ou plusieurs individus contre l'infrastructure TIC et/ou physique d'un pays à l'aide d'ordinateurs.
Test des vulnérabilités. Test au cours duquel des outils d'évaluation des vulnérabilités sont exécutés sur le réseau de l'entreprise par des testeurs autorisés afin de déterminer les vulnérabilités du système.
Texte en clair. Dans le domaine de la confidentialité, message en clair (non chiffré).
Ticket de contrôle d'accès ou TGT (Ticket Granting Ticket). Dans Kerberos, chaîne de bits envoyée par le serveur Kerberos au poste pendant le service d'authentification. Le poste doit envoyer le ticket de contrôle d'accès au serveur Kerberos au cours des requêtes ultérieures.
Ticket de service. Dans Kerberos, ticket qui donne à un poste candidat l'accès à un poste vérificateur.
TLS (Transport Layer Security). Système cryptographique au niveau de la couche
Transport. Précédemment appelé SSL (Secure Sockets Layer).
Tracert. Programme Windows qui identifie les routeurs tout au long du chemin vers un hôte de destination. Voir Traceroute pour les systèmes UNIX.
Traceroute. Programme UNIX qui identifie les routeurs tout au long du chemin vers un hôte de destination.
Traduction d'adresses de réseau ou NAT (Network Address Translation). Dispositif de protection de pare-feu qui empêche les adresses IP internes et les numéros de ports d'un site d'apparaître dans les paquets qui circulent sur l'internet.
Traité européen contre la cybercriminalité. Les signataires de ce traité du Conseil de l'Europe (sous forte influence des États-Unis) acceptent d'établir des lois relatives aux abus informatiques et à la protection de la propriété privée. Ce traité facilite également la poursuite des contrevenants entre différents pays de l'Union.
Transfert de risque. Obtenir d'un tiers, en général une compagnie d'assurances, qu'il assume le risque.
Translation d'adresse IP. Capacité des pare-feux NAT et applicatifs à dissimuler au monde extérieur les adresses IP des réseaux qu'ils protègent.
Trappe. Littéralement, porte dérobée. Une fois mise en place, elle permet de revenir s'infiltrer aisément dans un système.
Tunnel. En IPsec, mode de protection par chiffrement entre les portails IPsec des deux sites.
A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de pageU
Usurpation de port. Fait pour une application d'utiliser un numéro de port connu ou enregistré bien qu'elle ne soit pas le service qui utilise habituellement ce numéro.
A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de pageV
Valeur jetable (nonce). Nombre généré de façon aléatoire pour un message particulier et inclus dans la réponse pour empêcher le rejeu. Seul le premier message possédant un nonce doit être accepté.
Vecteur de propagation. Mécanisme utilisé par un virus ou un ver pour se déplacer d'hôte en hôte.
Ver. Programme d'attaque autonome qui se propage de lui-même d'un ordinateur à un autre sans intervention humaine.
Vérificateur d'intégrité de fichier. Logiciel qui génère un condensat de tous les fichiers systèmes ne changeant que rarement ou jamais, et qui permet ainsi de détecter les changements non autorisés dans les fichiers définis par l'administrateur.
Virus. Code qui se fixe à un fichier (infecteur de fichier) ou, moins fréquemment, à un système sensible du disque dur de l'ordinateur de la victime. Logiciel malveillant qui infecte les fichiers et prolifère lorsque le fichier s'exécute ou est exécuté par un autre programme. Voir Réseau privé virtuel.
Virus de fichier. Virus qui s'attache aux fichiers de programmes en tant qu'instructions supplémentaires et aux fichiers de données en tant que macros.
Virus flash. Virus qui déjoue les systèmes antivirus par sa rapidité de propagation.
Virus métamorphique. Virus qui essaye de modifier radicalement son apparence - y compris en plaçant son code en plusieurs endroits du corps d'un programme infecté.
A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - R - S - T - U - V - W-X-Z
Retour haut de page
W-X-Z
Whois. Base de données internet qui rassemble des informations relatives aux propriétaires de noms de domaine.
X.509. Standard de certificats numériques. La version 3 est la plus largement utilisée.
Zone démilitarisée ou DMZ (DeMilitarized Zone). Sous-réseau IP doté de terminaux et pare-feux auxquels on accède à l'aide de terminaux externes.