GLOSSAIRE

   

 

A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - Q - R - S - T - U - V - W - X - Y - Z

 

   

 

Accaparement de noms de domaine (Cybersquatting, Domain Name Grabbing) 

Action malveillante qui consiste à faire enregistrer un nom de domaine dans le seul but de bloquer toute attribution ultérieure de ce nom au profit de titulaires plus naturels ou légitimes. Remarques : L’objectif est souvent d’obtenir un avantage financier en échange de la rétrocession du nom ainsi détourné. Cette pratique est particulièrement fréquente pour certains noms de domaine comme .net, .com, ou .org. Références : Pour régler les litiges du .fr et du .re, se reporter à l’Association française pour le nommage internet en coopération, AFNIC, Les procédures alternatives de résolution de litiges (PARL) du .fr et du .re. Voir aussi : Rançongiciel (Ransomware)

Accès sans fil (Wi-Fi)

Technologie de réseau informatique sans fil pouvant fonctionner pour construire un réseau interne accédant à Internet à haut débit. Cette technologie est basée sur la norme IEEE 802.11 (ISO/CEI 8802-11). Remarques : L’accès sans fil rend nécessaire l’élaboration d’une politique de sécurité dans les entreprises et chez les particuliers, par le biais de la norme 802.11i (WPA2 ou Wi-Fi Protected Access) notamment.

Authentification, Identification

L’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité.

 

 

   

 

Backdoor

Voir aussi : Porte dérobée

Balayage de ports (Port scanning)

Technique qui consiste à envoyer des paquets de données sur les différents ports d’une machine, puis à en déduire les états (la disponibilité) de ces ports en fonction de la réponse retournée, si elle existe. Remarques : Cette technique peut être utilisée pour découvrir les services fonctionnant sur la machine, en faisant une extrapolation entre les ports vus en l’état ouvert, et les services fonctionnant traditionnellement avec ce port. Les paquets de données peuvent être envoyés sur les ports linéairement (l’un à la suite de l’autre), ou bien de manière plus discrète, en modifiant les temps d’envoi des paquets, en les envoyant dans un ordre aléatoire ou à partir de plusieurs adresses IPs. Voir aussi : Code malveillant, logiciel malveillant (Malicious software, malware), Porte dérobée (Backdoor), Test d’intrusion (Penetration Test)

Bluetooth

Sous le nom Bluetooth se cache la norme 802.15.1 qui permet des communications radio à courte portée donc sans fil. Bluetooth ou « La dent bleue » provient du nom d’un ancien roi viking. Il existe plusieurs versions, dont les plus répandues sont actuellement v1.2 (débit théorique de 1 Mbit/s) et v2.0 (débit théorique de 3 Mbit/s). Voir aussi : Wi-Fi (Wireless Fidelity)

Bombardement de courriels (Mail bombing)

Envoi d’une grande quantité de courriels à un destinataire unique dans une intention malveillante. Remarques : Forme particulière de déni de service contre les systèmes de courriers électroniques. Voir aussi : Courriel (e-mail, mail), Déni de service (Denial of Service, DoS), Pourriel, polluriel (spam)

Bombe programmée, bombe logique (Logic bomb)

Logiciel malveillant conçu pour causer des dommages à un système informatique et qui est déclenché lorsque certaines conditions sont réunies. Remarques : Certains virus contiennent une fonction de bombe logique : déclenchement à date fixe, déclenchement quand une adresse réticulaire (URL) particulière est renseignée dans le navigateur, etc.

Botnet

Voir aussi : Réseaux de machines zombies

Broadcast

Voir aussi : Diffusion générale

 

 

   

 

Canal caché (Covert Channel)

Canal de communication qui permet à un processus malveillant de transférer des informations d’une manière dissimulée. Le canal caché assure une communication par l’exploitation d’un mécanisme qui n’est pas censé servir à la communication. Remarques : Les canaux cachés sont l’objet de nombreux travaux de recherche, tant pour les créer que pour les détecter.

Canular

Information vraie ou fausse, souvent transmise par messagerie électronique ou dans un forum, et incitant les destinataires à effectuer des opérations ou à prendre des initiatives, souvent dommageables. Remarques : Il peut s’agir d’une fausse alerte aux virus,de chaîne de solidarité, pétitions, promesse de cadeaux, etc. Quelques canulars fréquents sont répertoriés sur des sites dédiés comme « Hoaxbuster » ou « Hoaxkiller ».

Capteur clavier, enregistreur de frappes (Keylogger, keystroke logger)

Logiciel ou matériel employé par un utilisateur malveillant pour capturer ce qu’une personne frappe au clavier. Remarques : Cette technique permet de voler efficacement les mots de passe, les données bancaires, les messages électroniques, etc.

