Des socket SSL à partir de RPG ? Bien sûr c’est possible !
Les sockets permettent à un programme de communiquer sur un réseau TCP/IP. Toute donnée que vous écrivez dans un socket est fragmentée en paquets et envoyée sur votre réseau ou sur Internet vers l’ordinateur de destination, où elle est reconstituée et lue par un autre programme. Ce genre de communication est la substance même d’Internet : ce sont des milliards d’octets qui circulent de par le monde. Mais il y a un hic. Les octets envoyés sur Internet traversent des dizaines de réseaux, et les ordinateurs qui en font partie peuvent les voir. Pour qu’un envoi reste privé, il faut le crypter !Le standard de cryptage des communications TCP/IP est un protocole généralement connu sous le nom de SSL (Secure Sockets Layer). Cet article donne un aperçu de SSL et vous apprend à utiliser les API GSKIT (Global Secure ToolKit) fournies avec i5/OS pour écrire vos propres applications SSL en ILE RPG.
Lire l'article
Durcir le SYSTEM I : Firewall Friendly VPN
La demande croissante d’e-business s’accompagne d’une forte exigence de sécurité. Virtual Private Network avec IP Security Architecture (IPsec VPN) y répond en fournissant le cryptage et l’authentification de bout en bout au niveau de la couche IP et en protégeant les données confidentielles qui empruntent des réseaux plus ou moins fiables.IPsec présente un double avantage : une large étendue de la couverture et une granularité agile pour la protection. Hélas, il existe des incompatibilités entre IPsec VPN et le NAT (Network Address Translation) que les pare-feu utilisent.
Ces incompatibilités doivent être résolues si l’on veut généraliser le déploiement d’IPsec VPN en e-business. La solution réside dans Firewall Friendly VPN. En V5R4, le System i peut être à la fois client et serveur pour une connexion VPN qui traverse NAT. Firewall Friendly VPN peut servir de multiples scénarios e-business tels que : fournir des relevés de comptes en ligne aux clients d’une banque, permettre à des agents d’assurance locaux de soumettre des demandes en toute sécurité par Internet, ou laisser les clients System i télécharger des documents à partir du serveur IBM RETAIN.
L’essentiel de la supervision du réseau pour la PME, 1ère partie
On dit souvent que « Un peu de prévention vaut beaucoup de soins ». C’est particulièrement vrai en matière de supervision de réseau. Le fait de superviser vos serveurs, les applications qu’ils exécutent et vos unités de réseau, peut signaler des problèmes que vous corrigerez avant qu’ils ne touchent vos utilisateurs. En supervisant le réseau et en tenant son historique, vous pouvez tirer de ces données des informations exactes destinées aux utilisateurs, souvent prompts à exagérer la fréquence d’un problème particulier.Il est un autre aspect tout aussi important : en supervisant le réseau, vous savez exactement ce qui s’y passe, qui y accède et quand. Il y a donc deux types de supervision. Dans cet article, j’appelle le premier supervision de l’exploitation et le second supervision de la sécurité. Dans les grandes entreprises, il est fréquent que ces deux genres de supervision soient confiés à processus distincts confiés à l’équipe d’exploitation et à l’équipe de sécurité de l’information.
Mais les petites et moyennes entreprises (PME) tendent plutôt à appliquer un processus de supervision global, pour plusieurs raisons. Indépendamment du budget et des effectifs, les réseaux PME n’ont généralement pas besoin du même niveau de supervision que les grands comptes. Ils fonctionnent rarement à pleine capacité et sont beaucoup plus faciles à maintenir que ceux des grandes entreprises. Enfin, les réseaux PME ne sont pas aussi sophistiqués et n’ont pas besoin du même détail d’analyses et de courbes de tendances, que leurs grandes soeurs.
Dans cette série en deux parties, je recense les divers appareils et systèmes que vous devez superviser dans une PME pour la sécurité et l’exploitation. Dans la 1ère partie, j’indique les sources de supervision de données les plus courantes, y compris les journaux d’événements Windows, Syslog et SNMP ; et, dans la 2e partie, nous construirons l’ossature d’une solution de supervision de réseau au moyen d’outils gratuits ou peu coûteux.
