top of page

66 éléments trouvés pour «  »

  • La cybersécurité dans les jeux vidéo

    Saviez-vous qu’en 2021, plus de 40% des joueurs de jeux vidéo ont été victimes de piratage ou de triche, ce qui représente des millions de personnes à l'échelle mondiale, révélant ainsi les failles de sécurité de leurs univers virtuels préférés ? Comment ces pirates opèrent-ils dans l'ombre ? Quelles sont leurs motivations obscures derrière leurs actions ? C'est ce que nous allons explorer ensemble. I - Les motivations des hackers Afin de se rendre compte de l’étendue de la cybersécurité dans le jeu vidéo, il est important de comprendre ce qui pousse les hackers à s’intéresser au domaine. En 2020, l'industrie du jeu vidéo représente un chiffre d'affaires marchand de 3,5 milliards d'euros, selon les données publiées par le ministère de la culture, en France seulement. Suite à la pandémie mondiale, qui a poussé de nombreuses nations au confinement, beaucoup de foyers se sont tournés vers les jeux vidéoludiques pour combler leurs journées. L’industrie du jeu vidéo a connu un véritable bond en avant, d’après les sources de Newzoo, le marché mondial des jeux a atteint 184,0 milliards de dollars de revenus en 2023. Il est aussi important de comprendre dans quels domaines et comment les hackers peuvent profiter de ce boom économique pour s’en mettre plein les poches, et quelles failles peuvent être exploitées par ces derniers. En effet, les pirates informatiques disposent de différentes stratégies et motivations pour s’attaquer au monde du jeux vidéo. L’une des manières les plus lucratives est la génération illégale de biens et de ressources virtuels (argent dans le jeu, objet rare, customisation de personnages ou d’objets) afin de les revendre à d’autres joueurs contre de l’argent, lui, bien réel. Effectivement, beaucoup de joueurs sont prêts à payer avec leur argent personnel pour acquérir des ressources difficilement obtenables dans un jeu. C’est ce qui s’est passé en 2013, sur le fameux jeu de simulation de foot « FIFA ». Un groupe de jeunes Américains a réussi à empocher des millions de dollars en générant d'innombrables « FIFA Coins », pièces du célèbre jeu « FIFA » d'EA SPORTS, avant d'être rattrapés par la justice. Anthony Clark, développeur de 23 ans et ses trois amis trouvent une faille qui permet de générer des sommes considérables de « FIFA Coins ». En concevant une application capable de faire croire aux serveurs de l’éditeur qu’un match était terminé, le groupe d’amis pouvait percevoir en retour une pièce de récompense. Grâce à l’automatisation de ce processus, des Coins pouvait être générés en boucle et en très grande quantité, et revendu à des joueurs du monde entier. Grâce à cette astuce, ils ont réussi à recueillir plus de 16 millions de dollars. Cependant le FBI, s’apercevant du comportement suspect de ces activités, surtout au niveau bancaire, a décidé de les signaler à la société éditrice du jeu, Electronic Arts. Jugés pour ces faits, les quatre amis ont plaidé coupable et furent déposséder de l’argent volé, leur permettant d’éviter la prison. Une grande partie de personnes malveillantes ont recourt au social engineering (pratique de manipulation psychologique à des fins d'escroquerie, e.g. phishing) pour abuser les joueurs. En effet, le monde du jeu vidéo se tourne vers des utilisateurs de plus en plus jeunes et ces derniers sont des cibles facilement manipulables par les pirates. Un des jeux à la mode chez les jeunes adolescents et même chez les enfants est « Roblox ». Dans ce jeu, comme dans tant d’autres, vous pouvez acheter du contenu supplémentaire grâce à votre argent réel. Pour cet exemple précis, vous pouvez acheter sur la boutique du jeu des « Robux », de l’argent du jeu, qui permet ensuite d’acheter des objets ou des cosmétiques. Les enfants, dotés d’une notion de l’argent très éloignée de celle de l’adulte, supplient alors leurs parents voire leurs grands-parents pour ne serait-ce qu’acheter 10€ de Robux. La finalité est qu’une grande partie des enfants ont accès à la carte de crédit de leurs parents, de manière physique ou même souvent virtuellement rattachée à leur compte de joueur. Et c’est là qu’interviennent les hackers. Avec des techniques d’ingénierie sociale très basiques, ces derniers abusent de la crédulité des enfants. Une des techniques les plus utilisées est la création d’un faux site Roblox où des « Robux », monnaie du jeu, sont proposés gratuitement. Les enfants se connectent sur le site, et sont amenés à entrer les informations de la carte bancaire de leur parents, pensant que la transaction va être remboursée comme stipulé sur les explications du site internet. Une fois qu’un hackeur accède à un de ces comptes ayant une carte bleue rattachée, il est souvent déjà trop tard. Aussi, il existe un jeu qui est très connu pour ses arnaques de plus en plus poussées, développé par l’éditeur Ankama et venant directement de France : il s’agit de DOFUS ! Souvent, l’arnaque se limite à dépouiller un compte ou un personnage de tout son argent et de ses objets rares ; une perte qui peut très vite atteindre un équivalent de plusieurs milliers d’euros. Cependant, l’arnaque peut aller plus loin, en volant des coordonnées bancaires ou des mots de passe, qui peuvent être utilisés par la victime sur d’autres applications et ainsi la voler sur d’autres plateformes, et même mettre en péril son anonymat sur les réseaux sociaux. Restons dans la thématique de création de faux site web pour découvrir une nouvelle arnaque, cette fois-ci destinée aux plus âgés ayant pour passion la compétition dans les jeux vidéo. De nombreux adolescents et jeunes adultes adorent les jeux vidéo pour le sentiment de rivalité et de concurrence ; en 2024, on a tous déjà entendu parler d’eSport. Avec cet aspect compétitif, une grande partie des jeux ont un système de classement, où le but est donc d’atteindre le rang le plus haut. Pour cela, un grand nombre de joueurs est prêt à payer. Il existe donc des systèmes de boosting, où des joueurs plus expérimentés vous proposent de jouer avec vous ou directement sur votre compte pour vous permettre de monter d’un rang contre une rémunération. Or, qui dit rémunération en distanciel dit payement en ligne. De faux site de boosting sont donc créés, afin de récupérer les numéros de cartes de crédit enregistré, rediriger les payements (CB, PayPal), accéder aux comptes des joueurs… sans ne jamais proposer de service en retour. Une autre grande raison pour laquelle les hackers s’intéressent aux jeux vidéo est le crack. Un crack est une version piratée d'un logiciel, permettant de l'utiliser sans acheter de licence ou le logiciel en lui-même. Les hackers spécialisés dans ce domaine sont appelés des crackers. Avant les années 2000, les premiers cracks pouvaient être réalisés par n’importe quelle personne ayant un minimum de connaissances informatiques, et l’envie de découvrir ce domaine. Cependant à cette époque, réalisés encore en faible nombre, ces cracks n’affectaient pas encore le marché financier du jeu vidéo. Lors de la démocratisation d’Internet, lorsque chaque foyer commença à disposer d’un ordinateur, les cracks se répandirent de plus en plus. On nota l’apparition de torrents, donnant accès aux cracks au plus grand nombre, et plaçant les crackers dans une position idéalisée de « Robin des bois » : Voler aux riches, les grands éditeurs de jeux vidéo, pour donner aux pauvres, les personnes ne pouvant se permettre l’achat d’un jeu vidéo. C’est donc à partir de cette époque que le crack a commencé à avoir un réel impact financier, obligeant les éditeurs à réagir : logiciel anti-piratage, nouvelles lois juridiques, traque sans relâche des crackers. Ces entraves ont donc complexifié lourdement la tâche aux crackers : la réalisation des cracks est plus compliquée, et les sanctions juridiques sont désormais bien réelles, ce qui vouera même les plus grands groupes de crackers à disparaître petit à petit. Il faudra alors quelques années avant qu’un autre groupe se forme et change le monde du crack : CODEX. Ces derniers arrivent alors à déjouer les logiciels anti-piratage les plus perfectionnés ; ce qui était insurmontable pour leurs prédécesseurs, est désormais un jeu d’enfant pour CODEX. Alors toutes les plus grandes licences de jeux vidéo sont crackées. Mais c’est en 2018 que CODEX réalise son plus grand coup de génie : ils distribuent à tout le monde et gratuitement tout le catalogue de jeux du Microsoft Store. Et ça ne s’arrête pas là, car CODEX crackera chacun des jeux sortis par la suite ; citez-moi n’importe quel jeu solo que vous connaissez, et je peux vous assurer que ce dernier aura été cracké par CODEX pour permettre aux personnes lambda de pouvoir y jouer gratuitement. Actuellement, tout nouveau jeu solo, ayant un minimum de popularité, car il faut bien qu’il y ait un intérêt à le pirater, peut se faire cracker en quelques jours. Peu importe le niveau de développement de son logiciel anti-piratage, car même un aussi performant que celui d’Hogwarts Legacy n’empêche pas l’apparition d’une version crackée le mois qui suit. Le dernier aspect intéressant des jeux vidéo pour les hackers, se trouve être le plus actuel bien qu’il ait toujours existé, et ce depuis la nuit des temps : la triche ! L’apparition de la triche dans les jeux vidéo a commencé avec le développement des cheat codes (codes de triche), dans les jeux solos uniquement. Cette manière de tricher est presque « légale » car il s’agit d’éléments directement implémentés par les développeurs eux-mêmes. Grâce à une série de manipulation à exécuter en jeu ou une ligne de commande, les joueurs peuvent avoir accès à des capacités ou atouts plus ou moins avantageux (argent infini, invulnérabilité, passer un niveau, voler…). Cependant, la partie la plus intéressante de la triche, et celle qui demande le plus de capacité technique se trouve dans les jeux multijoueur. Il existe beaucoup de manières différentes de tricher dans un jeu en ligne : - La triche god mode : cela consiste à avoir des privilèges qui ne sont pas atteignables dans le jeu (débrider sa voiture pour qu’elle aille plus vite que les autres, pouvoir voler, passer à travers les murs…) - Les farming bots : dans de nombreux jeux, surtout les MMO (Massively Multiplayer Online Game), notre puissance dépend de la récolte de ressources, ce qui demande beaucoup de temps d’exécution. Le principe de farming bot est de coder des robots qui jouent en autonomie pour collecter des ressources de manière optimisée, continue et indépendante. Ensuite le joueur récupère ces ressources, sans efforts, lui donnant un avantage conséquent. - Les wallhacks : c’est un programme qui permet à un joueur de voir à travers les murs. Très connu dans les FPS (jeu de tir) compétitifs, il communique des informations sur les positions ennemies. - Le bug exploit : il s’agit d’abuser de l’utilisation d’un bug ou d’un défaut de conception pour gagner un avantage d’une façon non prévue par les développeurs (duplication d’objet…). - Le ghosting : c’est le fait qu’une personne tierce espionne en temps réel l’équipe ennemie pour communiquer des informations que les joueurs ne sont pas censés avoir en temps normal. - Le DDoS : c’est un type de cyberattaque qui consiste à submerger un site web, un serveur ou une ressource réseau avec du trafic malveillant en abondance. Dans les jeux vidéo, cette attaque est utilisée dans le cadre où deux équipes s’affrontent pour faire « laguer » l’équipe ennemie, c’est-à-dire que l’envoi de paquet en trop grand nombre entraîne une latence dans les actions des joueurs (au niveau réseau et donc dans le jeu). La catégorie la plus importante, les mécaniques de jeu. Ce sont des « scripts » qui permettent de faire des actions qui sont réalisables dans le jeu mais à un tel point de perfection que cela ne peut être réalisé par un humain, on y retrouve : Le bunny hoping : c’est le fait de sauter à la frame parfaite (à la milliseconde près) en boucle et d’avancer latéralement pour se déplacer plus rapidement. Cette mécanique est réalisable manuellement mais beaucoup de scripts aident à maîtriser cette mécanique à la perfection et donnent donc un avantage certain aux utilisateurs. L’aimbot : il apparaît dans les jeux de tir et permet de viser tout seul les ennemies. C’est comme avoir une visée parfaite en tout temps. Très popularisé sur les jeux compétitifs, c’est l’un des cheats les plus connus et utilisé. Le scripting : cela regroupe toutes les méthodes de triches permettant de jouer encore mieux qu’un pro, comme esquiver tous les sorts des ennemies, toucher tous les siens… II – Comment les hackers agissent Maintenant que nous avons compris pourquoi les jeux vidéo sont une cible de choix pour les hackers, nous allons voir comment s’y prennent-ils. Pour cela nous allons nous concentrer sur les enjeux actuels qui posent beaucoup plus de problèmes, c’est-à-dire la triche dans les jeux en ligne. Pour pouvoir altérer le jeu alors que celui-ci est hébergé sur un serveur, les hackers ont recours à plusieurs moyens