Certification de sécurité

Délivrée par l’ANSSI. Elle porte sur des produits de sécurité (matériels ou logiciels). Elle atteste de la conformité d’un produit de sécurité à un niveau de sécurité donné. Il s’agit d’une évaluation à l’état de l’art réalisée en fonction d’une cible de sécurité et d’un niveau de sécurité visé. Elle est matérialisée par un rapport de certification et un certificat tous deux signés par le Directeur Général de l’Agence. Le catalogue des produits de sécurité certifiés, accompagnés de leur cible de sécurité et de leur rapport de certification est publié sur le site Web de l’Agence. On parle de certification « premier niveau » (CSPN) ou de certification « Critères Communs ». Cette certification est délivrée par l’ANSSI sur la base des travaux dévaluation menés par un CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information). Les CESTI sont des laboratoires accrédités par le COFRAC (Comité Français d’Accréditation) et agréés par l’ANSSI. Le catalogue des CESTI est publié sur le site Web de l’Agence. Au sein de l’ANSSI, c’est le Centre National de Certification de la Sous-direction Expertise qui remplit ces missions.

Cheval de Troie (Trojan Horse)

Programme donnant l’impression d’avoir une fonction utile, mais qui possède par ailleurs une fonction cachée et potentiellement malveillante. Remarques : La fonction cachée exploite parfois les autorisations légitimes d’une entité du système qui invoque ce programme. Elle peut par exemple permettre la collecte frauduleuse, la falsification ou la destruction de données.

Chiffrement

Transformation cryptographique de données produisant un cryptogramme.

Clonage de serveur DNS (DNS pharming)

Activité malveillante visant à modifier un serveur DNS (serveur de noms de domaine), dans le but de rediriger un nom de domaine vers une adresse IP différente de l’adresse légitime. En croyant aller sur un site connu, l’internaute navigue en réalité sur un site factice. Remarques : le trafic envoyé au domaine souhaité (organisme bancaire, messagerie électronique, etc.) peut être capturé par un utilisateur malveillant, qui, par exemple, a déjà copié des pages du domaine visé à l’adresse nouvellement indiquée par le DNS. La personne qui se connecte au domaine risque alors d’entrer des informations confidentielles sur le site factice, même si elle a pris la précaution de renseigner l’adresse correcte.

Code confidentiel d’une carte bancaire

Le code à 4 chiffres associé à une carte bancaire permet de valider un acte de paiement ou de retrait d’argent sur un distributeur de billets. Il équivaut à la signature du porteur et donc à l’engagement du porteur sur l’acte d’achat. Le code est rigoureusement personnel et ne doit pas être communiqué à des tiers même au sein de la famille. Il est fortement déconseillé de réutiliser le code de la carte pour d’autres codes d’accès comme celui d’un digicode d’une porte d’entrée ou du code de déverrouillage d’un téléphone portable.

Code d’exploitation (Exploit)

Tout ou partie d’un programme permettant d’utiliser une vulnérabilité ou un ensemble de vulnérabilités d’un logiciel (du système ou d’une application) à des fins malveillantes. Remarques : Les objectifs malveillants consistent souvent en une intrusion, une élévation de privilèges ou un déni de service. L’exploitation peut se faire directement à partir du système ciblé si l’utilisateur malveillant possède un accès physique (local exploit), ou à distance s’il s’y connecte (remote exploit).

Code malveillant, logiciel malveillant (malicious software, malware)

Tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau. Remarques : Les virus ou les vers sont deux types de codes malveillants connus. Voir aussi : Rançongiciel (Ransomware), Code malveillant, logiciel malveillant (Malicious software, malware), Outils de dissimulation d’activité (Rootkit), Ver (Worm), Virus, Vulnérabilité (Vulnerability)

Compte privilégié

Un compte privilégié est un compte bénéficiant de droits d’accès étendus permettant à des utilisateurs malveillants de porter plus facilement ou plus gravement atteinte à la sécurité ou au fonctionnement du SIIV. Les comptes privilégiés sont par exemple des comptes d’administrateurs ou des comptes d’utilisateurs disposant de droits à fort impact métier dans une application.

Confidentialité

Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés.

Contournement de la politique de sécurité

Toute action ayant pour conséquence la mise en échec des règles ou des mécanismes de sécurité mis en place.

Coquille

Voir aussi : Faute de frappe opportuniste, coquille (Typosquatting)

Courriel (e-mail, mail)

Document informatisé qu’un utilisateur saisit, envoie ou consulte en différé par l’intermédiaire d’un réseau. L’adresse électronique de l’internaute (adresse e-mail) est le plus souvent composée d’un nom d’utilisateur et d’un nom de domaine séparés par un @. Remarques : Un courriel contient le plus souvent un texte auquel peuvent être joints d’autres textes, des images ou des sons. Par extension, le terme « courriel » et son synonyme « courrier électronique » sont employés au sens de « messagerie électronique ».

Critères Communs (CC)

Il s’agit d’un standard internationalement reconnu s’inscrivant dans des accords de reconnaissance multilatéraux. Les CC définissent notamment différents niveaux de profondeur dans l’évaluation permettant ainsi d’atteindre des niveaux d’assurance plus ou moins élevés dans la sécurité du produit : les EAL (Evaluation Assurance Level). Plus le niveau visé est élevé, plus les contraintes en termes d’éléments de preuve que doit fournir le développeur au laboratoire sont importantes et plus les coûts d’évaluation sont conséquents. Une évaluation CC dure en moyenne entre 6 et 18 mois (selon le type de produit, le niveau visé et la maturité du développeur) et nécessite des moyens financiers importants.

