EdelNews

L'Afnor a produit un texte pour enquête publique concernant une nouvelle norme NF Z42-020 de spécification fonctionnelle des produits de conservation d'information numérique avec garantie d'intégrité: CN171 N0296 PR NF Z42-020 Coffre-fort numérique.pdf.

Le 11 octobre, P.Sylvester a présenté les travaux sur SRP-TLS et OpenSSL (cf. projet EdelKey à la réunion de l'OSSIR.

Le 27 mai F.Roumat est intervenu dans le cadre des rencontres de le Sécurité de Système d'Information Aquitaine (RSSIA) 2011.

Dans le cadre du projet EdelKey, EdelWeb a développé en 2004 un patch dans OpenSSL pour le protocole SRP-TLS ( RFC 5054). Ce patch vient d'être intégré dans OpenSSL et représente plus d'1% du code. EdelWeb remercie tous les supporteurs de ce projet.Le protocole SRP-TLS permet d'établir un canal de chiffrement avec une véritable authentification mutuelle sans nécessité de disposer d'une information de confiance (comme c'est le cas pour un certificat X.509). Un simple login/mot de passe pour l'utilisateur suffit. Le protocole SRP-TLS assure que ce mot de passe ne peut pas être intercepté par un observateur de la communication. Plus de détails sur ce protocole se trouve ici ou là. P.Sylvester présentera l'histoire de cette action pendant une prochaine réunion de l'OSSIR.

La commission d'Applications pour l'archivage et la gestion du cycle de vie du document CN171 de l'Afnor a décidé de produire une nouvelle norme NF Z42-020 de spécification fonctionnelle des produits de conservation d'information numérique avec garantie d'intégrité, connus sous le nom couramment utilisé de "coffre-fort numérique". L'association FedISA anime désormais le Groupe de travail pour ce projet de norme. ON-X contribue activement à ces travaux pour valoriser nos recherches précédentes dans ce domaine (RFC 3029, OpenEvidence, IETF-LTANS).

Nous avons participé le 20 janvier au lancement de la branche française du Cloud Security Alliance (CSA), association créée dans le but de faire la promotion des meilleures pratiques de sécurité au sein des infrastructures Cloud Computing.

Journée francophone de la sécurité: ON-X a été partenaire de la "Journée Francophone de la Sécurité" aussi baptisée GS Days organisée par le magazine Global Security Mag. Ce colloque a eu lieu le 1er décembre au palais des congrès d'Issy-Les-Moulineaux. Il a regroupé un hall d'exposition, des conférences et des démonstrations d'attaques informatiques.

Certification ISO 9001:2008 La société ON-X, est dorénavant certifiée ISO 9001:2008. La certification couvre nos trois sites situés à Puteaux, Montbéliard et Toulouse. Elle porte sur les activités suivantes:

• Conseil et Expertise en:
  • Systèmes d'informations: Schéma directeur et architecture du SI, Business Intelligence, Gestion de projet et qualité, méthodes et outils, Expression du besoin et processus.
  • Infrastructures IT, Convergence IP, Réseaux et Services Télécoms.
  • Sécurité du système d'informations.
• Imagerie numérique 3D interactive: Images de synthèse, réalité virtuelle, réalité augmenté.
• Conception, Etudes et Développement de logiciels et de Produits.
• Ingénierie de formation.

ON-X, en association avec LARGILLIERE FINANCE et ULYS, a obtenu l'agrément de l'arjel en tant qu'organisme certificateur.

Le service d'horodatage d'EdelWeb fête ses 10 ans : Avec une croissance exponentielle de son utilisation dans le monde entier un quart de million de jetons d'horodatage ont été produits en 2010. Grâce à son excellente disponibilité, le service est reconnu d'ici à l'autre bout du monde, comme en témoigne cette appréciation de P.Gutmann de l'Université d'Auckland, Nouvelle Zélande: "The Project K7 Illudium Ultraspace Gas Factory Time Stamping Service (TSP) has for the last ten years provided an extremely valuable service for implementations wanting to evaluate their TSP software. While other services have come and gone over the years, the Illudium TSP has remained available continuously since 2000, currently serving over a quarter of a million digitally signed timestamps each year. This level of performance and availability has made it the default TSP used by the cryptlib security toolkit, currently in use by currently in use by companies all over the world ."

L'Association Internationale de la Sécurité Sociale (ISSA) a publié un rapport sur des bonnes pratiques en sécurité sociale (copie locale) concernant le Standard d'Interoperabilité pour les organismes de la protection sociale..