Windows Server 2008, SQL Server 2008 et Visual Studio 2008 : l’événement dans l’événement !
Pour la version 2008, plus de 15 000 personnes sont attendues aux TechDays 2008. Un sommaire riche à la hauteur des ambitions de Microsoft puisque toute l’offre produits et solutions d’entreprise sera présentée.« Et pour que chacun puisse trouver la meilleure information, pas moins de 300 sessions thématiques sont prévues dont 120 pour les développeurs et 200 pour les professionnels de l’informatique » résume Philippe Ouensanga, responsable architecte Infrastructure, Microsoft France. Des sessions accompagnées d’une trentaine de workshops et de plusieurs centaines de « handson labs », à savoir des ateliers techniques pour approfondir les connaissances.
Quelques exemples de parcours : la sécurité, l’administration et la supervision, l’infrastructure, la mobilité et les système embarqués, le développement avec Office, le développement Web, le design architecture, le décisionnel, la gestion des données, la gestion de contenu, etc. Parmi ces thématiques, Microsoft a souhaité mettre l’accent sur quatre grands axes à savoir : la virtualisation, l’interopérabilité, la sécurité et le déploiement.
Même si le lancement d'Office Communication Server 2007 est certainement l'une des annonces les plus importantes en termes de potentiel et d'innovation pour le futur des infrastructures informatiques, le point d'orgue de l'exercice pour l'écosystème Microsoft sera sans contexte le lancement de Windows Server 2008. Focus sur le parcours Infrastructure.
Un réseau PME « parfait »
Bienvenue au début d’une longue série d’articles traitant de la mise en place du « parfait » petit réseau PME (petites et moyennes entreprises). Nous partons du commencement: là où vous vous trouvez peut-être en ce moment, si vous créez une entreprise. Nous voulons vous présenter les composantes successives que vous devrez considérer pour votre infrastructure.Notre ambition n’est pas seulement de vous offrir une base de réseau parfaite mais aussi une solution élégante. A cette fin, au fur et à mesure que nous présenterons les éléments essentiels du réseau PME, nous proposerons des articles sur la manière de mettre ce réseau à votre service.
L’un des points importants pour bien équiper le réseau PME est de bien comprendre que les besoins de la PME sont très différents de ceux de la grande entreprise. En général, ce qui vaut pour celle-ci ne convient pas à la PME. Dans cette dernière, l’organisation de l’activité, la sophistication technique et les exigences de management sont très différentes. Pour compliquer les choses, il n’existe pas vraiment de PME type. Elles peuvent beaucoup varier entre elles en termes d’exigences de gestion et de capacités techniques. Donc, pour commencer cette série, essayons de parvenir à une définition générale des types de réseaux PME, en exposant les composantes et les caractéristiques de base. Les articles suivants utiliseront ces thèmes comme points de départ pour construire le parfait réseau PME.
SINGLE SIGN-ON: Finis les mots de passe SYSTEM i
Si seulement vous n’aviez plus jamais à vous connecter à votre System i ! Imaginez la satisfaction de vos utilisateurs finaux cliquant sur l’icône System i et obtenant immédiatement leur menu d’applications principal. Imaginez encore : Aucune invite de la part du serveur sign-on (la petite boîte GUI qui vous demande votre ID et mot de passe utilisateur) et pas d’invite 5250 Telnet redemandant ce que vous venez juste de taper dans la boîte GUI du serveur sign-on.En voilà assez de devoir cliquer sur l’icône System i et de nous connecter à la boîte du serveur sign-on, puis de recommencer le sign-on pour chaque session Telnet sur écran passif. Pourquoi en est-il ainsi ? Nous pensons que c’est stupide et nos utilisateurs finaux pensent que c’est ridicule. Tout le monde a raison : c’est à la fois stupide et ridicule.
