[Newsletter HSC] N°110 - Octobre 2013

Newsletter d'information de HSC newsletter at hsc-news.com
Mer 2 Oct 14:55:35 CEST 2013


========================================================================
              HSC Newsletter  --  N°110 --  octobre 2013
========================================================================





     « On n'oublie rien de rien
       On n'oublie rien du tout
       On n'oublie rien de rien
       On s'habitue c'est tout »


                                             [ Jacques Brel ]



--[ Sommaire ]----------------------------------------------------------

      1. Éditorial "Post-Snowden cryptography"
      2. Le saviez-vous ? La question
      3. Appel à communication : Conférence annuelle du Club 27001
      4. Appel à communication : Conférence GS-Days
      5. Nouveautés du site web HSC
      6. Offres d'emploi pour consultants
      7. Agenda des interventions publiques
      8. Prochaines formations HSC
      9. Actualité des associations : Club 27001 et OSSIR
     10. Le saviez-vous ? La réponse



--[ 1. Éditorial - "Post-Snowden cryptography" - Christophe Renard ]---

     La saison chaude aura été riche en révélations. Le feuilleton de
 l'été, écrit par Edward Snowden, a fait une excellente fin de saison
 dont tous les crypto-geeks peuvent apprécier la saveur. Ce que
 révèlent les documents de Snowden, est que la NSA ne se contente
 pas d'attaquer l'usage de la cryptographie sous un angle unique, mais 
 les essaie tous. Rétrospectivement, considérant le budget de l'agence
 américaine (mais son détail fait aussi partie des révélations), ce
 n'est guère étonnant.

 Donc, c'est acquis : exploitation des faiblesses de mécanismes,
 attaques techniques sur les clés ou en utilisant de l'espionnage humain
 traditionnel, attaques en temps réel de type « Man in the Middle »,
 attaques sur les implémentations, piégeage des appareils et logiciels,
 piégeage des standards. La NSA fait, non pas l'un, mais tous [1,2,3].
 Tout du moins, c'est ce que semblent dire ses documents internes.
 Malheureusement, le manque de détail ne permet pas encore de savoir
 à quelle échelle chaque aspect est développé.

 Les hauts cris entendus depuis concernent surtout les deux derniers 
 aspects. Le piégeage de ce que le reste du monde utilise, qui fait
 écho aux avertissements que les pays occidentaux ont émis ces
 dernières années relativement aux fournisseurs chinois, pose le
 problème de l'infrastructure de confiance. En fait, la conclusion
 pessimiste pourrait être que la sélection de la marque, lorsque l'on
 déploie un appareil, un logiciel ou un service portant des fonctions 
 de sécurité détermine, non pas un degré de confiance, mais qui vous 
 contrôle et peut vous espionner.  

 L'histoire d'une fonction cryptographique est particulièrement
 intéressante : le PRNG Double-EC[4]. Proposé en 2006, peu efficace,
 suspect dès l'origine [5] il est néanmoins inclus dans les 
 implémentations et, dans certains cas, activé par défaut. Il est 
 difficile d'imaginer qu'une entreprise comme RSA ait manqué des 
 compétences nécessaires à l'évaluation des conséquences d'un tel 
 choix.

 On peut aussi considérer la situation sous un angle plus positif.
 Après Snowden, nous pouvons agir en connaissance de cause.
 Le monde entier utilise les standards du NIST et les certifications
 américaines (FIPS) pour sélectionner et évaluer la sécurité des fonctions
 cryptographiques. Ce choix est essentiellement effectué par défaut. 
 C'est l'apathie des acheteurs de sécurité qui a fait que les critères
 du gouvernement américain sont ceux du monde entier.
  
 Si on pense qu'une cryptographie forte est aujourd'hui nécessaire,
 quitte à ce qu'elle serve autant la protection légitime des
 organisations et entreprises, de l'activiste politique, que celle, plus
 discutable, du criminel, il est temps de se réveiller. 
 Nous sommes à une croisée des chemins : soit les organismes 
 gouvernementaux sont laissés en charge des standards et des 
 recommandations d'implémentation, au nom de la protection de tous
 contre quelques-uns (et qui veut protéger la vie privée des terroristes
 et pédophiles ?), soit la communauté technique opte pour s'abstraire 
 des pressions des Etats et crée les options qui permettent que des
 mécanismes cryptographiques accessibles à tous contre-balancent un 
 tant soit peu l'envahissement des appareils informatiques et de leurs 
 capteurs dans nos intimités.

