ver / worm [glossaire technique en ligne de l’ANSSI]

ver [glossaire technique de l’ANSSI] :

un ver (ou worm) est un logiciel malveillant indépendant, cherchant à propager son code au plus grand nombre de cibles, puis de l’exécuter sur ces mêmes cibles. Il perturbe le fonctionnement des systèmes concernés en s’exécutant à l’insu des utilisateurs.

Partagez sur

Il est difficile, pour les juristes comme pour les professionnel(le)s du numérique et de la sécurité des systèmes d’information de s’y retrouver dans le maquis des définitions légales, en vigueur ou à venir. Le dictionnaire LEGAL que nous vous proposons inclut les définitions des projets de Règlement et de Directive UE (très nombreuses mais pas toujours pertinentes…) et certaines définitions propres au droit français. Lorsque nos lois sont muettes, nous vous proposerons des définitions issues de notre pratique contractuelle.

Tapez un mot clé, un numéro de Directive/Règlement UE ou cherchez par ordre alphabétique : vous devriez trouver une définition légale.

Et à partir d’une définition, cliquez sur le lien qui vous est proposé pour accéder au texte légal qui vous intéresse.

A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
Generic selectors
Exact matches only
Cherchez dans le titre
Cherchez dans le contenu
Post Type Selectors

Hachage de mot de passe [Guide de sélection d’algorithmes cryptographiques – ANSSI – 8 mars 2021] :

un mécanisme de hachage de mot de passe permet de calculer une valeur de vérification V à partir d’un mot de passe M et d’une valeur variable non secrète appelée sel. La valeur V ne permet pas d’obtenir d’information sur M autrement qu’en essayant des valeurs candidates pour M jusqu’à obtenir une coïncidence avec V . L’effort de calcul pour réaliser un hachage de mot de passe est généralement réglable, et ajusté de façon à ralentir l’essai de valeurs candidates pour M. Un utilisateur légitime en possession du mot de passe M peut réaliser l’opération pour un effort de calcul modéré car il ne réalise l’opération qu’une fois, mais l’effort de calcul pour un adversaire testant des valeurs candidates pour M sera plus élevé. La valeur V peut être stockée et servir de valeur de référence pour une authentification à base de mot de passe, ou servir à dériver des clés. Associée à un mécanisme de dérivation de clé, elle peut remplir ces deux fonctions simultanément.

Partagez sur

test d’intrusion [glossaire technique de l’ANSSI] :

action qui consiste à essayer plusieurs codes d’exploitation sur un système d’information, afin de déterminer ceux qui donnent des résultats positifs. Remarques : Il s’agit à la fois d’une intention défensive (mieux se protéger) et d’une action offensive (agresser son propre système d’information).

Partagez sur

confidentialité [wikipédia « objectif de sécurité des systèmes d’information« ] :

Le système d’information représente un patrimoine essentiel de l’organisation, qu’il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées dans le cadre prévu »

La sécurité des systèmes d’information vise les objectifs suivants (C.A.I.D.) :

  1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
  2. Authenticité : les utilisateurs doivent prouver leur identité par l’usage de code d’accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l’utilisateur n’est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l’authenticité de l’identifiant. Cela permet de gérer les droits d’accès aux ressources concernées et maintenir la confiance dans les relations d’échange.
  3. Intégrité : les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
  4. Disponibilité : l’accès aux ressources du système d’information doit être permanent et sans faille durant les plages d’utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.

Partagez sur

extorsion [article 312-1 du Code pénal] :

le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque.

L’extorsion est punie de sept ans d’emprisonnement et de 100 000 euros d’amende.

Partagez sur