Combien d’argent et de ressources économiserions-nous si personne ne devait plus appeler le help desk ou l’administrateur système pour redéfinir un mot de passe i5/OS ou réactiver un profil utilisateur. Une enquête du Gartner Group estime que le coût moyen d’un appel pour redéfinir un mot de passe est d’environ 31 dollars. Si 300 utilisateurs font un tel appel une fois par an, une simple multiplication nous donne un coût d’environ 9 300 dollars. Mais nous en connaissons qui appellent beaucoup plus souvent ! Alors débarrassons-nous simplement des mots de passe i5/OS de nos utilisateurs finaux. Ils ne risquent pas d’oublier un mot de passe qu’ils n’ont pas. Elémentaire, non ?
Quand j’entends parler du SSO (single sign-on) d’entreprise, j’entrevois aussitôt un paradis où les utilisateurs n’ont qu’un ID et un mot de passe (ou un autre mécanisme d’authentification du genre biométrie). Cette authentification unique les conduit partout où ils ont envie d’aller : tous les serveurs de la société, tous les sites Web protégés par mot de passe et toutes les autres applications telles que la messagerie électronique, la gestion de la relation client (GRC) et l’informatique décisionnelle (BI, business intelligence).
En ce sens, SSO est un fantasme. Même si certains éditeurs de logiciels le considèrent comme le Graal, personne ne peut en montrer un exemple convaincant. Quand je parle de SSO, je pense réellement à une définition très étroite visant à réduire simplement le nombre de dialogues sign-on que les utilisateurs doivent effectuer pour faire leur travail. C’est pourquoi je préfère désigner ce concept sous le son de sign-on réduit.
SSIS et la sécurité
Comme toutes les autres fonctionnalités présentes dans SQL Server 2005 Integration Services (SSIS), les nouveautés du produit touchant à la sécurité diffèrent sensiblement de leurs homologues dans DTS. SSIS continue d’employer des mots de passe et crypte les données sensibles, mais l’approche a profondément changé et se traduit par une simplification de l’exécution, de la protection, de la planification et de la modification des lots automatisés.Les fonctionnalités de sécurité de SSIS se répartissent en cinq catégories fonctionnelles : le cryptage, pour la sécurité des lots ou de parties d’entre eux ; la protection des données sensibles, pour l’identification et la protection des mots de passe et autres données critiques ; les rôles SQL Server, pour le contrôle de l’accès aux lots stockés dans SQL Server ; la signature numérique du code, pour garantir qu’un lot n’a pas changé ; et, enfin, l’intégration des sous-systèmes de l’Agent SQL Server, pour le stockage et l’exécution sécurisée des lots. Le présent article examine en détail ces nouvelles fonctionnalités de sécurité et propose des conseils sur les modalités et les circonstances de leur mise en oeuvre. A cette occasion, j’aimerais remercier tout spécialement Sergei Ivanov, le développeur de l’équipe Integration Services qui a écrit ces fonctionnalités, pour ses réponses à toutes mes questions et pour s’être assuré que je comprenais parfaitement les moindres détails.
Lire l'article
Techniques pour permettre l’accès aux applications
Aujourd’hui, il n’est plus question de configurer les objets application avec des autorités publiques permettant au premier utilisateur venu de voir ou de mettre à jour tous les fichiers de données. Remerciez-en les lois et règlements qui s’appliquent aux configurations de données, visant à refuser l’accès par défaut.Désormais, tous les objets application doivent être configurés de telle sorte que les fichiers ne puissent être ni mis à jour ni vus hors des interfaces applicatives approuvées. Sur i5/OS, cela se fait en excluant (par *EXCLUDE) l’autorité *PUBLIC sur nos objets fichiers de données. Mais, direz-vous, si l’autorité publique est réglée sur *EXCLUDE, comment l’utilisateur peut-il obtenir l’autorité suffisante pour accéder et mettre à jour, les fichiers de données pendant qu’il utilise l’application ? Cet article décrit les techniques qui fournissent l’autorité pendant l’exécution de l’application, sans l’accorder en permanence.