 Des solutions existent. Des organismes comme l'IETF peuvent et 
 devraient émettre des recommandations justifiées par des 
 argumentations publiques, issues du monde de la recherche ouverte,
 élargissant le panel des configurations possibles. Des évaluations 
 systématiques des mécanismes comme eCrypt existent. Certains 
 protocoles vitaux peuvent être revus, améliorés. Des implémentations
 en source ouvert auditables et fonctionnelles sont indispensables.

 Il ne serait pas difficile d'ajouter à TLS, S/MIME, IPSec, OpenPGP le
 support de modes de fonctionnement incluant des algorithmes
 sélectionnés indépendamment du NIST. Certains, comme la famille GOST
 russe ou CAMELIA d'origine japonaise sont d'ailleurs déjà supportés
 par TLS[6].

 Cette étape est entre les mains de ceux d'entre nous qui participent
 aux différents groupes de travail et de normalisation technique, et à
 ceux qui travaillent sur les implémentations.

 L'étape suivante, celle de la mise en oeuvre, serait à la charge de toute
 la communauté de la sécurité.
 
 Si lors d'audits de configuration, les consultants HSC de 2020
 rencontrent des configurations mentionnant Salsa20 et Blake, nous
 saurons que la communauté de la sécurité informatique a mûri,
 privilégiant la protection de chacun à la tutelle paternelle, mais
 un peu intrusive, des Nations.
  

[1] http://www.theguardian.com/commentisfree/2013/sep/05/government-betrayed-internet-nsa-spying
[2] http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance
[3] http://www.wired.com/threatlevel/2013/09/nsa-backdoor/all/
[4] http://blog.cryptographyengineering.com/2013/09/the-many-flaws-of-dualecdrbg.html
[5] https://www.schneier.com/blog/archives/2007/11/the_strange_sto.html
[6] Mais un choix inspiré par une autorité gouvernementale russe ou
    japonaise n'a pas de raison d'être plus fiable que si elle est américaine.



--[ 2. Le saviez-vous ? La question ]-----------------------------------

   Lors d'un test d'intrusion web il est parfois utile de récupérer la date de
 dernière modification d'un fichier sur le serveur. L'en-tête Last-Modified est
 alors très utile car il offre directement la réponse.

 Savez-vous comment obtenir cette information lorsque cet en-tête n'est pas
 présent ?

     Réponse au paragraphe 9.



--[ 3. Appel à communication : Conférence annuelle du Club 27001 ]------
      
     Le Club 27001 (http://www.club-27001.fr/), association à but non
 lucratif, organise à Paris le mardi 18 mars 2014 sa sixième conférence
 annuelle autour des usages des normes ISO 2700X. Cette conférence se
 déroulera à Paris à l'espace Saint-Martin dans le cadre des
 GS-DAYS (http://www.gsdays.fr).

 La conférence annuelle du Club 27001 privilégie les retours d'expérience
 dans l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la
 mise en oeuvre d'une des normes, de leur usage y compris sans certification,
 des difficultés rencontrées et des intérêts perçus.

     Voici les thèmes sur lesquels nous attendons des propositions, sans
 que ceux-ci soient exhaustifs :

  - Mise en oeuvre d'un SMSI
     . Retour d'expérience
     . Reprise de l'existant
     . Comment engager sa direction générale
     . Comment surmonter la peur du SMSI
  - Gestion des risques liés à la sécurité de l'information
     . Retour d'expérience de mise en oeuvre de l'ISO 27005
     . Technique d'entretien et d'implication des métiers
     . Échelles et calcul du risque
     . Interactions avec les autres gestions des risques : opérationnels,
       industriels, CHSCT, financiers, etc.
     . Intérêts de l'ISO 27005 dans les projets, les systèmes embarqués, etc.
     . Usage d'ISO27005 vs usage d'EBIOS, de Mehari ou de RiskIT
  - Versions 2013 des normes ISO 27001 et ISO 27002
  - Audits internes
     . Mise en place d'audits internes pour le SMSI
     . Mutualisation des audits internes ISO 27001 (avec ISO 9001, etc.)
     . Utilisation de l'ISO 19011 et ISO 27006
  - Gestion des incidents liés à la sécurité
     . Retours d'expérience
     . Usage de l'ISO 27035
     . Liens avec d'autres référentiels (NIST SP800-61rev1, etc.)
  - Indicateurs, métriques et tableaux de bord
     . Retours d'expérience
     . Usage de l'ISO 27004
     . Liens avec d'autres référentiels (TBSSI de l'ANSSI, NIST SP800-50, etc.)
  - Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
     . Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
       des risques
     . Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc.) avec
       ISO 27001
     . Mutualisation, opposition, complémentarité, déclencheur, etc.
     . Cohabitation ISO 27001 et ISO 20000-1 / ITIL (services informatiques),
       ISO 27013
     . Coordination entre la SSI (ISO 27001) et la continuité d'activité :
       ISO 22301 (SMCA), ISO 27031 et ISO 22313 (ex-BS25599)
     . CobiT (audit informatique, contrôle interne)
     . Utilisations d'ISO 27001 dans le cadre ou en concomitance avec d'autres
       référentiels de sécurité : RGS, PCI DSS, SoX, Bâle II/Solvency II,
       hébergeur de données de santé, ARJEL, WLA, etc.
     . Applications sectorielles de l'ISO 27001 : télécommunications,
       santé (27011, 27799, etc)
  - Certification ISO 27001 et audits de SMSI
     . Retour d'expérience des accréditeurs, des organismes de certification,
       des auditeurs et des audités
     . Contrôle de l'appréciation des risques
     . Interprétations de la Déclaration d'Applicabilité
     . Mise à jour des normes d'audit et de certification (ISO 19011,
       ISO 17021, ISO 27006)

