La technologie quantique est-elle le futur du XXI^e siècle? C’est la question que se posent nombre de scientifiques à l’heure actuelle. Malgré cette incertitude, la plupart sont d’accord sur un point : la technologie quantique va amener une révolution scientifique sans précédent.

En ce qui concerne la sécurité informatique, la technologie quantique est la bombe à retardement qui va casser une grande partie des algorithmes cryptographiques (AES, RSA, ECC, etc.) utilisés dans les systèmes exploités par la majorité des citoyens quotidiennement (communications, banque, protection des données, etc.).

Cette présentation propose une vision de la technologie quantique : son fonctionnement, son utilisation pour améliorer la cryptographie actuelle, mais aussi les attaques quantiques et les solutions à ces attaques.

Is kwantumtechnologie de toekomst van de 21^ste eeuw? Dat is de vraag die talrijke wetenschappers zich momenteel stellen. Ondanks de onzekerheid hierover zijn de meesten akkoord over één punt: kwantumtechnologie gaat een ongeziene wetenschappelijke revolutie teweegbrengen.

Wat de informaticaveiligheid betreft, is kwantumtechnologie de tijdbom die een groot deel onderuit zal halen van de cryptografische algoritmes (AES, RSA, ECC, enz.) die gebruikt worden in systemen die de meerderheid van de burgers dagelijks benut (communicatie, banken, gegevensbescherming…).

Deze presentatie geeft een kijk op kwantumtechnologie: haar werking, het gebruik ervan om de huidige cryptografie te verbeteren, maar ook kwantum-aanvallen en de oplossingen hiervoor.

La page World’s Biggest Data Breaches référence de manière interactive toutes les brèches de sécurité qui ont amené à des fuites de données plus ou moins graves et importantes depuis 2004.

De webpagina World’s Biggest Data Breaches geeft een interactief overzicht van alle security breaches die sinds 2004 aanleiding hebben gegeven tot de meest in het oog springende dataverliezen.

Devenues reines des systèmes informatiques, les données sont le cœur de toute entreprise ou organisation. Elles sont rentrées, collectées, scannées, traitées, analysées, stockées, imprimées, transmises tous les jours, tout le temps. Bref, elles sont le pouvoir et bien souvent la chose la plus précieuse qu’une entreprise ou organisation possède. Et les données sont stockées dans divers lieux : bases de données, data warehouses, fichiers, cloud, etc.

A l’heure actuelle, on s’attarde plus à protéger ces lieux de stockage que les données elles-mêmes. Les organisations déploient ainsi tout un arsenal de défenses périphériques, avec tant des murs physiques que des murs virtuels, pour protéger les lieux de stockage. Malgré cet effort de protection, la plupart des spécialistes en sécurité ne cessent de le répéter : « La question à se poser n’est pas ‘si’, mais ‘quand est-ce qu’une cyberattaque va avoir lieu dans votre organisation ! ». Et ces mêmes spécialistes s’accordent à dire que les défenses périphériques n’amèneront qu’un retard à la réussite (certaine) d’une cyberattaque.

Durant la session d’information, nous présenterons un modèle de sécurité centré sur les données : le ‘data-centric security model’. Contrairement aux autres méthodes de protection mentionnées ci-dessus, ce modèle se focalise sur la protection des données elles-mêmes. Il a pour but de protéger toute donnée dite sensible partout et à tout moment, dès qu’elle est introduite dans le système informatique d’une organisation, que la donnée soit utilisée, en transit ou stockée. Il permet donc de déployer une sécurité globale et homogène dans l’organisation.

Nous parcourrons les six étapes à déployer pour mettre en place le modèle. Nous expliquerons entre autres en quoi la classification des données est importante pour mettre en place une protection ‘data-centric’ efficace. Nous détaillerons également les différents mécanismes cryptographiques qui peuvent être utilisés dans le modèle ‘data-centric’. Le tout sera illustré via des exemples sur base d’un produit concret.

Data zijn tegenwoordig het koninginnestuk van de informaticasystemen en vormen het hart van elke onderneming of organisatie. Elke dag worden ze ingebracht, verzameld, gescand, verwerkt, geanalyseerd, opgeslagen, afgedrukt en overgedragen. Ze zijn met andere woorden het symbool voor de macht en zijn vaak het belangrijkste bezit van een onderneming of organisatie. Data worden ook op verschillende plaatsen opgeslagen: databases, datawarehouses, bestanden, in de cloud, etc.