Lire l'article
Audit par utilisateur
L’audit Windows est tellement complet qu’il peut être une arme à double tranchant : les messages non critiques (ou parasites) submergent souvent les messages vraiment dignes d’attention. On ne saurait critiquer Microsoft pour le plupart des parasites d’audit. Le standard d’évaluation de sécurité Common Criteria, très réputé, exige des OS qu’ils soient capables d’auditer toute action constatée, et les administrateurs pousseraient les hauts cris si le journal d’audit ratait un seul événement qu’ils jugent important.Nul besoin, néanmoins, de capturer tous les événements. Vous pouvez réduire les parasites en réglant finement la structure d’audit pour les besoins particuliers de votre environnement. Le nouvel auditing par utilisateur de Windows peut vous aider dans cette tâche.
Lire l'article
Fonctionnalités de sécurité liées à la PKI Windows
Les services de sécurité avancés de la PKI ont longtemps été freinés par la crainte qu’un tel système soit lourd à gérer. Aujourd’hui les améliorations sur la gestion de ces services sont nombreuses, par exemple la PKI Microsoft s’interface aisément à l’Active Directory pour diffuser les certificats aux ordinateurs et utilisateurs. En outre, les solutions bâties sur les cartes à puce apportent une réponse industrielle et facilitent l’utilisation de la solution par les utilisateurs.Disponible par défaut avec Windows 2000 ou 2003 Server, les services PKI apportent de nombreuses fonctionnalités supplémentaires :
• Cryptage de fichiers avec le système EFS sous Windows XP
• Services d’authentification forte (SmartCard logon, WireLess…)
• Mise en place de réseau privé virtuel (VPN)
• Sécurisation des échanges avec IPSEC
• Messagerie sécurisée avec signature et cryptage S/MIME
• Signatures numériques (applications, macros, utilisateurs…)
Conseils pour sécuriser les portables
Il est fort probable que les portables de votre entreprise contiennent des informations sensibles que vous ne pouvez pas vous permettre de perdre. Trop souvent pourtant, les pros des technologies de l’information ne ferment la porte de l’écurie qu’après que le cheval se soit échappé. Vous devez donc prendre les mesures nécessaires pour protéger les portables et l’information qu’ils contiennent avant de la perdre. Voici les 10 étapes les plus importantes de sécurisation des portables.
Lire l'article
Les Microsoft TechDays 2008 : « c’est votre évènement »
Pour la première fois, parmi les 16 thèmes abordés, est prévu un parcours dénommé « Innovation Feuille de Route 2015 ». Il traitera uniquement de l’état de la recherche au sein de Microsoft, via le laboratoire MS Research, et abordera tous les sujets dans ce domaine à l’horizon de 5 à 10 ans. Pour concrétiser […]
Lire l'article
Quand le moindre … peut le plus
Ici, un administrateur surfant sur le Web télécharge par mégarde du code malveillant. Là, un développeur Windows écrit du code qui, pour fonctionner correctement, exige des privilèges Administrator. Ces pratiques dangereuses ont en commun de transgresser l’un des concepts les plus fondamentaux de la sécurité : le principe du moindre privilège. Il stipule qu’il faut donner à un utilisateur ou à un fragment de code, uniquement les privilèges dont il a besoin pour faire un certain travail. Rien de moins, et surtout rien de plus.Un code malveillant peut faire beaucoup plus de ravages quand il évolue dans le contexte de sécurité d’un compte hautement privilégié, et les processus hautement privilégiés, une fois compromis, ont une plus grande capacité de nuisance.
Le moindre privilège a été pendant longtemps un principe prôné et respecté dans le monde UNIX, mais Microsoft n’a commencé à le prendre au sérieux qu’avec Windows XP et Windows 2000. Le support du LUA (Least-Privileged User Account) est un thème de sécurité majeur de Microsoft Vista (précédemment Longhorn) mais, pour l’instant, XP et Win2K offrent plusieurs outils permettant d’honorer le moindre privilège.