Nous citons du resumé:

Par principe, ce standard repose sur la confiance entre les organismes. Destiné aux agents des organismes, il propose un système sécurisé de propagation des droits d'accès et des habilitations, et garantit la traçabilité des actions.

Il se décline selon deux formes de communication:

• le mode application à application ou l'échange de web services;
• le mode portail à portail pour la navigation web.

INTEROPS respecte les standards techniques internationaux (SOAP, SAML, XML, SSLV3, ...) et ses spécifications sont publiques ( https://www.ateliers.modernisation.gouv.fr/ministeres/ae/interops/public). Il est aujourd'hui utilisé en production pour des projets d'échanges d'information, par l'ensemble des organismes de la protection sociale. Tom Des études sur l'évolution du standard, pour prendre en compte de nouveaux besoins et envisager l'ouverture à d'autres populations et organismes, sont en cours de réalisation.

Bonnes pratiques pour la virtualisation avec VMware: O.Revenu a publié un article dans la revue MISC de Mars Avril 2009.

T.WU, l'inventeur de SRP, a pris en main notre SRP-TLS patch pour OpenSSL, et l'a adapté aux dernières versions d'OpenSSL: "The porting work overall went smoothly. Kudos to you and the EdelKey project for great work!".

Retour d'expérience dans la lutte contre le code malveillant: J.Lebourdais et M.Dewaele ont présenté à l'OSSIR un retour d'expérience sur la lutte contre le code malveillant pour un grand compte. Une présentation de l'activité de la cellule antivirale a été faite, en expliquant le contexte du client, les objectifs de la lutte antivirale, l'apport de le savoir-faire d'EdelWeb ainsi qu'un retour d'expérience sur l'évolution des codes malveillants et ses conséquences chez le client. Les slides de la présentation se trouve sur le site de l'OSSIR.

Identity and authorization in multi-organisation contexts: Pendant la conférence C&ESAR (Computer & Electronics Security Applications Rendez-vous) P.Sylvester a présenté le standard d'interopérabilité pour les organismes de la sphère sociale.

OSSIR groupe de travail sécurité Windows Le 9 juillet P.SYLVESTER a presenté l'avancement du groupe de travail IETF-LTANS, et en particulier, du protocôle de l'archivage LTAP dont il est un des co-auteur. Les slides de la présentation se trouve sur le site de l'OSSIR.

J.Lebourdais et M.Dewaele ont présenté un compte-rendu du SSTIC 2007 (Symposium sur la Sécurité des Technologies de l'Information et des Communications) à l'OSSIR.

P.Sylvester a participé à la 30ème conférence EUROPEN en République Tchèque avec trois présentations, d'abord une 'keynote' sur l'authentification et l'autorisation dans un contexte multi-organisme (résultat des travaux sur le standard d'interopérabilité pour les organismes de la sphère sociale), ensuite une présentation du format de signature XML/XaDES de l'adminstration française et enfin une intervention sur un protocole de notarisation. Les présentations ont été publiées sous l'ISBN 978-80-86583-12-9.

Lancement du club 27001 sur la région sud-ouest, ON-XX apporte son savoir faire en conseil.

Q.Berdugo a publié dans 0/1 Réseau N166 un article sur le thème: "Virtualisation et Sécurité: une union à double tranchant".

La DGME (ex-ADAE) a publié un appel à commentaires concernant un format de signature basée sur XAdES produit par EdelWeb pour le contexte du réferientiel général d'interopérabilité.

Le 5 avril, EdelWeb a participé à deux interventions e-business ebXML dans l'industrie et l'administration et certification des échanges electroniques.

La DGME (ex-ADAE) a publié un appel à commentaires concernant l'Interopérabilité des systèmes d'information. Les deux documents de spécifications ont été produits par EdelWeb et ON-X. Suite à cette consultation, nous avons publié la version définitive V1.0 du Standard d'Interoperabilité pour les organisme de protection social..

Une première partie de nos modifications pour OpenSSL, le support pour l'extension servername TLS, issue de notre project Edelkey vient d'être intégrée dans OpenSSL.

J.Olive a animé au club EBIOS, organisé par le DCSSI, une présentation "Méthode et outillage d'intégration de la sécurité dans de nouveaux services" : L'objet est de présenter des retours d'expérience de la mise en place d'une méthodologie et d'outillage pour assurer l'intégration de la sécurité à tous les niveaux des processus allant de la conception jusqu'à la commercialisation d'une part, et d'autre part, pour assurer la prise en compte de la sécurité liée à d'autres services contributeurs.

