Journal Compromission de RSA

Posté par . Licence CC by-sa
6
21
mar.
2011

Cher journal,

Ca sent quand même assez bien le sapin pour RSA, depuis l'annonce de l'attaque qu'ils ont subie récemment. Il semblerait que des infos concernant SecurID aient été compromises. Cédric Blancher en parle sur son blog, et Bruce Schneier n'est pas tendre non plus. Ils vous expliquerons tout ça bien mieux que moi.

Y a-t-il des utilisateurs de SecurID sur linuxfr ? Quelles sont les mesures prises par les clients face à ce "petit désagrément" ?

  • # FRANGLAIS

    Posté par (page perso) . Évalué à -10.

    Compromission : Acte par lequel on transige avec ses opinions, ses principes.

    Ca n'a rien à voir avec ce que tu veux dire.

    • [^] # Re: FRANGLAIS

      Posté par (page perso) . Évalué à 10.

      C'est apparement la définition du Wiktionnaire, qui est certes juste mais qui provient d'un dictionnaire de l'Académie française, datant des années 1930.

      Le terme "compromission" dans le contexte de la sécurité informatique fait référence à une fuite d'information non prévue, ou dans certains cas à une intrusion.

      Elle est définie comme "prise de connaissance, certaine ou possible, d'une information ou d'un support classifié par une ou plusieurs personnes non qualifiées" selon "l'Instruction générale interministérielle sur la protection du secret de la défense nationale" du 23 juillet 2010. M'est avis que cette définition correspond effectivement à ce qui est décrit dans le journal.

      Source : http://www.ssi.gouv.fr/IMG/pdf/igi1300.pdf page 90

  • # La compagnie pas l'algorithme

    Posté par . Évalué à 10.

    Pour ceux qui comme moi commençaient à flipper: il s'agit de la compagnie par de l'algorithme.

  • # Quelle attaque ?

    Posté par . Évalué à 6.

    Bonjour,

    Les clés SecureID sont utilisées dans la société dans laquelle je travaille. Mais personne n'est au courant de l'attaque des serveurs. Je ne crois pas que cela remette quoi que ce soit en cause.
    La sécurité et la confidentialité des données ne semblent toujours pas de grandes préoccupations pour la plupart des entreprises, j'ai plutôt l'impression que c'est pour faire joli et se faire mousser.
    Ici, pratiquement personne n'a entendu parlé de PGP par exemple. Et puis, (on n'est pas vendredi ?) on continue bien à utiliser les produits Microsoft, alors...

    Mes 2 centimes.

    • [^] # Re: Quelle attaque ?

      Posté par . Évalué à 1.

      Oui c'est sûr personne n'est au courant de l'attaque... sauf ceux qui sont en charge de la sécurité du SI par exemple (d'une part s'ils font leur boulot, il font de la veille sur le sujet et d'autre part, s'ils sont clients, ils en ont été informés par RSA directement).
      Demande-t-on à quelqu'un de la DSI d'être au courant des nouveautés législatives dans le domaines de la gestion RH des expatriés? Non, chacun son métier.

      Je pense que si quelqu'un a mené un projet pour déployer ce type de solution au sein de la société dans laquelle tu travailles, étant donné le coût de ce type de solution (généralement >10€ par utilisateur), cela veut dire que sécurité et confidentialité sont des préoccupations de ton entreprise, mais a priori pas des collègues que tu croises tous les jours.

      Deux dernières remarques: - PGP: doit-on avoir entendu parler de ce produit (et en parler pour le faire savoir) pour être considéré comme quelqu'un de sensibilisé à la sécurité? - Microsoft = pas secure c'est ça?

      Mes 2 centimes oui, mais pas plus alors...

  • # Alternative ?

    Posté par (page perso) . Évalué à 1.

    J'ai dû utiliser ce système d'authentification forte "Two Factor" par RSA.
    J'utilise encore ce type de token mais fourni par un concurrent de RSA.
    En Libre, il semble que wikid fournisse aussi un système d'auth "2 factor", si quelqu'un connaissant/utilisant cette solution pouvait nous en faire un retour, ce serait sympa.

    • [^] # Re: Alternative ?

      Posté par (page perso) . Évalué à 4.

      Le lundi 21 mars 2011 à 15:07 +0100, Fabien a écrit :

      J'ai dû utiliser ce système d'authentification forte "Two Factor" par RSA. J'utilise encore ce type de token mais fourni par un concurrent de RSA. En Libre, il semble que wikid fournisse aussi un système d'auth "2 factor", si quelqu'un connaissant/utilisant cette solution pouvait nous en faire un retour, ce serait sympa.

      Il y a le système authentification des Yubikey qui est sympathique
      aussi.

  • # Re: Journal — Compromission de RSA

    Posté par (page perso) . Évalué à 1.

    Nous utilisons ce syteme dans ma boite et je n'ai pas vu passer d'alertes a ce sujet.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.