ingénieux : - Modification du code : Le jeu est analysé via reverse-engineering pour comprendre quel segment de code exécute quelle fonction. Modifier ce segment altère le fonctionnement du jeu, technique appelé "Exploit". Par exemple, comprendre comment le jeu retire des pièces d'or lors d'un achat permettrait de modifier le jeu pour que le joueur gagne des pièces à chaque achat. - Manipulation des données en mémoire : Le jeu stocke diverses données en mémoire, telles que la vie du joueur, ses munitions, son argent, etc. En identifiant où se situent ces valeurs dans la mémoire, il est possible de les modifier. Par exemple, un joueur qui est supposé avoir 30 balles dans son chargeur, en modifiant la valeur dans sa mémoire pour que même si le joueur tire, son chargeur reste à 30 balles, cela donnera au joueur des munitions illimitées. C'est surtout ce fonctionnement qui est ciblé par les logiciels anti-triche dans les jeux en ligne. - Modification du système d’exploitation : Au lieu de modifier le jeu directement, cette méthode altère le fonctionnement du système d'exploitation. Par exemple, en modifiant le pilote de la carte graphique, les objets normalement cachés peuvent être rendus visibles, permettant de voir à travers les murs (wallhack). - Interception et altération des paquets : Lorsqu'un joueur agit dans un jeu multijoueur, le jeu envoie un paquet réseau au serveur décrivant l'action. Ce paquet est ensuite transmis à tous les joueurs. En interceptant et modifiant ces paquets, un joueur peut faire apparaître une action différente pour les autres joueurs. III – Les remédiations des éditeurs de jeux vidéo Heureusement, les éditeurs de jeux vidéo ont conscience de la gêne qu’occasionnent les tricheurs et mettent en œuvre des moyens pour les contrer. Ainsi, on trouve dans la grande majorité des jeux en ligne des logiciels antitriche comme Easy Anti-Cheat, VAC (Valve Anti-Cheat), RIOT Vanguard… À l’instar des logiciels anti-virus, les anti-cheats utilisent un mélange de deux méthodes, sur la base de signatures et d’analyse de comportement. La base de signatures consiste à détecter les fichiers sur votre ordinateur considérés comme corrompus en les comparants à une base de signatures. En effet, les anti-cheat ont le droit à des accès en profondeur dans votre ordinateur. Tout fichier, ressource qui est considéré comme pouvant être à la base d’un outil tiers menant à la triche est alors détecté. Pour savoir quels fichiers sont considérés comme tel, le logiciel s’appuie sur une base de signature, il s’agit d’une bibliothèque de fichiers et ressources qui pourraient aider une personne à tricher. En comparant les fichiers de votre ordinateur à ceux de la librairie, le logiciel anti-cheat sait donc si vous utilisez un cheat. La base de signature est mise à jour régulièrement car les hackers trouvent toujours de nouveaux moyens pour contourner les signatures déjà existantes. C’est pour cela que les logiciels anti-cheat s’appuient aussi sur de l’analyse comportementale. Il s’agit d’étudier le comportement des logs ainsi que du personnage qu’incarne le joueur, par exemple est-ce qu’un personnage saute plus haut que les autres joueurs, se déplace plus vite, ou au niveau serveur, y a-t-il des tentatives de connexions infructueuses en boucle à un compte, à une ressource, à une instance, etc. Pour cela les logiciels utilisent désormais l’IA (Intelligence Artificielle) qui cerne le comportement des joueurs malveillants afin d’intervenir plus rapidement dans la détection comportementale. Malheureusement, les anti-cheats, comme toutes solutions miracles, ont en réalité des défauts. Focalisons-nous sur l’une de ces solutions ; Riot Vanguard, qui est le logiciel anti-triche développé par RIOT GAMES, éditeur des bien connus « League of Legends » et « Valorant ». Pour comprendre quels sont les inconvénients d’un logiciel anti-triche, comme Riot Vanguard, il est important de comprendre sa nature et son fonctionnement. Riot Vanguard représente un dispositif de sécurité sur mesure conçu pour préserver l'intégrité compétitive de « Valorant » en contrant les tricheurs. Développé par Riot Games, il figure parmi les solutions antitriche les plus performantes dans l'univers étendu des jeux compétitifs. Sa particularité réside dans son caractère plus intrusif. En effet, il fonctionne avec un « mode kernel », qui s’active dès le démarrage de Windows, et lui permet de bénéficier d'un accès au niveau du noyau du système, soit un accès constant au cœur de l’ordinateur des joueurs afin de repérer et d’arrêter les programmes suspects. C’est ce qui le distingue des autres logiciels de lutte contre la triche, mais qui, en contrepartie, pose des problèmes. Riot Vanguard est un système de lutte contre la triche qui s'appuie sur l'intelligence artificielle et utilise un pilote au niveau du noyau pour prévenir la triche dans VALORANT. Ce client fonctionne en arrière-plan en permanence, même lorsque le jeu n'est pas en cours d'exécution. Lorsqu'on évoque l'antitriche VALORANT, Riot Vanguard, le terme "kernel" revient souvent, d'où l'importance de comprendre sa signification. En termes simples, le mode Kernel, ou Kernel Level Access, est un niveau de privilège dans les systèmes informatiques qui octroie un accès total et sans restriction au système et à ses ressources. Cela implique que le mode noyau peut accéder non seulement aux logiciels en cours d'exécution sur un système, mais aussi à son matériel et à sa mémoire. Ce mode est indispensable pour de nombreuses opérations de bas niveau dans un système d'exploitation. Vous le voyez venir, cela pose de nombreux problèmes pour les joueurs, qui craignent que Riot Games ne collecte leurs données personnelles et sensibles. Ils craignent aussi qu’un tel accès avec des utilisations de technologies telles que l’IA, ne ralentisse les performances de leur ordinateur. Certains joueurs l’ont même accusé d’être un logiciel espion chinois, car Riot Games est détenu par Tencent, géant chinois de l’industrie du jeu vidéo. Riot Games assure que « La protection de votre vie privée fait partie de nos engagements en matière de sécurité. Riot Vanguard a été conçu en gardant constamment à l’esprit la position de Riot Games sur la protection de vos données privées et nous avons travaillé avec notre équipe d’experts juridiques pour garantir la compatibilité du logiciel avec les lois sur la protection des données de chaque région. ». Actuellement, aucun rapport ne montre de Riot Vanguard aurait violé les politiques de confidentialité de Riot Games pour recueillir des données personnelles sensibles auprès de ses joueurs. Concernant les performances, Riot Games reconnaît que Riot Vanguard peut avoir un impact sur les performances des systèmes, bien que l'ampleur de cet impact puisse varier d'un système à l'autre. Ils conseillent aux joueurs de vérifier régulièrement les mises à jour de Vanguard, car celles-ci peuvent inclure des améliorations de performances et des corrections de bugs qui peuvent réduire l'impact sur les performances. Riot Games s’efforce de faire en sorte que leur programme utilise le moins de ressources possible et prend en compte, de manière sérieuse, tout retour fait par les joueurs. Mais cela n’empêche pas les joueurs de se plaindre, notamment sur les réseaux sociaux, des nombreux bugs que le logiciel entraîne. Globalement, la triche est prise très à cœur par les éditeurs de jeux vidéo, dans le but d’offrir la meilleure expérience possible pour leurs joueurs. On retrouve dans la très grande majorité des jeux, la fonctionnalité de signalement, qui permet à un joueur de signaler un autre si son comportement n’est pas conforme (triche, insulte, abandon de parties…). Le comportement d’un joueur signalé plusieurs fois est donc analysé et s’il est jugé comme néfaste pour l’expérience des autres joueurs, une sanction est prise. La sanction dépend beaucoup du jeu et de ses règles, mais cela peut s’incarner par l’interdiction d’utiliser la messagerie du jeu, l’exclusion d’un joueur des parties classées pendant une certaine durée de temps, l’exclusion totale du jeu pendant une période donnée, jusqu’au bannissement total d’une personne sur un jeu. IV – Quelques conseils pour nos amis joueurs Pour conclure cet article, voici quelques conseils que tout joueur, et pas seulement, devrait appliquer pour sécuriser son compte, et ses données : - Utiliser des mots de passe forts (16 caractères, mélangeant : majuscules, minuscules, chiffres, caractères spéciaux). - Utiliser des mots de passe unique pour vos différents comptes (étant donné que cela peut être compliqué à retenir, l’utilisation d’un gestionnaire de mot de passe est recommandée). - L’utilisation d’un MFA (Multi-Factor Authentication), qui permet non pas de se connecter avec un simple mot de passe, mais avec une combinaison de minimum deux facteurs d’authentification différents. Ces derniers permettent de nous identifier en tant que personne en se référant à ces 3 catégories de facteurs : ce que je sais (e.g. un mot de passe), ce que je possède (e.g. un téléphone portable) et ce que je suis (e.g. une empreinte digitale). Un MFA vous permettra donc de vous connecter à l’aide de votre mot de passe habituel couplé avec l’envoie un code par SMS sur votre mobile, à renseigner lors de la connexion. Cette option est souvent délaissée par les utilisateurs, qui parfois ne sont même pas au courant que la plateforme d’authentification le permet, mais qui pourtant est présente dans la majorité des cas, pensez à regarder dans les options. - Soyez vigilants aux fraudes, aux tentatives d’arnaque, que ce soit par des sites contrefaits, des mails de phishing ou des combinaisons en jeu. N’oubliez pas, ce qui paraît trop beau est souvent une arnaque ! - Ne divulguez pas d’informations personnelles sur les jeux vidéo, l’usurpation d’identité est à prendre au sérieux, notamment depuis le développement de l’IA qui pousse cette technique de plus en plus loin. - Gardez vos logiciels à jour, pas seulement les jeux vidéo en eux-mêmes, mais aussi vos systèmes d’exploitation, pilotes graphiques, navigateurs web, antivirus, antimalware… - Lors de l'achat de jeux, d'extensions ou d'autres contenus en ligne, il est crucial de privilégier les sites sécurisés et de confiance. Optez pour des plateformes de distribution officielles ou des revendeurs réputés pour éviter les risques liés aux faux sites ou aux vendeurs peu scrupuleux. - Vérifiez régulièrement vos relevés bancaires, surtout si votre carte de crédit est liée à un compte. Pour les parents, supervisez toutes les transactions effectuées par vos enfants et ne leur laissez pas votre carte de crédit sans surveillance. En conclusion, cet article met en lumière les multiples facettes de la cybersécurité dans l'univers des jeux vidéo. En comprenant les motivations des hackers, les méthodes qu'ils emploient pour tricher et contourner les dispositifs de sécurité, ainsi que le fonctionnement des logiciels antitriche, nous sommes mieux équipés pour appréhender les défis posés par cette menace omniprésente. En sensibilisant les joueurs aux risques et en les informant sur les mesures de protection disponibles, nous pouvons contribuer à renforcer la sécurité dans le monde virtuel du gaming. En fin de compte, la cybersécurité dans les jeux vidéo nécessite une collaboration entre les joueurs, les développeurs et les entreprises spécialisées afin de garantir une expérience de jeu sûre et équitable pour tous. Viken WAGNER Sources: Les jeux vidéo les plus hack + bait fortnite : https://www.numerama.com/cyberguerre/1287618-vous-jouez-a-minecraft-ou-roblox-vous-etes-une-cible-privilegiee-des-hackers.html Coins fifa : https://fr.euronews.com/next/2022/07/09/des-temoins-nous-racontent-lune-des-plus-importantes-fraudes-au-jeu-video-au-monde Triche jeux vidéo : https://www.tomshardware.fr/diapo-les-15-pires-techniques-de-triche-dans-les-jeux-video/ Les crackers : https://www.youtube.com/watch?v=wmrHEuOoWhE&ab_channel=Dashcode Fonctionnement technique triche multi : https://fr.wikipedia.org/wiki/Cheat#:~:text=Le%20terme%20anglais%20cheat%20(la,appel%C3%A9e%20cheater%20(ou%20tricheur). Riot Vanguard : https://www.gamechampions.com/fr/blog/valorant-anti-cheat-vanguard/ https://support-valorant.riotgames.com/hc/fr/articles/360046160933-Qu-est-ce-que-Riot-Vanguard https://www.lemonde.fr/pixels/article/2023/04/01/le-monde-du-jeu-video-en-ligne-intensifie-sa-lutte-contre-la-triche_6167909_4408996.html Chiffres JV (infographie) : https://www.orangecyberdefense.com/fr/insights/blog/cyberdefense/securite-des-jeux-video-en-ligne-chiffres-cles#:~:text=Akamai%2C%20dans%20son%20rapport%20Web,de%20jeux%20vid%C3%A9o%20en%20ligne. https://afjv.com/news/10656_les-jeux-video-cibles-privilegiees-des-cyberattaques-pendant-la-pandemie.htm https://afjv.com/news/10355_le-gaming-et-les-cyberattaques-etat-des-lieux-et-solutions.htm https://research.nccgroup.com/2020/05/29/game-security/ https://www.forbes.com/sites/nelsongranados/2018/04/30/report-cheating-is-becoming-a-big-problem-in-online-gaming/