     Les propositions doivent faire part d'un retour d'expérience pratique,
 et ne doivent pas être la présentation d'une offre de service, d'un
 produit ou plus généralement d'une solution commerciale. Le comité de
 programme sera sensible à l'aspect pratique des propositions. Cependant, les
 propositions présentant une analyse ou un comparatif fondé sur des tests
 scientifiques pourraient être acceptées.

 Les présentations feront de 35 à 45 minutes et seront en français ou en
 anglais.

 Contenu des soumissions à envoyer à conference at club-27001.fr :
    - Nom de l'auteur, biographie et affiliation
    - Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
    - Format libre

 Calendrier 
    - 14 janvier 2014 : date limite de réception des soumissions
    - 28 janvier 2014 : notification aux auteurs et
                        publication du pré-programme
    - 14 février 2014 : publication du programme définitif
    - 3 mars 2014 : réception des présentations
    - 18 mars 2014 : conférence


 Le comité de programme est composé des membres de l'association élus au
 conseil d'administration, soit :
     - Bertrand Augé, Kleverware
     - Gérôme Billois, Solucom
     - Guillaume Corbillé, Laser
     - Claire Cossard, CNAM-TS
     - Francis Delbos, ID Nouvelles
     - Eric Doyen, Humanis
     - Emmanuel Garnier, Systalians
     - Loïc Guézo, Trendmicro
     - Anne Mur, On'X-Edelweb
     - Carl Roller, Akamai
     - Hervé Schauer, HSC



--[ 4. Appel à communication : Conférence GS-Days ]---------------------
      
     La 6ème édition des GS Days se déroulera le 18 mars 2014 à l'Espace
 Saint-Martin au coeur de Paris, 199 bis, rue Saint-Martin, 75003 Paris.
 L'objectif des GS-Days, Journées francophones de la sécurité, est d'établir
 le dialogue entre le monde de la technique (administrateurs, experts
 sécurité), les RSSI, DSI et les décideurs. Ce colloque, exclusivement en
 français, propose dans un même espace plusieurs cycles de conférences et
 de démonstrations d'exploitation de faille informatique, sous un angle
 technique, organisationnel et juridique.

     Quelques exemples de thèmes sur lesquels nous attendons des soumissions :

 * Thèmes techniques :
     o Attaques :
         - Attaques ciblées
         - Logiciels malfaisants, 'botnets", vers
         - Mythes et réalités de la sécurité du 'Cloud Computing'
         - Nouvelles tendances d'attaque : systèmes embarqués, attaques
           matérielles, etc.
         - Industrialisation des attaques

     o Évolution des moyens de protection :
         - WAF, outils de lutte anti-DDoS...
         - Quels outils et quels paramétrages adaptés : IDS/IPS, firewall, etc.
         - Protection de l'information, récupération de données, effacement
           sécurisé, etc.