 

 

   

 

Défiguration, barbouillage (defacement)

Résultat d’une activité malveillante qui a modifié l’apparence ou le contenu d’un serveur internet, et a donc violé l’intégrité des pages en les altérant. Remarques : Cette action malveillante est souvent accompagnée de revendications.

Démonstration de faisabilité (Proof of Concept, PoC)

Code écrit pour démontrer la faisabilité d’une attaque utilisant une vulnérabilité donnée. Remarques : Ce code de démonstration n’est généralement pas malveillant. Il est souvent écrit pour inciter l’éditeur à produire un correctif pour la vulnérabilité. Toutefois, il est évident qu’un code malveillant peut être développé par la suite, à partir de ce code rendu public.

Déni de service (Denial of Service, DoS)

Action ayant pour effet d’empêcher ou de limiter fortement la capacité d’un système à fournir le service attendu. Remarques : Cette action n’est pas nécessairement malveillante. Elle peut aussi traduire un mauvais dimensionnement du service, incapable de fournir la réponse à une forte demande. Si l’action est lancée depuis plusieurs sources, il est fréquent de parler de Déni de Service Distribué (DDoS).

Dépassement ou débordement de mémoire (buffer overflow)

Technique d’exploitation d’une vulnérabilité dans le code d’un programme qui ne vérifie pas correctement la taille de certaines données qu’il manipule.Remarques : À titre d’illustration, le principe peut être utilisé pour profiter de l’accès à certaines variables du programme, par le biais de fonctions particulières. Il faut considérer celles qui ne contrôlent pas la taille de la variable à enregistrer dans le tampon, afin de pouvoir écraser la mémoire jusqu’à l’adresse de retour de la fonction en cours d’exécution. L’utilisateur malveillant peut alors choisir les prochaines instructions qui seront exécutées par le système. Le code introduit est généralement lancé avec les droits du programme détourné. Les exemples de fonctions les plus communément employées de façon vulnérable sont scanf() ou strcpy() dans la bibliothèque du langage C.

Diffusion générale (broadcast)

Méthode de transmission de données à l’ensemble d’un réseau.

DNS (domain name system)

Voir aussi : Système d’adressage par domaines (domain name system, DNS)

DNSSEC (Domain Name System Security Extensions)

Extension pour la sécurité du protocole DNS (Domain Name System).

 

   

 

E-mail

Voir aussi : Courriel (e-mail, mail)

Elévation de privilège (privilege escalation)

Obtention de privilège supérieur par exploitation d’une vulnérabilité. Par exemple, si un utilisateur local accède à des droits normalement réservés à l’administrateur, il y a élévation de privilège. Une élévation de privilège est souvent recherchée par une personne malveillante lorsqu’elle a réussi à s’introduire sur un système d’information en usurpant l’identité d’un utilisateur légitime.

Espiogiciel (spyware)

Logiciel dont l’objectif est de collecter et de transmettre à des tiers des informations sur l’environnement sur lequel il est installé, sur les usages habituels des utilisateurs du système, à l’insu du propriétaire et de l’utilisateur.

Exécution de code arbitraire à distance

Mise en œuvre de commandes à distance sur un ordinateur, à l’insu de son utilisateur légitime.

 

 

   

 

Faille

Vulnérabilité dans un système informatique permettant à un attaquant de porter atteinte à son fonctionnement normal, à la confidentialité ou à l’intégrité des données qu’il contient.

Faute de frappe opportuniste, coquille (Typosquatting)

Action malveillante qui consiste à déposer un nom de domaine très proche d’un autre nom de domaine, dont seuls un ou deux caractères diffèrent. Remarques : Les objectifs de cette action sont de capter une partie du trafic adressé au site officiel. Par exemple, nous pouvons imaginer un nom de domaine correspondant à certa.ssi.gouve.fr, ou encore certa.ssi.gouv_.fr

Filoutage

Voir aussi : Hameçonnage, filoutage (Phishing)

Filtrage

Dispositif permettant de réduire les communications entre deux parties d’un système d’information, par exemple par la déclaration de plages d’adresse réseau autorisées à communiquer entre elles, ou par la déclaration des protocoles autorisés dans cette communication. Dans le cas de TCP ou d’UDP, le filtrage se basera sur un numéro de port.

Firewall

Voir aussi : Pare-feu (Firewall)

Fonction de hachage (hash function)

Fonction cryptographique qui transforme une chaîne de caractères de taille quelconque en une chaîne de caractères de taille fixe et généralement inférieure. Cette fonction satisfait entre autres deux propriétés :

  • la fonction est « à sens unique » : il est difficile pour une image de la fonction donnée de calculer l’antécédent associé ;
  • la fonction est « sans collision » : il est difficile de trouver deux antécédents différents de la fonction ayant la même image.

Fournisseur d’accès à internet (FAI)

Entreprise ou personne dont l’activité est d’offrir un accès à des services de communication au public en ligne, autrement dit à l’internet ; cf. liste des membres de l’association des fournisseurs d’accès en France sur AFA.