Momenteel houdt men zich meer bezig met het beschermen van deze opslagplaatsen dan de data zelf. Organisaties ontwikkelen op die manier een hele uitrusting aan perifere verdedigingen, met zowel fysieke als virtuele muren om de opslagplaatsen te beschermen. Ondanks deze inspanning om ze te beschermen blijven veiligheidsexperten herhalen dat: “de vraag niet is of, maar wanneer er een cyberaanval zal gebeuren in uw organisatie”!  En diezelfde experten zijn het met elkaar eens dat perifere verdedigingen een cyberaanval weliswaar kunnen vertragen maar niet kunnen stoppen of verhinderen.

Tijdens de infosessie zullen we een veiligheidsmodel voorstellen dat focust op data, het ‘data-centric security model’. In tegenstelling tot de andere beschermingsmethodes die hierboven vermeld worden, richt dit model zich op de bescherming van de data zelf. Het heeft als doel om elk gevoelig gegeven eender waar en op welk moment ook te beschermen zodra dit gegeven in het informaticasysteem van een organisatie terechtkomt, of het nu om een gebruikt gegeven, een gegeven in transit of een opgeslagen gegeven gaat. Hiermee kan dus een globale en homogene veiligheid op poten gezet worden in de organisatie.

We overlopen de zes stappen die geïmplementeerd moeten worden om het model in te voeren. We leggen onder andere uit waarom dataclassificatie belangrijk is om voor een efficiënte ‘data-centric’ bescherming te zorgen. We zullen eveneens de verschillende cryptografische mechanismen bespreken die gebruikt kunnen worden in het “data-centric” model. Alles zal geïllustreerd worden via voorbeelden op basis van een concreet product.

Impossible de nier les avantages du cloud : réduction des coûts, plus grande évolutivité, meilleure mobilité, déploiement plus rapide et mises à niveau instantanées, pour ne citer qu’eux. Cependant, les risques de sécurité constituent toujours le principal frein à l’adoption du cloud par les organisations et entreprises. L’objectif de cette research note est de présenter les mécanismes cryptographiques connus et existants qui permettent protéger le stockage et le traitement de données dans les environnements cloud.

Het is onmogelijk om de voordelen van de cloud te ontkennen. Om er slechts enkele te noemen: vermindering van de kosten, een grotere evolutiviteit, een betere mobiliteit, een sneller deployment en instant updates. De veiligheidsrisico’s vormen echter nog steeds de voornaamste reden waarom organisaties en bedrijven de cloud niet volledig omarmen. Deze research note heeft als doel de gekende en bestaande cryptografische mechanismen voor te stellen waarmee de gegevensopslag en -verwerking beschermd kunnen worden in de cloud-omgevingen.

Devenu une notion inévitable et populaire ces dernières années, le cloud est passé d’un concept brumeux et risqué à la stratégie ICT « du futur » vers laquelle toute organisation va tôt ou tard se tourner. Avec un budget ICT sous pression, le gouvernement est aussi séduit par les possibilités offertes par le cloud. Outre la réduction des coûts, la raison majeure de cet engouement est la facilité d’accès à un parc de ressources informatiques au potentiel presque illimité, tout cela avec un effort minimal de gestion. Au lieu de posséder et d’exploiter les infrastructures informatiques, une organisation peut ainsi louer les ressources partagées d’un service cloud, devenant alors locataire (appelé tenant) d’infrastructure plutôt que propriétaire.

Le partage de telles infrastructures est malheureusement le talon d’Achille des services cloud. En effet, des cyber-attaques ont montré la possibilité d’exploiter la proximité de partage des tenants d’un même service cloud. Par conséquent, on considère qu’un service cloud est intrinsèquement moins sûr qu’une infrastructure auto-hébergée. Les problèmes de sécurité, en particulier de confidentialité et d’intégrité des données, sont la préoccupation majeure des utilisateurs du cloud, car leurs données se retrouvent gérées hors du cadre de leur gouvernance. Dans notre contexte de sécurité sociale et de soins de santé, et plus généralement dans le contexte gouvernemental, ces problèmes sont d’autant plus accrus qu’ils concernent potentiellement les données sensibles des citoyens et entreprises.