 * Thèmes organisationnels :
     o Rôle de l'état dans la SSI
         - Qu'est-ce qui est régalien et ne l'est pas en SSI
         - La qualification des prestataires en SSI
     o Gouvernance de l'information
         - Ingénierie sociale et aspects humains
         - Centralisation de l'information, le 'Big Data'
         - Nouveaux usages du SI
         - Réseaux sociaux et sécurité
         - BYOD
         - Enseignement et formation de la SSI
     o Guerre de l'information
         - Evolution du renseignement, interception
         - L'intelligence économique passe-t-elle par l'espionnage ?
         - Cyberguerre : implication des états, attribution

 * Thèmes juridiques :
     - M-Payment et M-Banking
     - Réputation en ligne : quel recours juridique ?
     - Le droit peut-il quelque chose en cas de fuite d'informations ?

     Les présentations attendues devront proposer une vision technique ou
 scientifique. Les présentations à fin commerciale ou la présentation
 d'un produit ne seront pas acceptées. Cependant, les propositions
 présentant une analyse technique de la sécurité d'un produit, un
 comparatif fondé sur des tests scientifiques, et les retours
 d'expérience avec un aspect technologique, seront examinées avec attention.

 Le format des conférences sera de 50 minutes, dont 5 à 10 minutes de
 questions.

     Le comité de Programme qui sélectionnera les conférenciers et le contenu
 du colloque à partir des soumissions reçues est composé de Marc Jacob et
 Emmanuelle Lamandé (Global Security Mag, organisateur), Eric Doyen (Humanis),
 Emmanuel Garnier (Systalians), Olivier Guérin (CLUSIF), Philippe Humeau (NBS),
 Diane Mullenex (Cabinet Ichay et Mullenex), Olivier Revenu (EdelWeb), Hervé
 Schauer (HSC) et Paul Such (SCRT).


 Contenu des soumissions à envoyer à Marc.Jacob at globalsecuritymag.com :
    - Nom de l'auteur, biographie et affiliation
    - Catégorie de la soumission (technique/organisationelle/juridique)
    - Synopsis d'une à 2 pages de l'intervention avec un plan de celle-ci
    - Format PDF préféré.

  Calendrier
     - 10 janvier 2014 : date limite de réception des soumissions
     - 24 janvier 2014 : notification aux auteurs
     - 10 mars 2014 : réception des présentations définitives
     - 18 mars 2014 de 8h30 à 18h30 : conférence



--[ 5. Nouveautés du site web HSC ]-------------------------------------

 - Présentation "ISO 27001:2013 - Comparatif avec la version 2005" par
   Béatrice Joucreau le 18 septembre 2013 au Club 27001
   http://www.hsc.fr/ressources/presentations/club27001-ISO-27001-2013/

 - Présentation "Qualification des prestataires en sécurité" par Hervé
   Schauer le 17 septembre 2013 lors de la conférence RGS 2013
   http://www.hsc.fr/ressources/presentations/rgs13-qualif/i



--[ 6. Offres d'emploi pour consultants en sécurité ]-------------------

  +------------------------------------------------------------------------+
  | HSC recherche des consultants techniques expérimentés 2 à 6 ans d'exp. |
  +------------------------------------------------------------------------+

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC,
 (intrusion, inforensique, Windows, SCADA, etc) soit 2 à 6 semaines de
 formations suivies dans le cadre de la prise de fonction.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ascii (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 6. Agenda des interventions publiques ]-----------------------------

 - 1 octobre 2013 - Journée Technique CNEJITA - Paris Hôtel Kyriad Bercy
  "Ingéniérie sociale : aspects juridiques et mise en oeuvre"
   Quentin Gaumer
   http://www.cnejita.org/activites/56-prochaines-formations-techniques.html

 - 16 octobre 2013 - Conférence SecureParis 2013 - Paris Hôtel Intercontinental
   organisée par ISC2
   "Comment gérer les problèmes de sécurité SCADA ?"
   Hervé Schauer
   https://www.isc2.org/EventDetails.aspx?id=10819

 - 5 novembre 2013 - Matinée CNIS-Mag - Paris Hôtel Intercontinental
   Table-ronde "Big Data, Cloud et Virtualisation : quelle sécurité ?
   Faut-il repenser la sécurité ?"
   Hervé Schauer
   http://www.cnis-mag.com/