 

 

   

 

Garde-barrière

Voir aussi : Pare-feu (Firewall)

 

 

   

 

Hachage

Voir aussi : Fonction de hachage (hash function)

Hameçonnage ciblé (spearphishing)

Cette attaque repose généralement sur une usurpation de l’identité de l’expéditeur, et procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblée. Généralement, le courriel usurpe l’identité d’une personne morale (établissement financier, service public, concurrent…) ou d’une personne physique (collègue de travail, famille, ami…) dans le but de duper le destinataire qu’il invite à ouvrir une pièce jointe malveillante ou à suivre un lien vers un site Web malveillant. Une fois cette première machine contaminée, l’attaquant en prend le contrôle pour manœuvrer au sein du système d’information de l’organisation constituant la véritable cible (on parle ici « d’infiltration »). Une fois sa première victime compromise, l’attaquant cherchera à obtenir des droits « d’administrateur » (on parle alors « d’escalade de privilèges ») pour pouvoir rebondir et s’implanter sur les postes de travail et les serveurs de l’organisation où sont stockées les informations convoitées. Cette manœuvre est également appelée « propagation latérale ». Une fois ses cibles atteintes, il recherchera les informations qu’il s’efforcera de capter le plus discrètement possible (on parle alors ici « d’exfiltration ») soit en une seule fois, en profitant d’une période de moindre surveillance du système (la nuit, durant les vacances scolaires, lors d’un pont…), soit de manière progressive plus insidieuse. Il prend généralement soin de toujours effacer derrière lui toute trace de son activité malveillante.

Hameçonnage, filoutage (Phishing)

Vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime. Remarque : Les sites sont reproduits, après avoir été aspirés. L’utilisateur est souvent invité à visiter le site frauduleux par un courrier électronique.

Hoax

Voir aussi : Canular

Homme-au-milieu, entre-deux (Man-in-the-Middle, MITM)

Catégorie d’attaque où une personne malveillante s’interpose dans un échange de manière transparente pour les utilisateurs ou les systèmes. Remarques : La connexion est maintenue, soit en substituant les éléments transférés, soit en les réinjectant. Une attaque connue dans cette catégorie repose sur une compromission des tables ARP (ARP Poisoning). Contrer les attaques par le milieu est aussi l’un des objectifs des infrastructures de gestion de clés.

Homologation de sécurité

L’homologation est délivrée par une autorité d’homologation pour un système d’information avant sa mise en service opérationnel. L’homologation permet d’identifier, d’atteindre puis de maintenir un niveau de risque de sécurité acceptable pour le système d’information considéré. Elle est imposée pour les systèmes d’information traitant des informations classifiées (IGI 1300) ou pour les télé-services dans le cadre du Référentiel Général de Sécurité (RGS). Dans le cadre des systèmes traitant des informations classifiées (IGI 1300), la décision d’homologation doit être communiquée à l’ANSSI. Dans le cadre des télé-services (RGS), la décision d’homologation doit être communiquée aux utilisateurs des télé-services. L’ANSSI peut, dans certains cas, être autorité d’homologation ou participer aux commissions d’homologation. La liste des homologations délivrées par l’ANSSI ou auxquelles elle a participé n’est pas publiée.

 

 

   

 

Incidents de sécurité

Un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Exemples : utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application, etc.

Information classifiée

L’article 413-9 du Code pénal indique que « les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers dont la divulgation ou auxquels l’accès est de nature à nuire à la défense nationale ou pourrait conduire à la découverte d’un secret de la défense nationale » font l’objet de mesures de classification destinées à restreindre leur diffusion ou leur accès.

Infrastructure de clés publiques (ICP)

Outil cryptographique permettant de garantir l’authenticité des clés publiques par la signature électronique d’autorités de certification organisées de façon hiérarchique. Une ICP est l’un des outils fondamentaux d’une IGC.

Infrastructure de gestion de clés (IGC) (Public Key Infrastructure : PKI)

Ensemble organisé de composantes fournissant des services de gestion des clés cryptographiques et des certificats de clés publiques au profit d’une communauté d’utilisateurs.

Ingénierie sociale (Social Engineering)

Manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes. Remarques : Il s’agit, pour les personnes malveillantes usant de ces méthodes, d’exploiter le facteur humain, qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d’information.

Injection de code indirecte (Cross Site Scripting, CSS, XSS)

Activité malveillante qui consiste à injecter des données arbitraires dans le code de pages HTML. Un utilisateur malveillant peut faire afficher à un site web vulnérable un contenu agressif ; ce contenu peut rediriger l’utilisateur vers d’autres sites, ou transmettre des informations (jetons de sessions, aussi appelés cookies, etc.) ou des droits. Remarques : Les données arbitraires sont souvent écrites en JavaScript, en HTML ou en vbscript. La personne malveillante introduit ainsi du code dans le serveur vulnérable qui héberge le site. Ce serveur est rarement affecté par ce code (porteur sain). Les visiteurs du site, potentiellement victimes, consultent la page contenant le code injecté. L’exécution du code ne se fait pas au niveau du serveur, mais par le client de navigation de l’utilisateur. La notation XSS a été introduite pour remplacer CSS, acronyme déjà utilisé pour signifier Cascading Style Sheet.