Utilisez-les pour exécuter les processus et applications Windows à partir d’un compte LUA ou non-administrateur. Et, surtout, mettez la sécurité au premier plan.
Les fonctions de sécurité de IE 7.0
Quand vous lirez ces lignes, il est probable que Microsoft aura présenté une version bêta publique de IE (Internet Explorer) 7.0, son prochain navigateur Web. Il offre de nombreuses améliorations par rapport aux versions IE 6.x actuelles, comme une interface de navigation à onglets, une meilleure gestion des plug-ins du navigateur et une meilleure prise en charge des standards Web.Mais, cette fois, la grande nouveauté concerne la sécurité : IE 7.0 s’appuie sur la version plus sûre de IE que Microsoft a livrée avec Windows XP Service Pack 2 (SP2) l’année dernière. Voici ce qu’il faut savoir sur les fonctions de sécurité de IE 7.0.
Lire l'article
WS-SECURITY : rôle et fonctionnement
Au début des services Web, leurs fournisseurs considéraient que la sécurité serait entièrement gérée au niveau de la couche transport, au moyen de SSL/TLS (HTTPS). C’est pourquoi les standards de services Web initiaux n’abordaient pas la sécurité. Mais celle-ci a pris de l’importance dès lors que les services Web se sont multipliés. Une transaction de service Web passe souvent par de nombreuses mains, dont chacune a besoin d’accéder à certaines parties de la transaction mais pas à d’autres.En 2002, IBM, Microsoft et VeriSign ont proposé un standard de sécurité pour répondre à ces besoins. Appelé WS-Security, la spécification résultante est vaste et compliquée parce qu’elle couvre un large éventail d’aspects de sécurité des services Web. En 2004, apparaissait la version 1.1 du standard, plus dépouillée et plus puissante que le premier jet, mais encore volumineuse.
Heureusement, vous pouvez utiliser le standard dans vos applications de services Web sans le comprendre entièrement. WebSphere Application Server (WAS) 5.0 et ultérieure supportent WS-Security et se chargent virtuellement de tout l’aspect configuration. D’autres environnements de développement de services Web ont des fonctionnalités comparables. Une fois que vous aurez compris ce qu’apporte WS-Security et comment il fonctionne, vous pourrez commencer votre propre expérience.
AccessEnum
La prolifération des logiciels malveillants et la popularité des systèmes Windows Terminal Services à utilisateurs partagés, rend la sécurité Windows plus importante que jamais. Mais le modèle de sécurité Windows, avec ses DACL (discretionary ACL) souples est parfois difficile à gérer. En effet, Windows ne possède aucun outil intégré permettant de déterminer rapidement à quels fichiers, répertoires et sous-clés de registres les utilisateurs particuliers peuvent accéder.Et il n’est pas non plus facile de savoir si les utilisateurs ont des accès non autorisés à des répertoires sensibles ou à des sous-clés de registres profondément enfouies dans le système. Et c’est là qu’intervient AccessEnum de Sysinternals. Cet outil gratuit scrute un volume, un sous-répertoire ou une clé de registre spécifié pour déceler les maillons faibles potentiels dans vos paramètres de sécurité.
Lire l'article
10 étapes pour verrouiller les postes de travail
A contre-courant de l’opinion dominante, je pense que Windows est l’un des OS les plus sûrs aujourd’hui. Ses fonctions de sécurité sont du domaine du rêve pour les autres OS. Par exemple, quel autre OS vous offre les outils de management permettant de contrôler toute l’activité d’un utilisateur final ? Quel autre OS a un outil comme les stratégies de groupe, permettant d’activer et de désactiver des services sur l’ensemble des PC par quelques clics de souris ?Quel autre OS a 14 permissions de sécurité que l’on peut configurer pour chaque fichier et dossier ? Il est vrai qu’il manque à Windows une meilleure sécurité par défaut. Nous allons voir comment tirer parti du potentiel de Windows en matière de gestion de la sécurité et comment verrouiller les postes de travail. Si vous suivez mon conseil, vos ordinateurs seront parmi les postes de travail Windows les plus sûrs et les prédateurs électroniques renonceront à votre entreprise pour traquer des victimes plus vulnérables.