  • Cyber assurance : la bonne stratégie pour les PME ?

    Des indemnisations allant de 1 à 2 millions d’euros en cas de cyberattaque pour une prime annuelle de l’ordre de 1000 € ! Comment cela ne serait-il pas tentant pour une PME ? Si l’on considère que : 98 % des entreprises sont attaquées * 53 % de ces attaques aboutissent * Le coût d’une attaque est d’environ 250 000€ pour une PME * Il semble intéressant de souscrire une cyber assurance au plus vite ! * Etudes Accenture – CISCO – Symantec D’ailleurs, le marché de la cyber assurance est un marché à forte croissance, estimé à 15% d’évolution annuelle pour les 5 à 10 prochaines années (Source : Rapport Sigma 2017 de Swiss RE). Aujourd’hui, entre 10% (en 2016 d’après la FFA) et 17% (d’après l’enquête du CPME), des PME sont assurées contre les attaques informatiques. Mais contre quoi sont-elles réellement assurées ? Une cyber assurance : pourquoi faire ? Les polices d’assurance diffèrent d’un assureur à l’autre, dans un marché qui cherche encore sa maturité, mais nous pouvons distinguer pour les principales garanties : La responsabilité civile est similaire à la RC Pro qui s’applique principalement en cas de plaintes ou de fuite de données Les dommages subis par l’entreprise à la suite de l’arrêt de l’activité L’assistance à la gestion de la crise et les actes de récupération de données et d’investigation De manière optionnelle, nous pouvons trouver d’autres garanties telles que l’atteinte à l’image ou le remboursement de cyber extorsions Les prix et les garanties couvertes restent aujourd’hui très variables, dans un marché peu mature et où les assureurs sont à la recherche de données historiques pour mieux adapter leurs offres. Pour prendre un parallèle d’assureur, nous sommes encore loin de l’assurance auto, où le garagiste vous retape votre voiture et vous la rend comme neuve. Et pour cause ! Un système d’information n’est pas une voiture : il est spécifique à chaque entreprise et, plus important encore, il est évolutif. Une bonne cyber assurance n’est donc pas seulement une assurance qui couvre les frais d’une cyberattaque, mais bien une assurance qui vous accompagne pour vous en protéger et pour vous redresser en cas d’attaque. Ainsi, certaines cyber assurances vous proposent l’accès à un expert en sécurité, qui vous aidera à gérer la crise, à mener vos investigations et à remettre vos systèmes d’équerre. Certains assureurs peuvent même vous mettre à disposition cet expert lors de la souscription de la police d’assurance pour réaliser un audit rapide de votre situation et vous préconiser les mesures les plus importantes à mettre en place. En effet, en sécurité comme dans la vie de tous les jours, la sagesse populaire reste de mise : mieux vaut prévenir que guérir ! Mais cet accompagnement est-il vraiment suffisant ? Se concentrer sur l’essentiel Pour se prémunir des cyberattaques, la panoplie est large et c’est bien là le problème. En effet, les entreprises se trouvent souvent confrontées à des questions comme : Quelles solutions de sécurité choisir ? Et pour une solution donnée, quel fournisseur/logiciel me convient le mieux ? Pour quel budget et coût d’implémentation ? Les PME peuvent avoir une à plusieurs personnes qui s’occupent de « l’informatique », mais dont les connaissances et le temps peuvent s’avérer limités pour un spectre de cybersécurité de plus en plus étendu. Il peut être alors intéressant pour ces entreprises de se faire accompagner par des experts du domaine, mais encore faut-il : Les trouver Pouvoir s’offrir leurs services Car oui, les compétences en cybersécurité sont très recherchées, inégales et relativement coûteuses. Un Responsable de la Sécurité des SI (RSSI partagé – CISO as a Service en anglais) peut être une solution idéale pour ces entreprises, qui n’ont pas besoin d’un expert à plein temps et qu’elles peuvent déclencher à la demande. Un tel expert pourra alors analyser les risques de l’entreprise et très probablement préconiser, entre autres mesures, de se concentrer sur l’essentiel, c’est-à-dire : Mettre en place une protection contre la propagation des attaques (Antivirus, Firewall, anti-spam) Mettre en place des sauvegardes de données (partages de fichiers et poste de travail) Sensibiliser les utilisateurs à changer leurs mots de passe régulièrement, à choisir des mots de passe robustes, et surtout, à adopter des réflexes de navigation sécurisés. Notre conseil : sortez couverts Que ce soit par le biais d’une cyber assurance ou par un accès direct à un expert en sécurité, nous ne pouvons que vous conseiller de réaliser un bilan rapide de votre niveau de sécurité. P.S. : Notre livre blanc sur la cyber assurance sort dans quelques semaines, alors restez connectés ! Nidhal