Durant la session d’information, nous présenterons un modèle développé par Smals pour évaluer le niveau de sécurité d’un service cloud. Dans un premier temps, nous parcourrons les points-clés de sécurité qu’un service cloud doit assurer. Ces points-clés sont primordiaux à analyser avant d’envisager l’utilisation d’un service cloud, car ils permettent de révéler les potentielles failles de sécurité de ce dernier. Ces points-clés constituent le premier volet du modèle. Ils sont regroupés en 4 critères majeurs qui seront développés au cours de l’exposé : gouvernance, gestion d’identité et du contrôle d’accès, sécurité IT et sécurité opérationnelle. Puis, nous explorerons le deuxième volet du modèle qui décrit comment choisir un service cloud en fonction des données qu’on souhaite y transférer. Nous verrons que ce choix est principalement basé sur la classification des données de la sécurité sociale. Durant l’exposé, nous illustrerons l’utilisation du modèle avec un exemple bien connu : le service Dropbox.

De cloud is de laatste jaren een onontkoombaar en populair begrip geworden dat uitgegroeid is van een vaag en risicovol concept tot de ICT-strategie “van de toekomst” die elke organisatie vroeg of laat zal toepassen. Met een ICT-budget dat onder druk staat, wordt ook de overheid verleid door de mogelijkheden die de cloud biedt. Naast de kostenbesparingen is de hoofdreden van deze hype de vlotte toegankelijkheid tot tal van informaticaresources met bijna oneindig veel mogelijkheden, en dit alles met een minimaal beheer. In plaats van de informatica-infrastructuur zelf te bezitten en te exploiteren, kan een organisatie op die manier de resources die gedeeld worden via een clouddienst huren. Hierdoor wordt hij dus de huurder (“tenant” genoemd) van de infrastructuur in plaats van de eigenaar.

Het delen van zo’n infrastructuur is spijtig genoeg ook de achilleshiel van de cloud. Cyberaanvallen hebben immers aangetoond dat het delen van eenzelfde clouddienst door tenants misbruikt kan worden. Men beschouwt een clouddienst bijgevolg als iets dat wezenlijk minder veilig is dan een zelf gehoste infrastructuur. De beveiligingsproblemen, in het bijzonder vertrouwelijkheid en integriteit van gegevens, baren de gebruikers van de cloud veel kopzorgen omdat ze het volledige beheer van hun gegevens niet meer in eigen handen hebben. In onze context van sociale zekerheid en gezondheidszorg, en meer algemeen in een overheidscontext, zijn deze problemen eens zo groot omdat ze mogelijk gevoelige gegevens betreffen van burgers en ondernemingen.

Tijdens de infosessie stellen we een model voor dat ontwikkeld is door Smals om het beveiligingsniveau van een clouddienst te kunnen evalueren. Eerst worden de belangrijkste beveiligingsaspecten overlopen die een dergelijke dienst moet garanderen. Ze zijn van essentieel belang bij het overwegen van het gebruik van de dienst, omdat ze de mogelijke gaten in de beveiliging ervan aan het licht kunnen brengen. Deze beveiligingsaspecten vormen het eerste luik van het model en ze worden gegroepeerd in 4 hoofdcriteria die verder verduidelijkt zullen worden tijdens de sessie: governance, identiteitsbeheer en toegangscontrole, IT-beveiliging en operationele beveiliging. Daarna zullen we het tweede luik van het model verkennen dat beschrijft hoe we een clouddienst kunnen kiezen naargelang de gegevens die we erop willen zetten. We zullen zien dat deze keuze voornamelijk gebaseerd is op de classificatie van de gegevens van de sociale zekerheid. Tijdens de presentatie zullen we het gebruik van het model verduidelijken met een goed gekend voorbeeld: Dropbox.

Depuis quelques années, le monde de la sécurité informatique doit faire face à un nouveau type de cyber-attaques très sophistiquées appelé APT, sigle pour « Advanced Persistent Threats ». Au vu des préjudices que peuvent causer les APT, tout organisme et entreprise doit se tenir au courant de cette récente problématique. L’objectif de cette research note est double. Tout d’abord, elle présente un état de l’art des APT, avec leurs caractéristiques et quelques exemples célèbres. Ensuite elle parcourt brièvement les solutions existantes qui permettent potentiellement de se protéger de ces menaces.