Intégrité

Garantie que le système et l’information traitée ne sont modifiés que par une action volontaire et légitime.

Intrusion

L’intrusion est le fait, pour une personne ou un objet, de pénétrer dans un espace (physique, logique, relationnel) défini où sa présence n’est pas souhaitée.

IPsec – IPv4 – IPv6

Voir aussi : Protocole IP

 

 

   

 

Logiciel de contrôle parental ou de filtrage

Il s’agit de systèmes de protection qui s’installent sur un ordinateur et qui permettent notamment de bloquer l’accès aux sites inappropriés aux plus jeunes. Certains permettent également de paramétrer l’accès à l’internet (plages horaires, durée, applications…). Tout ordinateur personnel utilisé par un mineur devrait en être équipé (voir résultats du comparatif des principaux logiciels existants sur le marché)

Logiciel espion

Voir aussi : Espiogiciel (spyware)

Logiciel publicitaire (Adware)

Code ayant pour finalité d’afficher des bandeaux publicitaires par le biais du navigateur internet de l’utilisateur. Remarques : Ce code est très souvent perçu comme une méthode envahissante. Il engendre dans de nombreux cas d’autres effets sur le système, comme l’apparition de fenêtres surgissantes (popups), la dégradation de la bande passante ou de la performance de la machine de l’utilisateur.

Loi de programmation militaire

Promulguée le 18 décembre 2013, la loi de programmation militaire fait suite aux orientations fixées par le Livre blanc sur la défense et la sécurité nationale 2013. Elle constitue l’outil législatif qui va permettre aux opérateurs d’importance vitale pour la Nation, qu’ils soient privés ou publics, de mieux se protéger et à l’ANSSI de mieux les soutenir en cas d’attaque informatique. L’article 22 en particulier confère à l’ANSSI de nouvelles prérogatives : l’agence, au nom du Premier Ministre pourra imposer aux OIV des mesures de sécurité et des contrôles de leurs systèmes d’information les plus critiques.

 

 

   

 

Mail

Voir aussi : Courriel (e-mail, mail)

Malware

Voir aussi : Code malveillant, logiciel malveillant (Malicious software, malware)

Messagerie instantanée (ou MI ou IM)

Logiciel permettant de dialoguer en direct avec une liste connue d’amis.

Ministère coordonnateur

Chaque secteur d’activité d’importance vitale est rattaché à un ministère coordonnateur chargé du pilotage des travaux et des consultations interministérielles. Les ministères apportent leur expertise « métier » sur le secteur d’activité dont ils ont la charge, notamment concernant les enjeux de sécurité. Les ministères désignés sont définis dans l’arrêté du 2 juin 2006, modifié par un arrêté du 3 juillet 2008.

Moisson de courriels (Mail harvesting)

Action qui consiste à parcourir un grand nombre de ressources publiques (pages internet, groupes de discussion, etc.), afin d’y collecter les adresses électroniques avec des intentions malveillantes. Remarques : Les adresses récupérées sont utilisées, par exemple, pour envoyer des courriels contenant des virus, des canulars ou des pourriels. Une méthode pour s’en prémunir est de présenter sur ces ressources publiques une adresse électronique qui trompe les outils de recherche (comme prenom.nom_AT_domain.fr pour les outils cherchant ’@’, caractéristique d’une adresse) ; ceci est appelé address munging. Voir aussi : Canular (Hoax), Courriel (e-mail, mail), Pourriel, polluriel (spam).

Mot de passe (Password)

Un mot de passe est un élément de déverrouillage servant dans la vérification de l’identité annoncée d’une personne par un système d’information.

Mouchard internet (Web Bug)

Support graphique implanté dans une page internet ou un courriel, qui a pour objectif de surveiller la consultation de cette page ou de ce courriel, à l’insu des lecteurs. Remarques : Ces supports sont souvent invisibles, car beaucoup sont paramétrés avec une taille très petite (1×1 pixel). Ils sont aussi fréquemment représentés par des balises HTML IMG. Voir aussi : Espiogiciel (spyware)

 

 

   

 

Numéroteur (Dialer)

Logiciel qui compose automatiquement des numéros de téléphone.Remarques : Les numéroteurs sont souvent proposés pour accéder à des sites à caractère pornographique (appels surtaxés). Par extension, un war dialer est une application composant une liste de numéros, et qui enregistre ceux retournant une tonalité spéciale, comme un modem ou un fax.

 

 

   

 

Opérateur d’importance vitale

L’article R. 1332-1 du code de la défense précise que les opérateurs d’importance vitale sont désignés parmi les opérateurs publics ou privés mentionnés à l’article L. 1332-1 du même code, ou parmi les gestionnaires d’établissements mentionnés à l’article L. 1332-2. Un opérateur d’importance vitale : exerce des activités mentionnées à l’article R. 1332-2 et comprises dans un secteur d’activités d’importance vitale ; gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.