  • Transfert des données personnelles : jeu d’enfant ou casse-tête ?

    Une chose est sûre, il est beaucoup plus facile aujourd’hui de solliciter les services d’un prestataire ou sous-traitant en Asie ou aux Amériques à partir de la France. On peut ainsi avoir, par exemple, la jeune start-up qui a ses développeurs dans un pays d’Europe de l’Est, ses designers dans un pays du continent américain et son hébergeur en Europe du Nord. Pas facile de savoir à quel endroit se trouvent les données traitées ! D’autant que depuis l’entrée en vigueur du RGPD (Règlement Européen sur la Protection des Données) le 25 Mai 2018, il faut assurer un certain niveau de protection. Cela dit, pas d’inquiétude à avoir, ici nous allons vous aider à y voir un peu plus clair et vous dire ce qu’il faut faire pour chaque pays. La boîte à outils juridiques du RGPD L’arrivée du RGPD a permis de mieux encadrer le transfert des données en proposant une gamme d’outils juridiques pour aider les entreprises en ce sens. Ainsi, les entreprises peuvent avoir recours à deux provisions en particulier : La clause d’adéquation (article 45) : Il s’agit d’une liste de pays présentant des garanties de protection des données similaires à celles du RGPD, à la suite d’un examen approfondi des dispositions légales mises en place. Les garanties appropriées (article 46) : ces garanties sont composées d’un ensemble de décisions prises par l’autorité de contrôle du pays d’origine et dont l’entreprise s’engage à respecter, par exemple en incluant des clauses contractuelles types approuvées par la commission européenne, un code de conduite ou un mécanisme de certification validé, des clauses contractuelles spécifiques pour encadrer le transfert ou encore les règles contraignantes d’entreprises qui sont des politiques intra-groupe de protection des données et qui sont légalement contraignantes Si les conditions précédentes ne sont pas réunies, il est toujours possible d’obtenir une dérogation, nécessitant un accord préalable de l’autorité de contrôle Pour mieux illustrer le principe d’adéquation, nous allons étudier quelques cas concrets. Que dois-je faire si je veux transférer mes données …. … En Union Européenne Comme vous pouvez vous en douter, il n’y pas de disposition particulière à prendre, puisque le RGPD est un règlement européen et s’applique donc à tous les pays de l’Union Européenne. Un souci de moins à se faire ! … Aux Etats-Unis Cela dépend de la nature du traitement. Les Etats-Unis sont considérés comme étant en adéquation partielle, c’est-à-dire qu’il n’est pas nécessaire de prendre des mesures supplémentaires pour certains traitements. Le transfert peut se faire que s’il est à destination d’une entreprise ayant une certification active au Privacy Shield, une loi entrée en vigueur en Juillet 2016, qui consiste en une série d’engagements pris par le gouvernement américain et la Commission Européenne pour rehausser le niveau de protection des données. Cette adéquation partielle concerne aussi le Canada, vers laquelle les transferts ne nécessitent pas d’encadrement spécifique si le traitement entre dans le cadre d’une activité commerciale (loi PIPEDA) … En Argentine Le pays est reconnu comme étant en adéquation, la législation en vigueur étant alignée avec le RGPD. Pas d’encadrement spécifique donc. … En Russie La Russie dispose d’une législation en matière de protection des données personnelles, mais n’est pas reconnue comme étant en adéquation. Il faut savoir que la loi russe exige que les données personnelles des citoyens russes soient hébergées sur le territoire russe. Et ne pas s’y conformer est très risqué, en atteste LinkedIn dont le site a été bloqué en 2017. Et le Royaume-Uni dans tout ça ? Pour le moment, le RGPD s’applique encore sur le sol britannique. Mais quand on sait qu’on a de fortes chances de se diriger vers un Brexit sans accord (le fameux « no deal ! »), il faut d’ores et déjà se préparer à cette éventualité. En effet, dès que la sortie du Royaume-Uni sera effective, celui-ci ne sera plus considéré comme étant en adéquation. Il faudra donc entamer les mesures d’encadrement et mise en adéquation, étape par étape : Commencez par identifier les traitements effectués en Grande-Bretagne chez un sous-traitant, et de manière plus générale, les traitements impliquant un transfert Choisissez un outil d’encadrement, ceux listés plus tôt dans cet article en constituent un bon exemple, et entamez les démarches de sa mise en œuvre Mettez à jour votre documentation interne en indiquant que vous réalisez des transferts de données vers le Royaume-Uni, mais aussi vos mentions d’informations à destination des personnes concernées Et pour avoir un panorama plus complet du niveau d’adéquation des autres pays du monde, la CNIL a pensé à vous et a concocté une carte interactive vous permettant de voir en un clic si vous allez passer des nuits à vous arracher les cheveux sur un transfert de données ou non : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde Source : www.cnil.fr Mehdi

  • La cybersécurité médicale

    La cybersécurité médicale bénéficie d’une préoccupation croissante. En effet, au cours des dernières années, les incidents de sécurité informatique n’ont cessé d’augmenter. De nombreux instituts de santé ont donc tenté de lutté pour se défendre et tenir les cybercriminels à distance. Des failles dans les systèmes Au sein des hôpitaux, les technologies varient considérablement : certains dispositifs médicaux appartiennent à la nouvelle génération, mais d’autres ont été conçus par des entreprises qui ne sont plus en activité, ou fonctionnent sur d’anciens logiciels présentant des failles de sécurité criantes. Les stimulateurs cardiaques et autres dispositifs implantés et connectés à Internet peuvent être, par conséquent, piratés. L’erreur humaine ouvre également des failles dans les systèmes : du côté de la protection des données, la plupart des atteintes à la vie privée sont issues d’erreurs commises par des employés ou à la suite de divulgations non autorisées. Attaque WannaCry Personne ne peut nier l’absence de preuves que des patients soient morts à cause de WannaCry. Mais l’attaque a détourné des milliers d’ordinateurs et d’appareils de diagnostic de l’hôpital, forçant les médecins à transporter manuellement les résultats de laboratoire d’un hôpital à l’autre et à annuler des rendez-vous de patients. Petit rappel du descriptif de cette attaque : L’attaque visait les vulnérabilités du système d’exploitation Microsoft Windows, le chiffrement des données et la détention des systèmes informatiques pour la rançon bitcoin. Bien que WannaCry ait fini par être bloquée, les instituts de santé continuent d’être vulnérables à de telles attaques La cybersécurité dans ce domaine Aussi, la maintenance des dispositifs médicaux à savoir, les correctifs de sécurité (Patchs) semblent n’être plus réalisables dans les hôpitaux car le temps et le coût qu’il faut pour valider ces mises à jour sur les dispositifs sont onéreux : ce sont les éditeurs de la solution utilisée qui installent ces correctifs… D’autre part, il y a une tension entre les experts en cybersécurité qui veulent sécuriser les systèmes hospitaliers et les médecins qui se concentrent sur les soins qu’ils appliquent à leurs patients. Il reste difficile de vendre ou de présenter de nouveaux dispositifs médicaux à des médecins qui sont souvent occupés. Néanmoins, Il est essentiel que ces derniers comprennent l’importance de la cybersécurité, car ils sont en contact direct avec les patients en utilisant la technologie. Conclusion En conséquence, les éditeurs se trouvent maintenant dans l’obligation de sécuriser plus que jamais auparavant leurs solutions connectées médicales proposées. Les « Hackers » continuent à leur tour, de développer des outils et des techniques plus sophistiqués pour affiner leurs attaques, accéder aux données et les tenir en otage. C’est pour ces raisons qu’on a commencé à inclure des exigences de cybersécurité dans les processus d’approvisionnement et chercher à élaborer des solutions de sécurité dédiées au domaine de la santé. L’industrie des solutions médicales a pris du retard par rapport à d’autres industries en ce qui concerne la cybersécurité. Cependant, les budgets de la cybersécurité ont augmenté, de nouvelles technologies ont été acquises et les instituts de santé s’améliorent pour faire face à la cybercriminalité et sécuriser leurs réseaux. Loubna

  • RedTeam, késako ?