Notre serveur d'horodatage fête ses 5 ans d'existence.

P.Sylvester a presenté la première version d'un protocol d'archivage dans le groupe IETF LTANS pendant la 63ème conférence IETF à Paris.

A.Jerman-Blasic (SETCCE) et P.Sylvester presentent un article sur "Provision of Long-Term Archiving services For digitally signed Documents using an Archive Interaction Protocol" pendant le 2ème Workshop EuroPKI 2005 à l'université de Kent en Angleterre Les articles de la conférence seront publiés dans Springer Lecture Notes in Computer Science.

P.Sylvester présente le projet EdelKey à la 5th European Form on Electronic Signature (EFPE 2005), Miedzyzdroje, Pologne.

Pour le "12. Workshop Sicherheit in vernetzten Systemen du DFN-CERT" à Hamburg, Allemagne, P.Sylvester contribue un article sur l'architecture Edelkey. L'article est publié dans le "Workshop-Band" ISBN 3-00-015369-1.

Dans le cadre du séminaires Aristote, EdelWeb participe le jeudi 10 mars 2005 à une journée sur l'administration de la preuve dans le cadre des échanges dématérialisés. P.Sylvester et O.Chapron animeront une conférence sur l'activité de normalisation dans ce domaine. Au delà de la signature électronique, il s'agit de faire le point sur l'avancée des travaux pour ce qui concerne l'horodatage, l'archivage, enfin les services de preuve et valeur probante.

Le 4 février, P.Sylvester et W.Bonnet ont dedecté un bug critique dans les clients de messagerie Unix Mozilla et Thunderbird. Cela concerne la copie des fichiers sous Unix dans les couches basses de la suite Mozilla et peut entrainer la perte de contenu dans certains fichiers, en particulier dans les fichiers d'indexes. Ce bug concerne tous les clients de messagerie, sur les plates-formes Unix. Un patch correctif a été développé par William Bonnet et remonté auprès de la fondation Mozilla.

Le 31 janvier, W.Bonnet a été détecté et corrigé un bug critique pour dans les clients de messagerie Mozilla et Thunderbird. Ce problème concerne le drag and drop des folders locaux: Lors d'un déplacement, le contenu de certain folders peut être perdu et effacé du poste de travail. La perte de donnée pouvait aller jusqu'à plusieurs centaines de méga octets de courriers électroniques. Ce bug concerne tous les clients de messagerie, sur toutes plates-formes. Un patch correctif a été développé par W.Bonnet et remonté auprès de la fondation Mozilla.

Le 21 Décembre 2004, Paul-André PAYS et P.Chambet sont iFrancis.Dupont@fdupont.frnterviewés par Elsa BRUNET dans l'émission "Le vif du sujet" sur France-Culture, consacrée au thème de la cyber-criminalité et du hacking. Une démonstration d'attaque est effectuée durant l'émission.

P.-A.Pays et O.Chapron interviendront aux journées RSSI de l'Education nationale et de l'Enseignement supérieur le 3 décembre 2004 sur le thème "Stockage et utilisation de certificats en central".

EdelWeb intervient au congrès Net 2004 Lille Métropole, le 2 décembre 2004 : O.Chapron participe à la conférence "La carte électronique, quels outils pour quels usages?" Voici le programme détaillé de cet atelier.

Magazine ISB ("Information Security Bulletin"): P.Chambet et E.Larcher publient un article sur le thème: "Security Patches Management on a Windows Infrastructure: from Technical Solutions to Real World Implementations".

Magazine "MISC" No 16: P.Betoin, P.Chambet et N.Fischbach publient un article sur le thème: "Sécurité de la Voix sur IP (VoIP)"

Réunion de l'OSSIR: [SUR] P.Chambet intervient sur le thème: : Compte-rendu des conférences BlackHat et DEFCON US 2004

Information Society Technology (IST), qui coordonne les activités de recherche de la Communauté Européenne, met en avant les apports du projet OpenEvidence (auquel a participé très activement EdelWeb) en terme de standard et de publication open-source dans le domaine de la certification des échanges dans des applications qui peuvent en être faite dans le domaine du commerce électronique et plus largement de la dématérialisation. Deux exemples d'utilisation opérationnelle de la technologie OpenEvidence sont données en Tchéquie et au Japon.