Outils de dissimulation d’activité (Rootkit)

Tout programme ou ensemble de programmes permettant de dissimuler une activité, malveillante ou non, sur une machine. Par extension, tout programme ou ensemble de programmes permettant à une personne malveillante de maintenir un contrôle illégitime du système d’information en y dissimulant ses activités. Par extension, programme ou ensemble de programmes permettant de dissimuler une activité, malveillante ou non, sur une machine. L’activité dissimulée peut être une activité sur le système de fichiers (création, lecture, écriture), une activité réseau, une activité en mémoire. Pour cela, un rootkit peut travailler dans l’environnement de l’utilisateur, sans droits particuliers, ou en profondeur dans le système d’exploitation, nécessitant par conséquent des droits d’exécution élevés. Remarques : L’installation de ces programmes nécessite que le système soit préalablement compromis (cheval de Troie, intrusion). Ces programmes modifient souvent les commandes usuelles de l’administrateur, afin de dissimuler toute trace de leur présence. Ils effectuent aussi fréquemment plusieurs opérations au niveau du noyau du système d’exploitation, comme l’installation de portes dérobées, la capture des frappes clavier, etc. Un outil de dissimulation d’activité n’a pas pour but d’offrir un accès quelconque à la machine hôte. En revanche, la plupart de ces outils malveillants embarquent des fonctionnalités de porte dérobée permettant à l’auteur un accès à distance et un maintien sur le système compromis. Voir aussi : Capteur clavier, enregistreur de frappes (Keylogger, keystroke logger), Cheval de Troie (Trojan Horse), Code malveillant, logiciel malveillant (Malicious software, malware)

 

 

   

 

Pare-feu (Firewall)

Un pare-feu (ou garde-barrière), est un outil permettant de protéger un ordinateur connecté à un réseau ou à l’internet. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant) initialisées par des programmes ou des personnes.

Password

Voir aussi : Mot de passe (Password)

Phishing

Voir aussi : Hameçonnage, filoutage (Phishing)

Point d’eau (Attaque par)

Ce type d’attaque est destiné à infecter les ordinateurs de personnels œuvrant dans un secteur d’activité ou une organisation ciblée. La technique du « point d’eau » consiste à piéger un site Internet légitime afin d’infecter les machines des visiteurs du domaine d’intérêt pour l’attaquant. Les cas sont nombreux de sites d’associations professionnelles ou de groupements sectoriels insuffisamment sécurisés et dont les vulnérabilités sont exploitées pour contaminer leurs membres, et permettre ainsi d’accéder aux réseaux les plus sensibles de ceux-ci. Les secteurs les plus stratégiques sont évidemment les plus ciblés.

Point d’importance vitale (PIV)

Chaque opérateur déclaré d’importance vitale dans le cadre du dispositif SAIV doit identifier, dans son système de production, les composants névralgiques et les proposer comme points d’importance vitale devant faire l’objet d’une protection particulière. Pour l’aider dans sa démarche, une directive nationale de sécurité spécifie les menaces à prendre en compte, les enjeux, les vulnérabilités et les objectifs de sécurité correspondants par secteur d’activité.

Polymorphe (Polymorphic)

Se dit d’un ver ou d’un virus dont le code est chiffré, changeant le code de déchiffrement d’une infection à l’autre, et donc l’apparence et/ou la signature.

Port

Code numérique utilisé dans les protocoles comme TCP ou UDP pour identifier à quel service appartient un paquet d’information du protocole IP. Par exemple, le service HTTP est associé au port 80. La notion de port peut être assimilée à une porte donnant accès au système d’exploitation.

Porte dérobée (Backdoor)

Accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur malveillant de se connecter à une machine de manière furtive. Remarques : Une porte dérobée peut également être la cause d’une mise en œuvre incorrecte d’un protocole.

Poste-à-poste (Peer-to-Peer, P2P)

Réseau d’échange et de partage de fichiers de particulier à particulier (exemples : e-mule, kasaa, limewire, eDonkey).

Pourriel, polluriel (spam)

Tout courrier électronique non sollicité par le destinataire. Remarques : Le courrier est souvent envoyé simultanément à un très grand nombre d’adresses électroniques. Les produits les plus vantés sont les services pornographiques, la spéculation boursière, des médicaments, le crédit financier, etc.

Produit de sécurité

Dispositif matériel ou logiciel conçu pour protéger la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que les systèmes d’information offrent ou qu’ils rendent accessibles.

Protocole IP

La communication sur l’internet est fondée sur un protocole appelé IP pour Internet Protocol qui permet aux ordinateurs de communiquer entre eux. Ce protocole utilise des adresses numériques pour distinguer ces machines et tronçonne la communication en paquets comportant chacun une adresse de source et une adresse de destination. La version la plus couramment employée du protocole est la version IPv4 dans laquelle les adresses sont composées de 4 nombres par exemple 213.56.176.2. Une nouvelle version du protocole est en cours de déploiement : IPv6. Elle utilise des adresses plus longues composées de 8 nombres notés en hexadécimal par exemple 1 fff:0000:0a88:85a3:0000:0000:ac1f:8001. Enfin IPsec désigne un protocole de chiffrement et de signature des paquets IP.