    Avant de parler de Red Teaming, nous parlerons des tests d’intrusion. Lors d’un test d’intrusion, l’objectif est de rechercher des vulnérabilités sur un périmètre restreint et une période définie pour fournir des recommandations afin de les éliminer. Pour faire face aux nouveaux enjeux de sécurité, les équipes doivent s’adapter et s’entraîner à la détection et à la réaction des incidents, sur un périmètre et une durée bien plus étendue que ceux des tests d’intrusion. De là est née la notion de RedTeam. Les tests d’intrusion RedTeam ont pour objectif d’évaluer la sécurité globale d’une entreprise en mettant à l’épreuve ses différents moyens de protection. Ces moyens peuvent être de forme physique (intrusion dans les locaux de l’entreprise), humaine (tentative de vol d’identifiants via du social engineering) ou informatique (compromission de serveurs / postes de travail / réseau). Cet exercice peut s’étendre de plusieurs semaines, voire de plusieurs mois, en fonction de la taille de l’entreprise. La RedTeam est donc une équipe de pentesteurs qui réalisent des attaques réalistes et discrètes contre l’entreprise. L’entreprise doit définir, en amont, les ressources critiques et les objectifs à atteindre (une sorte de Capture The Flag grandeur nature !). La RedTeam devra alors employer tous les moyens nécessaires à la réalisation de ces objectifs. Cela peut aller de la compromission d’un serveur afin d’atteindre les fichiers RH de l’entreprise, d’attaque de type phishing pour compromettre un compte VIP ou de cloner un badge collaborateur pour s’introduire dans les locaux de la société et installer un équipement malveillant (sniffer, keylogger, Rubber Ducky etc.). Tous les coups sont permis … ou presque. En effet les modalités des tests seront, comme les objectifs, définis avec le commanditaire de l’exercice (interdire les attaques DDOS, interdire les attaques de certaines ressources jugées trop sensibles, etc.). La notion de discrétion est aussi très importante. En effet réaliser plusieurs attaques en quelques heures, ou espacées de plusieurs semaines, permettra d’éviter de passer sous le radar des différentes sondes type IDS/IPS. La BlueTeam On parlera rarement de RedTeam sans parler de BlueTeam. La BlueTeam est l’équipe de défense de l’entreprise (généralement les équipes Sécurité et le SOC s’il existe 😊). Leur objectif est d’œuvrer en harmonie afin d’intervenir et de gérer les incidents liés aux cyberattaques. Dans un exercice RedTeam la période du test d’intrusion étant très grande et sachant que les équipes BlueTeam ne savent pas quand l’attaque sera réalisée, ni sous quelle forme, complique grandement la tâche des défenseurs et rend l’exercice encore plus réaliste (et stressant ). Quel est l’intérêt pour mon entreprise ? L’intérêt des exercices BlueTeam/RedTeam n’est pas de lister l’ensemble des vulnérabilités présentes sur un périmètre restreint mais plutôt d’évaluer la capacité de détection et de réponse aux incidents de la BlueTeam. Ils permettent également d’entraîner les équipes de défense à réagir face à des cyberattaques réfléchies, concrètes, réparties dans le temps et mixant attaques physiques (intrusions physiques des locaux), sociales (social engineering, phishing) et distantes (pentest). Suite à un exercice BlueTeam/RedTeam les équipes sécurité/SOC pourront se poser les bonnes questions afin d’améliorer le niveau de sécurité de l’entreprise : Quels journaux d’évènements (log) manquant m’auraient permis d’anticiper cette attaque ? Quelles règles de corrélation de logs auraient pu améliorer la détection de l’attaque ? Est-ce que nous collectons suffisamment de log ? Est-ce les plus importants ? Quel mécanisme de sécurité supplémentaire aurait permis de détecter cette attaque ? Est-ce qu’il ne serait pas judicieux de changer nos badges d’accès pour une technologie plus sécurisée ? Etc. Vivre une expérience de cyberattaque protéiforme, tenter de la contrer et d’y remédier, est le meilleur entraînement que les équipes de défense de l’entreprise puissent bénéficier. Et la PurpleTeam dans tout ça ? Oubliez vos idées farfelues comme des attaques par jet d’aubergines ou autres. La PurpleTeam est en fait un mix de la RedTeam et de la BlueTeam. Il s’agit d’une collaboration étroite entre attaquants et défenseurs où la RedTeam pose des « défis » d’attaques que la BlueTeam se doit de résoudre. A la fin de chaque défis les deux équipes échangent sur l’attaque et les différentes manières de la bloquer. La PurpleTeam permet d’améliorer le niveau de sécurité de l’entreprise, mais aussi et surtout de perfectionner les aptitudes « Cyberattaque » de la BlueTeam et de l’autre côté d’améliorer la connaissance de la RedTeam vis-à-vis des mécanismes de défense de l’entreprise. Yoann

  • Sécurité informatique : Résoudre le problème de la confiance

    La confiance dans le monde de la sécurité informatique a toujours été un vrai problème. Peut-on vraiment être confiant que le trafic échangé sur internet soit immunisé des attaques du type eavesdropping (Fait d’écouter secrètement une conversation) ? Ou encore, sommes-nous capables de garantir un bon niveau de sécurité tout en utilisant des technologies basées sur le Cloud Computing ? La tendance dans les entreprises est de se protéger durement contre les utilisateurs et trafics externes, pour n’autoriser un niveau de confiance plus élevé que pour tout ce qui provient du réseau interne. Cependant, la majorité des databreaches (fuites de données) sont principalement causées par des éléments internes à l’entreprise tels que les flux non sécurisés, une base de données contenant des identifiants non chiffrés, ou simplement le facteur humain. Afin de pouvoir limiter cet impact, la solution est de ne pas faire confiance à ses équipements ou employés au sein de son propre réseau et d’utiliser le principe de l’architecture « Zero Trust ». Créé en 2010 par John Kindervag, un spécialiste de la sécurité informatique, Zero Trust est une démarche de sécurité où il faut procéder à des vérifications minutieuses et continues des postes de travail, des plateformes utilisateur et de tout équipement réseau. Architecture de la sécurité traditionnelle Dans un réseau d’entreprise traditionnel, les administrateurs systèmes et sécurité définissent différentes zones gérées par un ou plusieurs firewalls avec un niveau de sécurité/confiance qui diffère d’une zone à une autre. La figure ci-dessous présente un aperçu générique sur l’organisation d’une telle architecture : Figure 1 : Architecture de sécurité traditionnelle Ce type de mécanisme de défense ne répond plus aux menaces actuelles et présente plusieurs inconvénients à savoir : Absence d’un mécanisme d’inspection du trafic interzone ; Manque de flexibilité utilisateur ; Existence d’un SPOF (Single Point Of Failure) au niveau des firewalls. Définition d’une architecture Zero Trust Quel que soit le type de mécanisme de sécurité mis en place dans une entreprise, le parc informatique est toujours considéré comme un milieu hostile. Cela dit, les menaces internes comme externes doivent être continuellement suivies. Afin de mettre en place une politique de sécurité basée sur une architecture Zero Trust il faut prendre en considération 3 piliers principaux à savoir : Les équipements utilisateurs et trafics doivent être authentifiés ; Les règles de la politique de sécurité doivent être dynamiques. Ces règles sont à corréler à partir des différentes sources de données sur un réseau ; La localité du réseau ne doit pas être un facteur décisif sur le niveau de confiance qu’on attribue au réseau. On distingue deux périmètres dans une architecture Zero Trust : Control Plane : C’est la partie responsable du contrôle de tout l’actif informatique d’une entreprise. Le Control Plane, est un programme installé sur un serveur permettant de gérer l’authentification et le contrôle de tous les équipements qui se manifestent dans une architecture de sécurité Zero Trust. Il est considéré comme élément de monitoring chargé de la supervision du trafic échangé entre les équipements informatiques. Data Plane : Ce sont les différents périphériques (postes de travail, serveurs, points d’accès WiFi, etc.) et ressources (fichiers partagés, logiciel de gestion RH, etc.) gérés par la partie Control Plane. Les demandes d’accès aux ressources protégées sont d’abord effectuées via le Control Plane, où les utilisateurs et les périphériques doivent être authentifiés. L’accès à des ressources plus sécurisées peut être authentifié par un mandataire. Ainsi, pour qu’un employé de l’entreprise puisse faire des modifications sur le serveur de production, deux entités doivent être impérativement authentifiées et autorisées par le Control Plane : L’employé et le serveur de production qui fait partie du Data Plane dans notre cas de figure. Cet exemple est détaillé dans le schéma suivant : Figure 2 : Exemple d’un échange dans une architecture Zero Trust Etape 1 : L’utilisateur fait une demande auprès du Control Plane afin d’accéder au serveur de production ; Etape 2 : Le Control Plane impose une authentification à l’employé. Cette étape est généralement inaperçue pour l’utilisateur puisque l’authentification se fait par échange de clés cryptographiques ; Etape 3 :  L’utilisateur est amené à s’authentifier en fournissant un nom d’utilisateur et un mot de passe, dans le cas où il n’y a pas une infrastructure à clé publique (PKI) ; Etape 4 & 5 : Le serveur subit le même processus. Il doit impérativement s’authentifier auprès du Control Plane ; Etape 6 & 7 : L’employé et le serveur sont désormais autorisés à échanger. Next Generation Access Compte tenu de la complexité de l’écosystème informatique d’une entreprise, ce n’est pas toujours facile de mettre en place une nouvelle architecture de sécurité. Mais comme première étape, il est recommandé de migrer tout système de gestion des accès vers un NGA ou Next Generation Access. Vous vous demandez certainement pourquoi faudrait-il abandonner les technologies traditionnelles de gestion des accès ? C’est parce qu’elles sont souvent fragmentés plusieurs contrôles : contrôle de l’application, contrôle de point de terminaison et contrôle de serveur. Cette approche statique n’est plus adaptée aujourd’hui face à une multitude de menaces. D’autant plus que les utilisateurs assument plusieurs rôles, ont des privilèges variables en fonction de leurs activités et se déplacent d’un système à un autre. Cependant, NGA offre un collectif de technologies et de fonctionnalités matures permettant de connaitre chaque utilisateur et de prendre en compte chaque périphérique limitant ainsi l’accès et les privilèges de manière intelligente. Ceci va permettre aux stratégies/règles d’apprendre et de s’adapter sans avoir d’impact sur l’expérience utilisateur. Méfiance avant confiance, un proverbe qui s’applique aussi bien dans le quotidien que dans le monde de la sécurité. Ne faites confiance à personne, vérifiez tout, contrôlez constamment. Ayoub