Dans le cadre du projet EdelKey, EdelWeb, contributeur Open-Source dans le domaine de la cryptographie, met en ligne des patchs/évolutions pour OpenSSL, mod_ssl et curl fournissant une implémentation du protocole SRP-6 (Secure Remote Password) sur TLS. Ce patch permet d'établir une communication SSL avec authentification forte mutuelle par mot de passe sans que ce dernier ait à transiter entre client et serveur.

Conférence ANAJ - IHEDN: P.Chambet intervient sur le thème: "Le cyber-terrorisme, mythe ou réalité ?".

Conférence BlackHat USA 2004 (Las Vegas); P.Chambet intervient sur les thèmes suivants:

• "Google hacking"
• "Managing MSIE security in corporate networks by creating custom Security Zones"

P.Chambet est intervenu en tant que Professeur à l'Ecole d'été CEA/EDF/INRIA qui avait pour thème cette année la sécurité informatique.

Réunion de l'OSSIR: N.Ruff intervient sur le thème : "Autopsie d'un Malware".

Conférence SSTIC 2004:

• P.Chambet est membre du Comité de Programme du SSTIC 2004 (Symposium sur la Sécurité des Technologies de l'Information et de la Communication).
• N.Ruff intervient sur le thème : "Quel avenir pour la sécurité Windows ?".

P.Sylvester est invité à la 4th European Form on Electronic Signature (EFPE 2004), Miedzyzdroje, Pologne pour présenter les résultats du projet OpenEvidence.

Réunion de l'OSSIR: N.Ruff intervient sur le thème : "Autopsie d'un Malware".

Participation aux E-Business days 2004 - Le passage tant attendu de la théorie à la pratique de la dématérialisation met en évidence quelques vérités qui ne sont pas toujours qui avaient été annoncées. Les aspects techniques s'avèrent souvent moins ardus que prévu, alors que les trois principales difficultés sont i) les résistances aux changements organisationnels, ii) la gestion de la preuve et, paradoxalement, iii) la nécessaire possibilité de "rematérialisation". Cette présentation réalisée par EdelWeb a permis, après un rappel de la problématique détaille les principes et fonctions nécessaires à la gestion de la preuve, puis propose une architecture et des briques technologiques - open source - permettant de répondre à ces besoins.

N.Ruff intervient aux JSSI 2004 sur le thème : "La mobilité du code malveillant".

N.Ruff intervient aux Journées Microsoft de la Sécurité sur le thème : "La fin des buffer overflows (?)".

P.Chambet est l'invité d'un chat en direct sur le site du journal du Monde sur le thème: "Les virus informatiques menacent-ils Internet ?".

P.Chambet et E.Larcher interviennent à la sur le thème Conférence BlackHat Europe 2004 (Amsterdam): Security Patches Management on a Windows Infrastructure.

P.Chambet intervient à la conférence JIP 2004 (Tunisie) sur les thèmes "La sécurité des réseaux sans fil" et "L'émergence des applications intranet".

N.Ruff intervient à la réunion de l'OSSIR sur le thème : Nouveautés du Service Pack 2 pour Windows XP

EdelWeb a réalisé pour le SGDN, en partenariat avec EADS, une étude sur le concept de défense en profondeur appliqué à la sécurité des systèmes d'informations. Cette étude a donné lieu à la publication d'un mémento sur le site du SGDN (copie locale) et à une présentation au salon Eurosec'2004. Cette étude propose une méthode pour sécuriser toutes les composantes du système d'information dans une logique d'analyse de risque afin de mettre en place une défense globale, coordonnée et dans la profondeur.

N.Ruff intervient à la conférénce EuroSec 2004 sur le thème : Management de la sécurité Windows : l'exemple de la base OSWIN.

P.Chambet et E.Larcher interviennent à la conférénce EuroSec 2004 sur le thème: "La gestion des correctifs de sécurité dans un parc Windows".

EdelWeb à mis à disposition du groupe de travail IETF-LTANS le site d'information. Le travaux consistent à developper de protocols pour l'archivage et la notarisation de documents éléctroniques.

La prémière version finale des logiciels du projet OpenEvidence est disponible. EdelWeb à mis en œuvre un démonstrateur concernant l'horodatage et l'archivage. Ce service comprend une Infrastructure de gestion de Clés (ICP / PKI). La clé publiique de la racine de l'autorité de certification peut être validée en lisant le RFC 3029.

Une prémière version intégrée des logiciels EuropePKI à été mise à disposition au groupe des utilisateurs du projet EU-PKI.