 

 

   

 

Qualification

Son objectif est de s’assurer qu’un produit de sécurité (matériel ou logiciel) ou qu’un prestataire de services de confiance répond aux besoins de l’administration. Le cadre réglementaire (décret no 2010-112 du 2 février 2010) prévoit que le recours à des produits de sécurité et à des prestataires de services de confiance et qualifiés soit la règle générale pour les administrations, les exceptions devant être justifiées. Pour les produits de sécurité, cette qualification est directement délivrée par l’ANSSI, sur la base d’une certification. On distingue trois niveaux de qualification : élémentaire, standard et renforcé permettant de résister à des attaques de niveau croissant. Pour les prestataires, cette qualification est délivrée par un organisme de qualification accrédité par le COFRAC (Comité Français d’Accréditation) et habilité par l’ANSSI. Les familles de prestataires de services de confiance actuellement qualifiées ou en cours de qualification sont : les prestataires de services de certification électronique, les prestataires d’audit SSI, les prestataires d’informatique en nuage (en cours), les prestataires de détection des incidents de sécurité (en cours) et les prestataires de réponse aux incidents de sécurité (en cours). Le catalogue des produits de sécurité et des prestataires de service qualifiés est publié sur le site Web de l’Agence. Au sein de l’ANSSI, c’est le Bureau Qualifications et Agréments de la Sous-direction Expertise qui remplit ces missions.

 

 

   

 

Rançongiciel (Ransomware)

Forme d’extorsion imposée par un code malveillant sur un utilisateur du système. Le terme « rançongiciel » (ou ransomware en anglais) est une contraction des mots « rançon » et « logiciel ». Il s’agit donc par définition d’un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Pour y parvenir, le rançongiciel va empêcher l’utilisateur d’accéder à ses données (fichiers clients, comptabilité, factures, devis, plans, photographies, messages, etc.), par exemple en les chiffrant, puis lui indiquer les instructions utiles au paiement de la rançon. Lorsqu’un rançongiciel infecte un poste de travail, le plus souvent (mais pas nécessairement) par l’envoi d’un courrier électronique piégé, l’infection est dès lors susceptible de s’étendre au reste du système d’information (serveurs, ordinateurs, téléphonie, systèmes industriels, etc. ). Voir aussi : Accaparement de noms de domaine (Cybersquatting, Domain Name Grabbing)

Ransomware

Voir aussi : Rançongiciel (Ransomware)

Référentiel général de sécurité (RGS)

Ensemble des règles établies par l’ANSSI et prévues par l’ordonnance no 2005-1516 du 8 décembre 2005 « relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives » que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l’authentification, la confidentialité ou encore l’horodatage.

Renifleur (Sniffer)

Outil matériel ou logiciel dont l’objet est de capturer les trames transitant sur le réseau. Remarques : Si les trames contiennent des données non chiffrées, un utilisateur malveillant peut aisément récupérer des données confidentielles, comme des mots de passe, des courriers électroniques, des contenus de pages internet, etc. L’utilisateur malveillant peut aussi, à partir des trames, récupérer des informations sur les systèmes échangeant les trames, comme le système d’exploitation ou les services employés.

Réseaux de machines zombies (Botnet)

Un Botnet, autrement dit un réseau de bots (botnet : contraction de réseau de robots), est un réseau de machines compromises à la disposition d’un individu malveillant (le maître). Ce réseau est structuré de façon à permettre à son propriétaire de transmettre des ordres à tout ou partie des machines du botnet et de les actionner à sa guise. Remarques : Certains ensembles peuvent atteindre des nombres considérables de machines (plusieurs milliers). Celles-ci peuvent faire l’objet de commerce illicite ou d’actions malveillantes contre d’autres machines. Elles sont souvent pilotées par des commandes lancées à travers un canal de contrôle comme le service IRC (Internet Relay Chat).

Résilience

En informatique, capacité d’un système d’information à résister à une panne ou à une cyberattaque et à revenir à son état initial après l’incident.

Rootkit

Voir aussi : Outils de dissimulation d’activité (Rootkit)

 

 

   

 

Sécurité des activités d’importance vitale (SAIV)

A la suite des attentats du 11 septembre 2001, la France a engagé une réflexion sur la notion d’infrastructure critique afin de moderniser la protection des points et des réseaux sensibles. Le décret du 23 février 2006 définit les activités d’importance vitale comme « un ensemble d’activités, essentielles et difficilement substituables ou remplaçables, concourant à un même objectif ou visant à produire et à distribuer des biens ou des services indispensables ».Douze secteurs d’activité d’importance vitale ont été définis dans un arrêté du 2 juin 2006, modifié par un arrêté du 3 juillet 2008, au sein desquels ont identifiés des Opérateurs d’importance vitale (OIV) chargés de la protection de leur Point d’importance vitale (PIV). Chaque secteur est rattaché à un ministère coordonnateur chargé du pilotage des travaux et des consultations.Voir aussi : Ministère coordonnateur, Opérateur d’importance vitale, Point d’importance vitale (PIV)

Serveur racine ou serveur de noms de la racine (Root name server)

La racine, en informatique, est le point de départ d’une arborescence. Il existe actuellement 13 serveurs de noms de la racine répartis dans le monde : ces serveurs hébergent les données permettant le bon fonctionnement du Système d’adressage par domaines (DNS) et des services qui utilisent ce système : internet, courrier électronique…

Sonde de détection d’attaques

L’ANSSI développe et supervise au sein du Centre de cyberdéfense, ses propres sondes de détection lesquelles s’appuient sur les connaissances de l’ANSSI pour identifier les attaques. Elles sont déployées sur des réseaux gouvernementaux.