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 7. Prochaines formations HSC ]--------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        EBIOS Risk Manager    ..................    : 7 au 9 octobre (#)
        Formation RSSI    ......................    : 7 au 11 octobre
        ISO 27005 Risk Manager    ..............    : 14 au 16 octobre (#)
        ISO 27001 Lead Implementer    ..........    : 14 au 18 octobre (#)
        Protéger les applis web (DEV522 /GIAC GWEB) : 14 au 18 octobre (*)(#)
        ISO 27001 Lead Auditor    ..............    : 21 au 25 octobre (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 21 au 25 octobre (*)(#)
        Correspondant Informatique et Libertés      : 24 et 25 octobre (@)
        Rétroingénierie de logiciels malfaisants :
        Outils et techniques d'analyse 
        (SANS FOR610/GIAC GREM)   ..............    : 4 au 8 novembre (*)
        ISO 27001 Lead Implementer    ..........    : 4 au 8 novembre (#)
        Essentiels techniques de la SSI    .....    : 12 et 13 novembre
        PKI : principes et mise en oeuvre    ...    : 12 au 14 novembre (*)
        Essentiels juridiques pour gérer la SSI     : 14 et 15 novembre
        Sécurité SCADA  ........................    : 15 novembre
        Essentiel de PCI-DSS    ................    : 21 novembre
        RGS : la SSI pour le secteur public    .    : 22 novembre
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 18 au 22 novembre (*)(#)
        Formation DNSSEC   .....................    : 28 et 29 novembre (*)
        ISO 27005 Risk Manager    ..............    : 25 au 27 novembre (#)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 25 au 30 novembre (*)(#)
        Correspondant Informatique et Libertés      : 2 et 3 décembre (@)
        ISO 27001 Lead Auditor    ..............    : 2 au 6 décembre (#)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 2 au 6 décembre (*)(#)
        Essentiels de l'ISO27001:2013    .......    : 9 décembre
        ISO 22301 Lead Implementer    ..........    : 9 au 13 décembre (#)
        Mesures de sécurité ISO 27002   ........    : 10 et 11 décembre
        Gestion des incidents de sécurité/ISO27035  : 12 décembre
        Indicateurs & tableaux de bord SSI/ISO27004 : 13 décembre
        ISO 27005 Risk Manager    ..............    : 16 au 18 décembre (#)
        Risk Manager Avancé    .................    : 19 et 20 décembre
        ISO 27001 Lead Implementer    ..........    : 20 au 24 janvier 2014 (#)
        Techniques de hacking, exploitation de failes
        et gestion des incidents (SEC504/GCIH)      : 3 au 7 février (*)(#)
        Essentiels de l'ISO22301    ............    : 7 février
        ISO 22301 Lead Auditor    ..............    : 10 au 14 février (#)
        EBIOS Risk Manager    ..................    : 17 au 19 février (#)
        Formation CISSP    .....................    : 3 au 7 mars (#)
        Sécurité du WiFi    ....................    : 19 et 20 mars  (*)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 7 au 11 avril (*)(#)
        Fondamentaux & principes de la SSI 
        (SANS SEC401/GIAC GSEC)   ..............    : 14 au 19 avril (*)(#)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 19 au 23 mai (*)(#)
        Inforensique réseau & infrastruct. (FOR558) : 1er semestre 2014 (*)
        Inforensique téléphones/ordiphones (FOR563) : 1er semestre 2014 (*)(#)
        Sécurité du Cloud Computing    .........    : 26 au 27 octobre

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2 ou GIAC
 (@) : formation labellisée par la CNIL (www.cnil.fr)


 - Luxembourg
        ISO 27005 Risk Manager    ..............    : 16 au 18 octobre (#)
        ISO 27001 Lead Auditor    ..............    : 18 au 22 novembre (#)
        ISO 22301 Lead Implementer    ..........    : 16 au 20 juin 2014 (#)
        ISO 27001 Lead Implementer    ..........    : 27 au 31 octobre 2014 (#)

 - Lyon
        Correspondant Informatique et Libertés      : 26 au 28 mars 2014 (@)
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre
        ISO 27001 Lead Implementer    ..........    : 2ième trimestre 2014 (#)
        ISO 27005 Risk Manager    ..............    : 4ième trimester 2014 (#)

 - Marseille
        ISO 22301 Lead Implementer    ..........    : 19 au 21 novembre 2014(#)
        Correspondant Informatique et Libertés      : mars 2014 (@)

 - Rennes
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Correspondant Informatique et Libertés      : 21 au 23 mai 2014 (@)

 - Toulouse
        Essentiels juridiques pour gérer la SSI     : 8 et 9 octobre
        Correspondant Informatique et Libertés .    : 19 et 20 décembre (@)
        ISO 27005 Risk Manager    ..............    : mai 2014 (#)
        ISO 27001 Lead Implementer    ..........    : juin 2014 (#)
        Correspondant Informatique et Libertés .    : 1 au 3 ctobre (@)
        ISO 27001 Lead Auditor    ..............    : juin 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Moody sur
 ses formations.

