Consultante Recherche chez Smals depuis septembre 2013, spécialisée en cryptologie. Avant de rejoindre Smals, elle était chercheur et assistante d'enseignement à l'UCL où elle a obtenu son doctorat en sciences de l’ingénieur. A quitté Smals en juin 2017.
Email: Tania.Martinblah [at] blah blahsmals.be
La technologie quantique est-elle le futur du XXIe siècle? C'est la question que se posent nombre de scientifiques à l'heure actuelle. Malgré cette incertitude, la plupart sont d'accord sur un point : la technologie quantique va amener une révolution scientifique sans précédent.
En ce qui concerne la sécurité informatique, la technologie quantique est la bombe à retardement qui va casser une grande partie des algorithmes cryptographiques (AES, RSA, ECC, etc.) utilisés dans les systèmes exploités par la majorité des citoyens quotidiennement (communications, banque, protection des données, etc.).
Cette présentation propose une vision de la technologie quantique : son fonctionnement, son utilisation pour améliorer la cryptographie actuelle, mais aussi les attaques quantiques et les solutions à ces attaques.
| Languages: | English |
| Author: | Tania Martin |
| Category: | Presentation |
| Date: | 2017/06 |
| Keywords: | Cryptography, Security, Quantum |
| Download: | Download |
La page World's Biggest Data Breaches référence de manière interactive toutes les brèches de sécurité qui ont amené à des fuites de données plus ou moins graves et importantes depuis 2004.
De webpagina World's Biggest Data Breaches geeft een interactief overzicht van alle security breaches die sinds 2004 aanleiding hebben gegeven tot de meest in het oog springende dataverliezen.
| Languages: | Français |
| Author: | Tania Martin |
| Category: | Quick Review |
| Date: | 2016/10 |
| License: | Freeware |
| Download: | Download |
Devenues reines des systèmes informatiques, les données sont le cœur de toute entreprise ou organisation. Elles sont rentrées, collectées, scannées, traitées, analysées, stockées, imprimées, transmises tous les jours, tout le temps. Bref, elles sont le pouvoir et bien souvent la chose la plus précieuse qu’une entreprise ou organisation possède. Et les données sont stockées dans divers lieux : bases de données, data warehouses, fichiers, cloud, etc.
A l’heure actuelle, on s’attarde plus à protéger ces lieux de stockage que les données elles-mêmes. Les organisations déploient ainsi tout un arsenal de défenses périphériques, avec tant des murs physiques que des murs virtuels, pour protéger les lieux de stockage. Malgré cet effort de protection, la plupart des spécialistes en sécurité ne cessent de le répéter : « La question à se poser n’est pas ‘si’, mais ‘quand est-ce qu’une cyberattaque va avoir lieu dans votre organisation ! ». Et ces mêmes spécialistes s’accordent à dire que les défenses périphériques n’amèneront qu’un retard à la réussite (certaine) d’une cyberattaque.
Durant la session d’information, nous présenterons un modèle de sécurité centré sur les données : le ‘data-centric security model’. Contrairement aux autres méthodes de protection mentionnées ci-dessus, ce modèle se focalise sur la protection des données elles-mêmes. Il a pour but de protéger toute donnée dite sensible partout et à tout moment, dès qu’elle est introduite dans le système informatique d’une organisation, que la donnée soit utilisée, en transit ou stockée. Il permet donc de déployer une sécurité globale et homogène dans l’organisation.
Nous parcourrons les six étapes à déployer pour mettre en place le modèle. Nous expliquerons entre autres en quoi la classification des données est importante pour mettre en place une protection ‘data-centric’ efficace. Nous détaillerons également les différents mécanismes cryptographiques qui peuvent être utilisés dans le modèle ‘data-centric’. Le tout sera illustré via des exemples sur base d’un produit concret.
Data zijn tegenwoordig het koninginnestuk van de informaticasystemen en vormen het hart van elke onderneming of organisatie. Elke dag worden ze ingebracht, verzameld, gescand, verwerkt, geanalyseerd, opgeslagen, afgedrukt en overgedragen. Ze zijn met andere woorden het symbool voor de macht en zijn vaak het belangrijkste bezit van een onderneming of organisatie. Data worden ook op verschillende plaatsen opgeslagen: databases, datawarehouses, bestanden, in de cloud, etc.
Momenteel houdt men zich meer bezig met het beschermen van deze opslagplaatsen dan de data zelf. Organisaties ontwikkelen op die manier een hele uitrusting aan perifere verdedigingen, met zowel fysieke als virtuele muren om de opslagplaatsen te beschermen. Ondanks deze inspanning om ze te beschermen blijven veiligheidsexperten herhalen dat: "de vraag niet is of, maar wanneer er een cyberaanval zal gebeuren in uw organisatie"! En diezelfde experten zijn het met elkaar eens dat perifere verdedigingen een cyberaanval weliswaar kunnen vertragen maar niet kunnen stoppen of verhinderen.