Spam

Voir aussi : Pourriel, polluriel

Spearphishing

Voir aussi : Hameçonnage ciblé

Spyware

Voir aussi : Espiogiciel

Système d’adressage par domaines (domain name system, DNS)

Système de bases de données et de serveurs assurant la correspondance entre les noms de domaine ou de site utilisés par les internautes et les adresses numériques utilisables par les ordinateurs. Par exemple, le DNS établit la correspondance entre le domaine « cert.ssi.gouv.fr » et l’adresse 213.56.176.2. Ce système permet aux internautes d’utiliser, dans la rédaction des adresses, des noms faciles à retenir au lieu de la suite de chiffres du protocole IP.

Système d’information d’administration

On appelle système d’information d’administration l’ensemble des ressources matérielles et logicielles nécessaires pour réaliser les tâches d’administration. Il inclut le système d’exploitation du poste de travail utilisé pour les tâches d’administration qui peut être soit l’unique système d’exploitation d’un poste de travail physiquement dédié, soit l’environnement d’exécution dans le cas d’un poste de travail mettant en œuvre une virtualisation légère, soit le système d’exploitation de la machine virtuelle d’un poste de travail virtualisé.

Systèmes d’information d’importance critique

Ce sont les « systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».

Systèmes d’information d’importance vitale (SIIV)

Ce sont les « systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».

 

 

   

 

Tâche d’administration

On appelle tâche d’administration d’un système d’information les opérations de configuration et de gestion d’une ressource du système d’information : installation, gestion des configurations, maintenance, évolution du système d’information administré, supervision ou gestion de la sécurité.

Test d’intrusion (Penetration Test)

Action qui consiste à essayer plusieurs codes d’exploitation sur un système d’information, afin de déterminer ceux qui donnent des résultats positifs. Remarques : Il s’agit à la fois d’une intention défensive (mieux se protéger) et d’une action offensive (agresser son propre système d’information).

Trojan horse

Voir aussi : Cheval de Troie

Typosquatting

Voir aussi : Faute de frappe opportuniste, coquille

 

 

   

 

Usurpation d’adresse (Address Spoofing)

Action malveillante qui consiste à utiliser délibérément l’adresse d’un autre système en lieu et place de la sienne. Remarques : Il faut rapprocher cette action de l’usurpation d’identité, considérée comme un délit par le droit pénal français. L’idée est de faire passer son système d’information pour un autre. L’adresse usurpée peut être une adresse MAC (pour Medium Access Control), une adresse IP, une adresse de messagerie, etc. Voir aussi : Canular (Hoax), Pourriel, polluriel (spam), Protocole IP

 

 

   

 

Ver (Worm)

Un ver (ou worm) est un logiciel malveillant indépendant, cherchant à propager son code au plus grand nombre de cibles, puis de l’exécuter sur ces mêmes cibles. Il perturbe le fonctionnement des systèmes concernés en s’exécutant à l’insu des utilisateurs. Remarques : Les deux termes ver et virus sont relativement proches. Un ver est un virus qui se propage de manière quasi autonome (sans intervention humaine directe) via le réseau. Les vers sont donc une sous-catégorie de virus, dont le vecteur primaire de propagation reste le réseau. Voir aussi : Virus

Virus

Un virus est un programme ou morceau de programme malveillant dont le but est de survivre sur un système informatique (ordinateur, serveur, appareil mobile, etc.) et, bien souvent, d’en atteindre ou d’en parasiter les ressources (données, mémoire, réseau). Le mode de survie peut prendre plusieurs formes : réplication, implantation au sein de programmes légitimes, persistance en mémoire, etc. Pour sa propagation, un virus utilise tous les moyens disponibles : messagerie, partage de fichiers, portes dérobées, page internet frauduleuse, clés USB…Voir aussi : Code malveillant, logiciel malveillant (Malicious software, malware), Polymorphe (Polymorphic), Ver (Worm)

Voix sur réseau IP (VoIP Voice over Internet Protocol)

Technologie qui permet de véhiculer la voix sur l’Internet ou tout autre réseau acceptant le protocole TCP/IP. Cette technologie est notamment utilisée par le service de téléphonie IP (ToIP – telephony over internet protocol) à travers des logiciels tels que Skype, Asterisk…

Vulnérabilité (Vulnerability)

Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système, ou dans la façon de l’utiliser. Remarques : Une vulnérabilité peut être utilisée par un code d’exploitation et conduire à une intrusion dans le système. Voir aussi : Code d’exploitation (Exploit)

 

 

   

 

Wi-Fi (Wireless Fidelity)

Voir aussi : Accès sans fil, Bluetooth

 

 

   

 

Zombies, réseau de zombies

Voir aussi : Réseaux de machines zombies (Botnet)