  • Et si on passait au virtuel pour nos achats ?

    Le commerce a beaucoup évolué ces dernières années grâce à la digitalisation, quelle pourrait être sa future évolution ? En effet, nous avons connu le e-commerce, qui est le fait d’acheter des produits ou services en ligne. Depuis, est apparu le m-commerce, qui regroupe l’ensemble des transactions commerciales réalisées sur terminaux mobiles (smartphones ou tablettes), notamment par le biais d’applications mobiles. Et, dans un futur plus ou moins proche, nous connaitrons surement le v-commerce. Mais, de quoi s’agit-il ?? Le v-commerce (Virtual Commerce) désigne les achats réalisés au travers des technologies de la réalité virtuelle ou de la réalité augmentée. Il peut s’agir de ventes faites dans les boutiques physiques, ou directement de ventes réalisées chez soi, avec des outils virtuels (casques par exemple). Quelle est la différence entre la réalité virtuelle et la réalité augmentée ? La réalité virtuelle est une technologie permettant à l’utilisateur de se plonger dans un monde totalement fictif (se rapprochant le plus de la réalité), dans lequel il peut se déplacer au travers d’un casque de réalité virtuelle. La réalité augmentée, elle, utilise le monde réel pour y afficher des éléments virtuels. La réalité perçue est alors « augmentée » d’informations digitales. Cette technologie est utilisée au travers d’appareils tels que des casques, smartphones, tablettes ou ordinateurs. Comment peut-on appliquer ces technologies au commerce ? Aujourd’hui, le e-commerce et le m-commerce ont pris une très grande ampleur avec près de 85% d’internautes ayant effectué des achats en ligne en 2017, et ce chiffre ne cesse d’augmenter. Mais, les consommateurs ressentent encore le besoin de se rendre dans des magasins pour certains produits afin de les voir, les toucher, les sentir ou les goûter. Le v-commerce pourrait permettre de remédier aux lacunes du commerce en ligne. En effet, il permettrait de visualiser les produits en grandeur nature, de les toucher et de détecter leur matière grâce à des capteurs, et même de les sentir par le biais de capsules odorantes. La combinaison de ces 3 technologies n’est pas encore opérationnelle, mais à terme, l’expérience du commerce virtuel permettra de faire ses choix d’achat beaucoup plus facilement. Le v-Commerce transforme déjà le shopping Certaines entreprises ont compris que le v-commerce a un potentiel business fort. Voici un exemple d’entreprises utilisant déjà le « Virtual commerce » Ikea : Grâce à l’application mobile de réalité augmentée « Ikea Place » disponible depuis mai 2018, l’utilisateur scanne la pièce dans laquelle il se trouve et choisis un meuble pour l’ajouter à son environnement. Ainsi, il peut vérifier si le meuble s’accorde bien à son appartement, en termes de couleur et de taille. S’il est satisfait du rendu, il peut directement l’acheter depuis l’application. Ray-Ban propose de tester virtuellement, grâce à de la réalité augmentée, ses modèles de lunettes. Une caméra est utilisée pour détecter un visage et l’application propose différents modèles qu’elle juge adaptés à ce visage pour les essayer. Décathlon, depuis mai 2017, a mis en place un dispositif de réalité virtuelle dans une quinzaine de magasins en France afin de promouvoir les tentes Quechua. L’outil permet aux clients de découvrir les différentes tentes dans trois mondes totalement virtuels, très proches de la réalité (montagne, forêt et désert) grâce à des casques. Les utilisateurs découvrent les caractéristiques des tentes à taille réelle. Et la sécurité dans tout ça ? Des chercheurs américains ont démontré qu’il est possible de prendre le contrôle d’un casque de réalité virtuelle à l’aide d’un malware et de modifier les contenus que voit l’utilisateur. Cela peut le mettre en danger dans la vie réelle, en le faisant se cogner dans un mur, par exemple. Les failles de sécurité concernant cette technologie ne sont pas encore exploitées à grande échelle. En effet, comme dans le cycle de vie sécurité de toute nouvelle technologie, les attaques cyber massives n’apparaissent que quelques années après la démocratisation du produit. Concernant le paiement en ligne, la problématique est identique à celle rencontrée actuellement. Alors ça vous tente le v-Commerce ? Manon

  • ePrivacy, le petit frère du RGPD

    Dans la continuité des efforts fournis pour une meilleure protection de la vie privée des utilisateurs et de leurs données personnelles, l’Union Européenne compte remettre une couche avec la Réglementation ePrivacy, quelques temps seulement après l’entrée en vigueur du RGPD, le 25 Mai 2018. Se voulant être un complément du RGPD, ePrivacy se concentre sur les données personnelles embarquées dans les communications électroniques. Son entrée en vigueur, prévue pour cette année, fait d’ores et déjà couler beaucoup d’encre. ePrivacy en bref ePrivacy, également appelé « Règlement vie privée et communications électroniques » est un règlement européen qui vise à renforcer la protection des données personnelles des consommateurs de services en ligne et de simplifier les règles relatives à la gestion des cookies, de manière à rendre transparent le marketing des entreprises. Ce règlement remplacera la directive, portant le même nom, en place depuis 2002. ePrivacy a pour objectif d’harmoniser les législations nationales de sorte qu’elles soient conformes au RGPD. Le règlement permettra de garantir la confidentialité de toutes les communications électroniques, notamment les nouvelles méthodes de communications, telles que Skype, WhatsApp, Messenger, etc. Il permettra aussi de réguler et simplifier l’utilisation des cookies. En outre, ePrivacy portera également sur la protection des métadonnées inhérentes aux communications. En effet, elles renferment des données pouvant révéler la géolocalisation, date et heure d’un appel ou le type de téléphone utilisé. Que prévoit le règlement ? Au-delà des sanctions déjà prévues par le RGPD, pouvant être de 4% du chiffre d’affaires mondial de l’entreprise ou de 20 millions d’euros, d’autres mesures sont provisionnées dans ePrivacy : Le consentement préalable pour l’activation des cookies : Les cookies utilisés pour tracer les activités des consommateurs seront désormais sujets à un consentement préalable. Ce consentement sera configuré une seule fois et sera valable sur tous les sites. L’utilisateur devra explicitement accepter d’activer les cookies sur son navigateur, et son choix s’appliquera par défaut à tous les sites qu’il visite, contrairement à ce que préconise la loi en vigueur qui impose de cliquer sur une bannière de consentement, site par site, tout en sachant que la notion de consentement actuellement employée est opaque dans la mesure où un utilisateur qui ne clique pas sur la bannière est considéré comme ayant accepté les cookies. La suppression des « Tracking-Walls » : Cette méthode largement utilisée aujourd’hui par les sites consiste à conditionner l’accès audit site selon l’acceptation ou non des cookies. Le règlement (article 18) considère cette pratique comme étant contraire au principe de liberté du consentement et entend l’interdire. Une protection contre les spams : Sans consentement, les messages publicitaires non-sollicités seront proscrits. Cela concerne les SMS, les e-mails et les appels automatiques. De plus, les appels commerciaux ne pourront plus se faire en numéro masqué et devront être explicitement annoncés (par un indicatif réservé par exemple). La Protection des métadonnées : Le règlement prévoit aussi la protection des métadonnées. Comme indiqué précédemment, les métadonnées renferment des données sur le type de téléphone, la localisation et les durées d’appels. Celles-ci devront être anonymisées ou supprimées sans consentement de l’utilisateur. Seules les métadonnées utilisées à des fins de facturation pourront être utilisées sans accord préalable de l’utilisateur. La polémique ePrivacy L’application prochaine d’ePrivacy n’est pas du goût de tout le monde, en particulier les sites se reposant en partie sur les cookies. Aujourd’hui, 93% des entreprises ont recours aux cookies pour cibler et atteindre les consommateurs. En offrant la possibilité d’un consentement plus explicite aux utilisateurs, les cookies peuvent être bloqués par défaut sur tous les sites, engendrant ainsi une perte de trafic sur lesdits sites, et inexorablement un déficit de données pour ces entreprises. Celles-ci dénoncent les mesures « anti-cookies » d’ePrivacy puisque l’expérience utilisateur n’en sera que moins personnalisée. De même, ils estiment que ce règlement fait la part belle aux GAFA dont le principe de ciblage repose non sur des cookies mais sur l’identifiant unique, et qu’il en résultera l’accroissement de l’emprise des géants du web sur Internet. Ces tractations ont retardé l’adoption d’ePrivacy, qui devait entrer en vigueur en même temps que le RGPD. Cette réglementation est toujours en cours de discussion et devrait être adoptée dans le courant de l’année. Les entreprises auront alors un an pour se mettre en conformité avec ePrivacy, sous peine de subir les mêmes sanctions que le RGPD. Mehdi