Tijdens de infosessie zullen we een veiligheidsmodel voorstellen dat focust op data, het 'data-centric security model'. In tegenstelling tot de andere beschermingsmethodes die hierboven vermeld worden, richt dit model zich op de bescherming van de data zelf. Het heeft als doel om elk gevoelig gegeven eender waar en op welk moment ook te beschermen zodra dit gegeven in het informaticasysteem van een organisatie terechtkomt, of het nu om een gebruikt gegeven, een gegeven in transit of een opgeslagen gegeven gaat. Hiermee kan dus een globale en homogene veiligheid op poten gezet worden in de organisatie.
We overlopen de zes stappen die geïmplementeerd moeten worden om het model in te voeren. We leggen onder andere uit waarom dataclassificatie belangrijk is om voor een efficiënte 'data-centric' bescherming te zorgen. We zullen eveneens de verschillende cryptografische mechanismen bespreken die gebruikt kunnen worden in het "data-centric" model. Alles zal geïllustreerd worden via voorbeelden op basis van een concreet product.
| Languages: | Français |
| Author: | Tania Martin |
| Category: | Presentation |
| Date: | 2016/06 |
| Download: | Download |
Impossible de nier les avantages du cloud : réduction des coûts, plus grande évolutivité, meilleure mobilité, déploiement plus rapide et mises à niveau instantanées, pour ne citer qu'eux. Cependant, les risques de sécurité constituent toujours le principal frein à l'adoption du cloud par les organisations et entreprises. L’objectif de cette research note est de présenter les mécanismes cryptographiques connus et existants qui permettent protéger le stockage et le traitement de données dans les environnements cloud.
Het is onmogelijk om de voordelen van de cloud te ontkennen. Om er slechts enkele te noemen: vermindering van de kosten, een grotere evolutiviteit, een betere mobiliteit, een sneller deployment en instant updates. De veiligheidsrisico's vormen echter nog steeds de voornaamste reden waarom organisaties en bedrijven de cloud niet volledig omarmen. Deze research note heeft als doel de gekende en bestaande cryptografische mechanismen voor te stellen waarmee de gegevensopslag en -verwerking beschermd kunnen worden in de cloud-omgevingen.
| Languages: | Français |
| Author: | Tania Martin |
| Category: | Research Note |
| Date: | 2015/10 |
| Keywords: | Cloud Computing, Security, Cryptography |
| Download: | Download |
| Languages: | English |
| Author: | Tania Martin |
| Category: | Annexe |
| Date: | 2015/05 |
| Keywords: | Cloud, Security |
| Download: | Download |
Devenu une notion inévitable et populaire ces dernières années, le cloud est passé d’un concept brumeux et risqué à la stratégie ICT « du futur » vers laquelle toute organisation va tôt ou tard se tourner. Avec un budget ICT sous pression, le gouvernement est aussi séduit par les possibilités offertes par le cloud. Outre la réduction des coûts, la raison majeure de cet engouement est la facilité d’accès à un parc de ressources informatiques au potentiel presque illimité, tout cela avec un effort minimal de gestion. Au lieu de posséder et d'exploiter les infrastructures informatiques, une organisation peut ainsi louer les ressources partagées d’un service cloud, devenant alors locataire (appelé tenant) d'infrastructure plutôt que propriétaire.
Le partage de telles infrastructures est malheureusement le talon d’Achille des services cloud. En effet, des cyber-attaques ont montré la possibilité d’exploiter la proximité de partage des tenants d’un même service cloud. Par conséquent, on considère qu’un service cloud est intrinsèquement moins sûr qu’une infrastructure auto-hébergée. Les problèmes de sécurité, en particulier de confidentialité et d’intégrité des données, sont la préoccupation majeure des utilisateurs du cloud, car leurs données se retrouvent gérées hors du cadre de leur gouvernance. Dans notre contexte de sécurité sociale et de soins de santé, et plus généralement dans le contexte gouvernemental, ces problèmes sont d’autant plus accrus qu’ils concernent potentiellement les données sensibles des citoyens et entreprises.
Durant la session d’information, nous présenterons un modèle développé par Smals pour évaluer le niveau de sécurité d’un service cloud. Dans un premier temps, nous parcourrons les points-clés de sécurité qu’un service cloud doit assurer. Ces points-clés sont primordiaux à analyser avant d’envisager l’utilisation d’un service cloud, car ils permettent de révéler les potentielles failles de sécurité de ce dernier. Ces points-clés constituent le premier volet du modèle. Ils sont regroupés en 4 critères majeurs qui seront développés au cours de l’exposé : gouvernance, gestion d’identité et du contrôle d’accès, sécurité IT et sécurité opérationnelle. Puis, nous explorerons le deuxième volet du modèle qui décrit comment choisir un service cloud en fonction des données qu’on souhaite y transférer. Nous verrons que ce choix est principalement basé sur la classification des données de la sécurité sociale. Durant l’exposé, nous illustrerons l’utilisation du modèle avec un exemple bien connu : le service Dropbox.
| Annexes: | |
| Languages: | Français |
| Author: | Tania Martin |
| Category: | Presentation |
| Date: | 2014/12 |
| Keywords: | Cloud, Security |
| Download: | Download |
Depuis quelques années, le monde de la sécurité informatique doit faire face à un nouveau type de cyber-attaques très sophistiquées appelé APT, sigle pour « Advanced Persistent Threats ». Au vu des préjudices que peuvent causer les APT, tout organisme et entreprise doit se tenir au courant de cette récente problématique. L’objectif de cette research note est double. Tout d’abord, elle présente un état de l’art des APT, avec leurs caractéristiques et quelques exemples célèbres. Ensuite elle parcourt brièvement les solutions existantes qui permettent potentiellement de se protéger de ces menaces.