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
 au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2012 en PDF sur http://www.hsc-formation.fr/



--[ 8. Actualité des associations : Club 27001 et OSSIR ]-----------------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le jeudi 28 novembre 2013 avec
       l'assemblée générale annuelle qui suivra la réunion.
     . Présentations et compte-rendu de la réunion du 18 septembre sont
       en ligne sur http://www.club-27001.fr/
     . Prochaine réunion à Toulouse le 27 septembre
          - Débat sur la vie privée à l'horizon 2020
     . Prochaines réunions à Marseille, Rennes et Lyon annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 8 octobre 2013 chez Solucom
         - La cybersécurité vue des USA par Renaud Deraison (Tenable)
         - BYOD: Bring Your Own Deception ? par Antoine Durand
           (Oxylane, groupe Decathlon)
         - Revue d'actualité par Nicolas Ruff (EADS)
     . Réunion suivante à Paris le mardi 12 novembre
     . Prochaine réunion à Rennes en fin d'année
     . Prochaine réunion à Toulouse le mardi 19 novembre
     . Prochain AfterWorks OSSIR à Paris mardi 22 octobre
     . JSSI de l'OSSIR le lundi 17 mars 2014, réservez votre date, les
       GS-DAYS suivront le 18 mars 2014 (www.gsdays.fr).



--[ 9. Le saviez-vous ? La réponse ]-------------------------------------


     Le champ Last-Modified d'une réponse HTTP peut être supprimé en ajoutant
 par exemple dans la configuration d'Apache la valeur 
 "Header unset Last-Modified".
 
 Il est néanmoins possible de récupérer la date de dernière modification
 à l'aide des requêtes conditionnelles HTTP.
 
 Les requêtes conditionnelles HTTP permettent d'économiser des ressources
 en indiquant au serveur web de ne retourner son contenu que si 
 celui-ci est différent de la dernière version mise en cache par le client.
 Deux indicateurs peuvent être utilisés afin de comparer les deux versions :
     - Un e-tag, identifiant censé être unique associé à la ressource
     - La date de dernière modification de la ressource
 Si la ressource du client n'a pas été modifiée depuis, le serveur répond
 par un message HTTP de code 304. Il est donc possible en demandant au
 serveur si la ressource a changé depuis une date qu'on fait varier d'obtenir
 la date de dernière modification.
 
 Voici une preuve de concept écrite en Python permettant de retrouver par 
 dichotomie la date de dernière modification:

#!/bin/python2.7
import urllib2
from time import gmtime, strftime, time

begin_date_sec = 0
end_date_sec = int(time())
request_http = urllib2.Request('http://www.nsa.gov')

while begin_date_sec != end_date_sec:
    middle_date_sec = begin_date_sec + (end_date_sec - begin_date_sec) / 2
    request_http.add_header("If-Modified-Since", \
        strftime("%a, %d %b %Y %H:%M:%S GMT", gmtime(middle_date_sec)))
    try:
        urllib2.urlopen(request_http)
        begin_date_sec = middle_date_sec
    except urllib2.HTTPError:
        end_date_sec = middle_date_sec

print "Last Modified :", strftime("%a, %d %b %Y %H:%M:%S GMT", \
  gmtime(begin_date_sec))

 Une solution si on désire cacher cette information, consiste à supprimer
 l'en-tête If-Modified-Since des requêtes délivrées au serveur. Cela est par
 exemple possible en utilisant la directive suivante dans un fichier de
 configuration d'Apache :
 "RequestHeader unset If-Modified-Since"

 Il est aussi possible de retrouver la date de dernière modification dans 
 l'en-tête ETag si celui-ci est présent. Pour Apache, cet en-tête peut être
 composé des champs suivants : numéro d'inode, date de dernière 
 modification et taille. L'en-tête ETag supporte mal l'utilisation
 d'une architecture web repartie, il est donc souvent désactivé. 

   Il est important de noter que dans ce cas, les fichiers sont toujours
 renvoyés dans leur intégralité au client ce qui va dégrader les performances
 et peut créer des problèmes de congestion. Un contournement possible
 consisterait à utiliser les champs Expires ou Cache-Control.

   Enfin, des sites comme https://archive.org/ pourraient toujours être 
 utilisés afin d'obtenir une approximation de la date de dernière 
 modification d'un fichier ainsi que ses versions précédentes.

-- Danil Bazin




Plus d'informations sur la liste de diffusion newsletter