Lire l'article
Quand de bons scripts dérapent
Vous venez de passer des heures à écrire un script chargé de supprimer automatiquement les anciens comptes utilisateur inactifs dans l’AD (Active Directory). Bien que vous soyez débutant en code VBScript, la suppression manuelle des anciens comptes d’AD chaque mois était une telle corvée que vous vous êtes résolu à écrire ce script. Plein d’espoir, vous l’exécutez sur votre réseau de test… pour le voir s’arrêter prématurément. Pas croyable ! Où est l’anomalie ? Les raisons sont multiples. Cependant, le principe de Pareto (c’est-à-dire, la règle des 80/20) veut que la plus grande partie des erreurs de script (80 % environ) provient d’un petit nombre de causes possibles (20 % environ).Plusieurs experts en scripting ont récemment parlé des erreurs courantes qu’ils trouvent quand ils examinent le code VBScript sur le terrain. D’après ces experts et à en croire divers articles, les erreurs de syntaxe VBScript les plus courantes (c’est-à-dire, celles qui surviennent quand le code transgresse les règles grammaticales du langage VBScript) et les erreurs à l’exécution (c’est-à-dire, les erreurs qui se produisent quand un script tente d’effectuer une action que le système ne peut pas exécuter) surviennent quand les auteurs de scripts utilisent des variables, des instructions de traitement d’erreurs, des guillemets et des caractères spéciaux et réservés.
Lire l'article
Mettre en place WSUS
La gestion des correctifs est un casse-tête pour les administrateurs de sécurité de la plupart des entreprises. En la matière, les petites entreprises s’en remettent souvent aux mises à jour automatiques en provenance des sites Web des fournisseurs, comme Windows Update. Les moyennes entreprises utilisent généralement des solutions de gestion des correctifs comme SUS (Software Update Services). Les grands comptes, eux, ont recours à des outils sophistiqués comme Microsoft SMS (Systems Management Server) 2003.Consciente des déficiences de SUS, comme l’étroitesse des produits qu’il permet de mettre à jour, Microsoft a développé et amélioré un produit de gestion des correctifs appelé WSUS (Windows Systems Management Server). WSUS bénéficie aux entreprises de toutes tailles, grâce à sa souplesse, ses fonctions avancées et sa facilité de déploiement. Nous allons donc voir ensemble comment installer et configurer WSUS pour votre entreprise, obtenir les mises à jour, et configurer les clients pour que WSUS leur procure les mises à jour.
Lire l'article
Les outils de mise à jour selon Microsoft
La mise en place, ou plus exactement le déploiement automatisé des patchs de sécurité des environnements Windows est un sujet d’actualité pour les administrateurs. Avec l’arrivée en fanfare de WSUS, la question est encore plus d’actualité et de nombreux responsables informatiques se posent la question du déploiement ou non de cette solution proposée par Microsoft, d’au tant plus que plusieurs outils Microsoft permettent le déploiement des patchs de sécurité au sein de la famille Windows.La mise en place, ou plus exactement le déploiement automatisé des patchs de sécurité des environnements Windows est un sujet d’actualité pour les administrateurs. Avec l’arrivée en fanfare de WSUS, la question est encore plus d’actualité et de nombreux responsables informatiques se posent la question du déploiement ou non de cette solution proposée par Microsoft, d’au tant plus que plusieurs outils Microsoft permettent le déploiement des patchs de sécurité au sein de la famille Windows.
Lire l'articleLes plus consultés sur iTPro.fr
- Analyse Patch Tuesday Juin 2025
- L’IA agentique ouvre la voie à davantage d’alliances stratégiques et d’intégrations technologiques
- Oneytrust, la fintech française référente de la lutte contre la fraude bancaire & e-commerce fête ses 25 ans !
- Prendre en compte le développement durable est un facteur de réussite
- L’IA et le machine learning au service d’une cybersécurité préventive