Citation dans Décision Micro & Réseaux, numéro 534, page 37 de P.Sylvester et mention d'EdelWeb et du projet OpenEvidecne dans le dossier consacré à la dématérialisation dans l'article "Sécuriser la dématérialisation".

Linux Magazine Hors Série No 12: Article de P.Chambet sur le "Firewall et Application Web: architecture et sécurisation.

Le Monde du 25 juin (supplément Economie): Citation de P.A.Pays dans un article d'A.Reverchon sur l'évolution des besoins de sécurité SI des banques.

La commission de l'UE signe le contrat du projet IST OpenEvidence, une collaboration entre 4 partenaires de 4 pays pour la création de logiciels libres concernant la création et la gestion d'attestations.

La commission de l'UE signe le contrat du projet IST EU-PKI, des collaborateur d'EdelWeb et du groupe ON-X participent à ce projet.

Comment faire face aux virus, Macrovirus, Backdoors, Active-Mails et Mass-Mailers?Dans le cadre du cycle de formations "sécurité réseaux & systèmes d'information" de l'EFE, N.Ruff (expert sécurité Windows 2000 et auteur d'un article sur la sécurisation du client Outlook) présente les nouveaux risques liés à l'évolution des technologies virales. Les trois fondamentaux de la lutte antivirus (prévention, détection et protection) sont abordés sous l'angle technique des outils disponibles mais aussi du point de vue organisationnel, pierre angulaire d'une défense antivirale efficace. http://www.edelweb.fr/EdelStuff/EdelPages/OutLookVirus/

Réunion de l'OSSIR: N.Ruff intervient sur le thème EFS.

EdelWeb participe au salon InfoSec 2001.

Réunion de l'OSSIR: N.Ruff intervient sur le thème : "Sécurité Windows 2000 : concepts, limites et faiblesses".

Publication du RFC 3029 : Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols; Auteurs: C. Adams, P. Sylvester, M. Zolotarev, R. Zuccherato

EdelWeb participe au salon Infosecurity.

EdelWeb a déménagé. Nous profitons desormais d'une belle terrasse avec vue sur la Seine et sur l'Ile de Puteaux.

Mise en service d'une Autorité d'Horodatage Expérimentelle selon le RFC 3161. et un laboratoire de test d'interopérabilité de services d'horodatage.

Lancement du pôle Sécurité Windows 2000

Présentation Dématérialisation de documents à la conférence TET2000. Nous avons présenté nos idées en ce qui concerne la notarisation de documents et un cas concrèt de protection de documents avec notre architecture EdelSafe.

Mise en service de la Plateforme Démonstrateur Clepsydre

Démarrage du projet European Chronic.

ON-X Consulting acquiert la société EdelWeb.

EdelWeb a déménagé à la Tour Montparnasse.

EdelWeb avaiet décidé de baser son offre de sécurisation des accès Internet sur le Firewall haute sécurité M>Wall de MATRAnet.

Baltimore Technologies, Price Waterhouse et EdelWeb obtiennent le contrat du projet IST EuroTrust.

Le Journal du Monde ouvre l'achat en ligne de son journal en utilisant la technologie EdelJournal.

EUROFORUM announces a new seminar : Internet: Maîtrisez le cadre juridique

EdelWeb becomes authorized reseller of Gauntlet Internet Firewall, the Complete Firewall Solution from Trusted Information Systems, Inc.

Et Dieu créa lemonde.fr: Le journal du Monde ouvre son serveur Internet. We are pleased giving them a home on our machines.

After many months of silent work, the EdelWeb team as part of GCTech brings to you the first version of the Globe Online Commercial center. To meet Globe Online's electronic commerce requirements, we are building the GlobeID payment system.

Our Web server has been redesigned by two graphic designers who have formed their company ``Autre, Planètes''. They also made our logo.

P.Sylvester introduces HilariTé MabouLe a simple HTML editor for X Window using Wafe Mofe (Tcl interface to Motif). It is available in the EdelContrib section.

One of our clients, Euroforum will hold the seminar "Internet et Télétel" in Paris on March 21-23 1995.

Using the Harvest software package for Information Gathering and Indexing, we indexed all French web sites for about a year. This service is no longer available.

The EdelContrib zone is open.

The first EdelPages are put on the server. Every now and then, some new ones will be produced.

Our GlobeID demonstrator, the Cybershop, opens.

Our first Guest: the WTA Paris Conference.

The EdelWeb WWW server is born to the Net.