  • WAF, le chien de garde de votre serveur

    Selon le Baromètre mondial des risques d’Allianz de 2018, le risque cyber est devenu le deuxième risque le plus redouté, après le risque d’interruption d’activité et juste devant le risque lié aux catastrophes naturelles. Et pour cause, le risque cyber n’est plus pris à la légère aujourd’hui, de plus en plus d’entreprises prennent conscience de l’enjeu que représente la cybersécurité. Il faut dire qu’avec l’avènement du numérique et l’explosion des solutions Cloud, il est nécessaire de sécuriser le tout. Dans cet article, nous allons nous intéresser à la protection des serveurs, et plus particulièrement les WAF, ou Web Application Firewall. De plus en plus populaire, le WAF est devenu un élément important de la sécurité des serveurs. Focus sur cette solution. Définition : Un Web Application Firewall (WAF) est, comme son nom l’indique, un type de pare-feu dont le but est de protéger la couche applicative du réseau, en particulier les applications, sans pour autant les modifier. Dans le schéma d’architecture globale d’un système, le WAF sera placé à avant de l’application à protéger, de sorte que toute requête adressée à notre application sera analysée par le WAF. Ainsi, les paquets seront analysés un à un. Si la demande est conforme avec l’ensemble de règles prédéfinies, alors ces paquets seront autorisés à atteindre l’application. Dans le cas contraire, ceux-ci seront rejetés. Le mode de fonctionnement est explicité dans le schéma ci-dessous : Ce mode de fonctionnement va permettre au WAF de protéger la couche applicative du réseau contre un bon nombre d’attaques les plus courantes. Chaque attaque a une signature qui lui est spécifique, c’est ce qui va permettre au WAF de les bloquer, puisque l’analyse du trafic permettra de détecter toute activité anormale. Parmi les attaques bloquées par les WAF, on peut citer : Les vols de session: Lorsqu’une session web est initiée sur un site, un cookie sera créé de sorte qu’on n’ait pas besoin de nous authentifier toutes les 10 minutes. Un cookie mal-sécurisé peut être répliqué et hop ! on nous usurpe notre session, plutôt embêtant quand on est sur le site de sa banque, par exemple. Le WAF permet de se prémunir contre ces attaques en proposant une sécurisation de notre connexion à l’aide d’un chiffrement SSL. Les Injections SQL : les injections sont souvent véhiculées par des requêtes http ou embarquées dans une URL. Dans un très grand nombre d’attaques de ce type, on remarque que des caractères comme les « = » ou « ‘’ » reviennent souvent. Grâce au WAF, on peut implémenter une règle de blocage de caractère dans les formulaires de saisie. Les attaques DDoS : les attaques DDoS (Distributed Denial of Service) sont des attaques visant à rendre une application ou un serveur indisponible, en saturant sa bande passante. Ainsi, lorsque cette attaque est en cours sur un serveur, le nombre de requêtes par seconde va drastiquement augmenter, et le temps de réponse du serveur avec. Le WAF détecte, dans ce cas, un comportement anormal et va réagir en conséquence. Par exemple, il peut limiter le nombre de requêtes par seconde vers le serveur et rejeter le surplus, ou tout simplement blacklister les adresses IP suspectes et les requêtes qui y proviennent. Ceci n’est qu’un exemple d’attaques contre lesquelles protège le WAF. On peut aussi citer le Cross-Site Scripting (XSS) ou le forced browsing. Quand dois-je mettre un WAF ? Au vu de ses capabilités, le WAF est certainement un « nice-to-have », offrant un niveau supplémentaire de sécurité, en plus des protections déjà mises en place. Mais avant de l’implémenter, il faut se poser la question de sa nécessité. Le besoin va dépendre d’un nombre de critères : L’importance de l’application à protéger : si l’on prend le site vitrine d’une grande marque de parfums, à audience mondiale, cet asset sera certainement d’une importance stratégique pour l’entreprise et là, le WAF sera plus que conseillé. Mais si on est en présence d’un petit site personnel, le besoin est beaucoup moins évident. Les données hébergées sur le serveur : Les données bancaires des clients doivent faire l’objet d’un haut niveau de sécurité, et le firewall applicatif ne sera pas de trop. Avec sa capacité à stocker les logs sur le serveur, une fuite de données peut être détectée rapidement. Le cadre réglementaire et légal : En sachant, par exemple, que le RGPD impose la notification de la CNIL à chaque fuite de données, au plus tard 72h après la constatation des faits, la capacité du WAF à détecter les data breach serait plus que bienvenue. Le coût et la maintenance : Comme vous pouvez vous en douter, un WAF a un coût. Il s’agit, là encore, de voir si l’investissement en vaut la peine. Il faut savoir aussi qu’un WAF a besoin d’être entrainé à détecter les comportements inhabituels, cela nécessite de mobiliser des compétences spécifiques pour des opérations de maintenance et mises à jour régulières. D’autres critères peuvent rentrer en jeu et il faut garder en tête que le fonctionnement d’un pare-feu applicatif n’est pas sans faille (détection de faux-positifs par exemple provoquant le blocage à tort d’un ensemble de requêtes) et ne peut rien contre les attaques exploitant des failles spécifiques. Même s’il limite grandement le risque lié à certaines attaques, la sécurité commence avant tout par la sensibilisation des parties prenantes quant à l’exploitation sécurisée d’un service web, car on ne le dira jamais assez, la sécurité est l’affaire de tous ! Mehdi

  • Est-ce la fin de l’authentification par mot de passe ?

    Oui ! C’est bientôt la fin de l’ère des passwords. La tendance actuelle est de se lancer sur des nouvelles méthodologies d’authentification qui remplaceront les mots de passe. En effet, La majorité des utilisateurs Internet ne prennent pas le temps nécessaire pour la création d’un mot de passe qui respecte les normes de sécurité basiques. De plus, 2018 était l’année des fuites de données par excellence. On estime que plus de 6 milliards d’identifiants (email, username, password) ont été volés. Prenons l’exemple du « data breach » de Facebook en Septembre 2018, où 50 millions de comptes ont été piratés. Ou plus récemment, lorsque Quora, la plateforme d’échange de questions/réponses, a annoncé que plus de 100 millions de comptes utilisateurs ont été corrompus. Par ailleurs, les « dumps », qui sont des bases de données piratées, peuvent être facilement accessibles sur le darknet, et puisque la plupart des utilisateurs disposent d’un seul mot de passe générique pour tous les sites web et applications mobiles, un hacker peut automatiser le processus de « Credential Stuffing » permettant de tester le password obtenu depuis un dump sur d’autres sites, chose qui aggrave sérieusement l’authentification par un mot de passe simple. Pour répondre à toutes ces limitations, plusieurs recherches visaient à ajouter une couche supplémentaire de sécurité en instaurant l’authentification à deux facteurs (2FA). C’est-à-dire que l’utilisateur est d’abord amené à taper son mot de passe sur le site qui génère ensuite un token valide pour quelques minutes pour s’authentifier. Ensuite l’utilisateur doit saisir le token reçu par SMS. Toutefois, cette méthode peut être exploitée par une personne malveillante : On a récemment découvert des failles dans le protocole SS7 des réseaux mobiles qui permettent de détourner l’acheminement des SMS. Ceci nous amène au cœur de notre article : Nous allons citer quelques protocoles qui, petit à petit, gagnent du territoire dans le monde de la sécurité : WebAuthn C’est une API qui permet au site web d’échanger avec un périphérique de sécurité (Smartphone, clé USB, carte RFID, etc.). Pour utiliser WebAuthn, un utilisateur doit d’abord générer une paire de clés (privée et publique) qui éviteront toute attaque de type « phishing » ou « Man In The Middle ». Son principe de fonctionnement est détaillé dans la figure suivante : Schéma : principe de fonctionnement de WebAuthn Le protocole WebAuthn a été approuvé par W3C et il est désormais considéré comme le standard officiel de l’authentification sans mot de passe. A ce stade, certains navigateurs web ont déjà implémenté le protocole dans leurs récentes versions, c’est maintenant le tour aux utilisateurs d’adopter cette méthode ! OTP Le mot de passe à usage unique ou le one time password en anglais est un protocole mis en place dans le but d’éliminer les failles que présentent un mot de passe classique. En résumé, OTP est une chaîne de caractères alphanumériquse générée automatiquement afin d’authentifier un utilisateur pour une seule session. On distingue trois type d’OTP : Time-based OTP : Génère un nouveau OTP à partir de l’ancien en prenant en compte le « timestep ». Algorithm-based OTP : Calcule l’OTP en se basant sur des algorithmes mathématiques bien définis. HMAC-based OTP : Utilise l’algorithme HMAC pour le calcul des mots de passe. Principe de fonctionnement de OTP Notons que d’après le schéma ci-dessus le point fort d’OTP est son intégration avec les serveurs d’annuaire (Active Directory, SAMBA, OpenLDAP…) Pour bénéficier des avantages de l’authentification à mot de passe unique, l’utilisateur a le choix d’employer des solutions web, des applications mobiles ou d’acheter un périphérique de gestion de token OTP dédié. Auth0 C’est la solution Open Source la plus utilisée aujourd’hui. Auth0 fournit un service AAaaS (Authentication and Authorization as a Service). L’avantage de cette méthode est qu’elle est parfaitement compatible avec les processus de Single Sign On, OAuth 2.0, SAML, 2FA SMS … Partant du principe « Security By Design » Auth0 offre une API facilement intégrable par le développeur : On présente ci-dessous un schéma explicatif : Authentification d’un utilisateur par Auth0 Lorsqu’un utilisateur veut s’authentifier auprès d’une application, Auth0 prend la main en lui demandant de fournir un token reçu soit par email, soit par application mobile. Le token peut être valide sur une durée, ou peut expirer à la fin de chaque session de connexion. Pour finir, je vous propose un site qui vous permet de vérifier si votre adresse email figure sur les bases de données volées. Vous pouvez même créer une alerte pour être notifié dès lors que vos identifiants seront corrompus. Liens vers le site : https://haveibeenpwned.com/ Sources : https://auth0.com/blog/how-passwordless-authentication-works/ https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API https://sebsauvage.net/wiki/doku.php?id=totp Ayoub