Sinds enkele jaren moet de wereld van informaticaveiligheid opboksen tegen een nieuw type zeer geavanceerde cyberaanvallen genaamd APT, wat de afkorting is voor “Advanced Persistent Threats”. Gezien de schade die deze APT’s kunnen berokkenen, moeten instellingen en ondernemingen op de hoogte blijven van deze recente problematiek. Deze research note kent twee doelstellingen. Ze stelt in de eerste plaats een overzicht voor van de APT-aanvallen, met hun eigenschappen en enkele bekende voorbeelden. Vervolgens worden de bestaande oplossingen waarmee men zich potentieel kan beschermen tegen deze bedreigingen kort overlopen.

GoodReader est une application pour les iPad développée par la société Good.iWare Ltd. La version présentée dans ce Quick Review est la version 3.20.0 publiée le 6 janvier 2014.

Cette application permet le visionnage de documents (p.ex. pdf, Microsoft Office, ou encore tout format d’images/photos/vidéos) et la mise en place d’une synchronisation entre :

• un espace de stockage situé sur un serveur distant (p.ex. cloud public ou privé) et
• des dossiers locaux se situant sur la carte mémoire d’un iPad.

FolderSync est une application pour les appareils mobiles avec un système Android qui est développée par la société Tacit Dynamics. Cette application permet la mise en place d’une synchronisation entre :

• un espace de stockage situé sur un serveur distant (p.ex. cloud public ou privé) et
• des dossiers locaux se situant sur la carte mémoire d’un appareil de type tablette ou smartphone.

Elle est actuellement compatible avec plusieurs services de stockage tels que Google Drive, Google Docs, Dropbox, Amazon S3, SugarSync, Ubuntu One, Box.net, SkyDrive, ou encore les protocoles FTP, FTPS, SFTP et WebDAV.

Souvent référencée comme la nouvelle tendance, l’identification par radiofréquence (RFID) est une technologie sans contact qui permet d’identifier et/ou d’authentifier à distance et sans contact visuel des transpondeurs, communément appelés « tags » ou « étiquettes ». Utilisée pour la première fois durant la Seconde Guerre Mondiale, on la retrouve aujourd’hui dans de nombreuses applications telles que les transports publics, les antivols de voiture, l’identification animale, ou encore les passeports électroniques.
Il est difficile de définir précisément ce qu’est la RFID car chacun en a sa propre vision. En particulier, la limite entre la RFID et les cartes à puce sans contact reste floue. Les industriels de la carte à puce préfèrent généralement faire une distinction entre les deux concepts car le terme RFID reflète l’idée de faible sécurité. En contrepartie, les industriels de la RFID considèrent que les cartes à puce sans contact sont une forme d’identification par radiofréquence.
Ce document présente le domaine de la RFID, de ses origines à ses applications, en passant par la technologie déployée, en particulier les caractéristiques physiques des tags.

Radiofrequentie-identificatie (RFID) wordt vaak bestempeld als een nieuwe trend. RFID is een contactloze technologie waarmee op afstand en zonder visueel contact transponders, in het algemeen “tags” genoemd, geïdentificeerd en/of geauthenticeerd kunnen worden. Deze technologie werd voor het eerst gebruikt tijdens de Tweede Wereldoorlog, en wordt vandaag gebruikt voor tal van toepassingen zoals bij het openbaar vervoer, antidiefstalsystemen voor wagens, identificatie van dieren, of voor elektronische paspoorten.
Het is moeilijk om RFID nauwkeurig te definiëren, omdat iedereen zijn eigen visie erop heeft. In het bijzonder blijft de grens tussen RFID en contactloze chipkaarten vaag. De producenten van de chipkaart verkiezen in het algemeen om een onderscheid te maken tussen de twee concepten, omdat de term RFID aan zwakke beveiliging doet denken. Daartegenover staan de producenten van RFID die contactloze chipkaarten beschouwen als een soort identificatie via radiofrequentie.
Dit document beschrijft het domein van de RFID, van het ontstaan tot de mogelijke toepassingen, zonder de gebruikte technologie te vergeten met in het bijzonder de fysieke eigenschappen van tags.