  • Google, déchu du podium

    Après tout ce que vous avez entendu sur Google, son espionnage quant à votre vie privée et la vente de vos données personnelles auprès des agences publicitaires ou du Gouvernement, il est nécessaire de rester vigilant voire méfiant. Petit exemple concret : Avez-vous connaissance de la page suivante : https://myactivity.google.com A partir du moment où vous utilisez une solution Google, tout peut être retracé sur cette page, soit : • L’historique de vos positions (GoogleMaps) ; • L’historique de l’ouverture de vos applications Android (si votre compte Google est lié) ; • L’historique de votre navigation internet ; • L’historique des vidéos YouTube regardées ; • L’historique de vos “voix” pour soi-disant améliorer la reconnaissance vocale du célèbre « Ok Google » … • L’historique de vos recherches Google. Autre exemple concret pour les utilisateurs de Gmail. Lorsque vous achetez des billets d’avion en ayant renseigné votre adresse gmail, vos dates de vol seront automatiquement affichées dans le Google Calendar. Magie ! N’oublions pas non plus le produit phare de Google, le Google Home (Le top du top en matière d’espionnage). Ce petit appareil écoute tout ce qu’il se passe dans votre maison et l’envoie sur les serveurs Google pour traitements. Magie ! Bref vous l’aurez compris, votre vie peut être entièrement retracée. Le respect, c’est maintenant ! Je vais maintenant vous présenter quelques alternatives aux solutions Google (et autres) ayant comme priorité le respect de la vie privée de l’utilisateur et non pas un modèle économique basé sur la publicité ciblée. Moteur de recherche 1 : DuckDuckGo DuckDuckGo est un moteur de recherche qui permet de bloquer les trackers, de garder votre historique de recherches privé et de garder le contrôle de vos données personnelles. Il faut savoir que DuckDuckGo ne peut pas affiner les recherches de ses utilisateurs en fonction de leurs requêtes précédentes, ni en fonction des centres d’intérêt connus, comme le fait Google. Les résultats peuvent donc s’avérer moins précis. C’est comme de passer de Paint à Photoshop, il faut un petit temps d’adaptation. 😊 Site officiel : https://duckduckgo.com/ Moteur de recherche 2 : Qwant Qwant est un moteur de recherche français ! Tout comme son homologue DuckDuckGO, Qwant mise tout sur le respect de la vie privée des utilisateurs. Qwant essaye depuis quelques années de se diversifier en lançant de nouveaux services (Qwant Junior pour les enfants, Qwant mail, Qwant maps et j’en passe !). Site officiel : https://www.qwant.com/ Navigateur internet : Brave Brave est un navigateur web basé sur Chromium (à ne pas confondre avec Chrome) qui respecte la vie privée des utilisateurs en intégrant des fonctions telles que le blocage des pubs, le blocage des trackers et le plugin « HTTPS Everywhere ». Le moteur de recherche installé par défaut est Qwant. Un des nombreux avantages de Brave est sa fluidité, en bloquant les scripts et les trackers permettant ainsi un chargement de page plus rapide. Site officiel : https://brave.com/ Email : ProtonMail Protonmail est un service de messagerie gratuit qui chiffre les données de bout en bout. C’est-à-dire que tous les mails sont chiffrés depuis le poste de l’émetteur jusqu’au destinataire. L’accès se fait évidemment via une authentification login/pass. Il est possible d’ajouter une authentification forte (2FA) et de chiffrer sa boite email avec un second mot de passe. Bref, niveau sécurité on ne rigole pas et c’est pour ça qu’on l’aime ! Site officiel : https://protonmail.com/ VPN : ProtonVPN Tout comme Protonmail, ProtonVPN met l’accent sur la sécurité et le respect de la vie privée des utilisateurs. ProtonVPN, est une création suisse, un pays en dehors de la juridiction de l’Union Européenne et dont les lois sur la confidentialité sont plus strictes qu’aux États-Unis. Le service n’enregistre aucune activité internet de l’utilisateur lors de sa navigation. Ainsi, aucune donnée ne peut être partagée avec des tiers. Site officiel : https://protonvpn.com/ Pour toutes les autres applications que vous utilisez au quotidien, je vous propose de vous rendre sur le site https://framasoft.org qui référencie de nombreuses alternatives gratuites. Le slogan du site parle de lui-même : « Dégooglisons Internet ! ». Yoann

  • Le HTTPS pour les nuls

    Depuis des années on entend parler de SSL, TLS, HSTS, certificat, BEAST, etc. sans prendre le temps de les comprendre. Cet article présentera de manière « simplifiée » le protocole HTTPS et ses composantes. Qu’est-ce que le HTTPS ? Le HTTPS est la version sécurisée du protocole HTTP. Il permet de se connecter à des sites Internet sans que le contenu des données échangées, ni même les URL complètes des sites visités, ne soit récupérables par un pirate informatique (ou une entreprise …). Les différentes versions de SSL/TLS Le protocole SSL (Secure Socket Layer) est apparu dans les années 90 avec deux versions disponibles : le SSLv2 et le SSLv3, puis il a été remplacé dans les années 2000 par le protocole TLS (Transport Layer Security). Trois versions du protocole TLS existent actuellement : TLS v1.0, TLS v1.1 et TLSv1.2 ; nous reviendrons sur le TLSv1.3 plus loin dans cet article. Les protocoles SSL et le TLSv1.0 sont aujourd’hui considérés comme non conformes suite à de nombreuses attaques : DROWN (SSLv2), POODLE (SSLv3) et BEAST(TLSv1.0). Il est recommandé de n’utiliser que les versions les plus récentes du protocole TLS : TLSv1.1, TLSv1.2 ou TLSv1.3. De quoi est « composé » le protocole HTTPS Les certificats Le certificat permet de valider l’identité du visiteur. Il permet de s’assurer que l’on communique avec le bon serveur. Depuis 2015 la solution Let’s Encrypt permet simplement et gratuitement d’obtenir des certificats. Les suites cryptographiques Une suite cryptographique est un groupement d’algorithmes dont chacun va assurer la sécurité d’une partie de la communication entre un client et le serveur. La sécurité de ces suites cryptographiques dépend fortement de l’algorithme de chiffrement utilisé. La clé de chiffrement Dans un échange HTTPS et pour chiffrer les communications, le serveur va envoyer son certificat au navigateur de l’utilisateur au moyen d’une clé publique. Cette clé publique se définit par sa taille en bits. Plus la taille de la clé sera petite, plus elle sera facile à déchiffrer (et non pas DECRYPTER, je vous renvoie sur ce très bon site au passage : https://chiffrer.info/). Il est aujourd’hui recommandé d’utiliser des clés d’une taille minimale de 2048 bits. La renégociation Dans un échange HTTPS le client et le serveur vont négocier la « meilleure » version du protocole disponible. « Je vois que tu acceptes le protocole TLSv1.2, moi aussi. Echangeons ensemble via ce protocole ». Le souci avec la renégociation TLS est qu’en rendant possible cette négociation, un client pourrait demander au serveur d’utiliser le protocole TLSv1.0 sujet à la vulnérabilité BEAST. HSTS (HTTP Strict Transport Security) Le HSTS est une fonctionnalité implémentée sur un serveur Web à destination du navigateur des utilisateurs. Cette fonctionnalité va forcer les connexions HTTPS avec chiffrement. Par exemple si mon site example.com peut être consulté via l’url http://example.com ET https://example.com. Le protocole HSTS va forcer le navigateur à se connecter au site https://example.com. Nouveautés avec le TLSv1.3 10 ans après le TLSv1.2, le TLSv1.3 montre le bout de son nez. Il est disponible en version finale depuis août 2018. Globalement, le protocole est plus rapide et plus fiable en termes de sécurité. Plus rapide dans le sens où il y aura moins d’interactions client/serveur comme le montre ce petit schéma explicatif : Source : https://kinsta.com/blog/tls-1-3/ En termes de sécurité, le TLSv1.3 n’autorise pas les suites de chiffrements obsolètes, telles que DES, 3DES, RC4, SHA1, etc. Conclusion Voilà, vous savez maintenant tout sur le protocole HTTPS. Il est performant, sécurisé, met en confiance les utilisateurs et il permet d’être conforme à tout un tas de réglementations. Faites-nous des retours si vous avez commencé l’implémentation du TLSv1.3 !

bottom of page