Sinds enkele jaren moet de wereld van informaticaveiligheid opboksen tegen een nieuw type zeer geavanceerde cyberaanvallen genaamd APT, wat de afkorting is voor “Advanced Persistent Threats”. Gezien de schade die deze APT's kunnen berokkenen, moeten instellingen en ondernemingen op de hoogte blijven van deze recente problematiek. Deze research note kent twee doelstellingen. Ze stelt in de eerste plaats een overzicht voor van de APT-aanvallen, met hun eigenschappen en enkele bekende voorbeelden. Vervolgens worden de bestaande oplossingen waarmee men zich potentieel kan beschermen tegen deze bedreigingen kort overlopen.
| Languages: | Français |
| Author: | Tania Martin |
| Category: | Research Note |
| Date: | 2014/03 |
| Keywords: | Security, APT |
| Download: | Download |
GoodReader est une application pour les iPad développée par la société Good.iWare Ltd. La version présentée dans ce Quick Review est la version 3.20.0 publiée le 6 janvier 2014.
Cette application permet le visionnage de documents (p.ex. pdf, Microsoft Office, ou encore tout format d’images/photos/vidéos) et la mise en place d’une synchronisation entre :
| Languages: | Français |
| Author: | Tania Martin |
| Category: | Quick Review |
| Date: | 2014/03 |
| Platforms: | iOS |
| License: | Commercial |
| Keywords: | Cloud Computing, Storage Architecture, File Sync & Share, Document Viewer |
| Download: | Download |
FolderSync est une application pour les appareils mobiles avec un système Android qui est développée par la société Tacit Dynamics. Cette application permet la mise en place d’une synchronisation entre :
| Languages: | Français |
| Author: | Tania Martin |
| Category: | Quick Review |
| Date: | 2014/03 |
| Platforms: | Android |
| License: | Commercial |
| Keywords: | Cloud Computing, Storage Architecture, File Sync & Share |
| Download: | Download |
Souvent référencée comme la nouvelle tendance, l’identification par radiofréquence (RFID) est une technologie sans contact qui permet d’identifier et/ou d’authentifier à distance et sans contact visuel des transpondeurs, communément appelés « tags » ou « étiquettes ». Utilisée pour la première fois durant la Seconde Guerre Mondiale, on la retrouve aujourd’hui dans de nombreuses applications telles que les transports publics, les antivols de voiture, l’identification animale, ou encore les passeports électroniques.
Il est difficile de définir précisément ce qu’est la RFID car chacun en a sa propre vision. En particulier, la limite entre la RFID et les cartes à puce sans contact reste floue. Les industriels de la carte à puce préfèrent généralement faire une distinction entre les deux concepts car le terme RFID reflète l’idée de faible sécurité. En contrepartie, les industriels de la RFID considèrent que les cartes à puce sans contact sont une forme d’identification par radiofréquence.
Ce document présente le domaine de la RFID, de ses origines à ses applications, en passant par la technologie déployée, en particulier les caractéristiques physiques des tags.
| Languages: | Français |
| Author: | Tania Martin |
| Category: | Techno |
| Date: | 2014/01 |
| Keywords: | Security |
| Download: | Download |
Radiofrequentie-identificatie (RFID) wordt vaak bestempeld als een nieuwe trend. RFID is een contactloze technologie waarmee op afstand en zonder visueel contact transponders, in het algemeen “tags” genoemd, geïdentificeerd en/of geauthenticeerd kunnen worden. Deze technologie werd voor het eerst gebruikt tijdens de Tweede Wereldoorlog, en wordt vandaag gebruikt voor tal van toepassingen zoals bij het openbaar vervoer, antidiefstalsystemen voor wagens, identificatie van dieren, of voor elektronische paspoorten.
Het is moeilijk om RFID nauwkeurig te definiëren, omdat iedereen zijn eigen visie erop heeft. In het bijzonder blijft de grens tussen RFID en contactloze chipkaarten vaag. De producenten van de chipkaart verkiezen in het algemeen om een onderscheid te maken tussen de twee concepten, omdat de term RFID aan zwakke beveiliging doet denken. Daartegenover staan de producenten van RFID die contactloze chipkaarten beschouwen als een soort identificatie via radiofrequentie.
Dit document beschrijft het domein van de RFID, van het ontstaan tot de mogelijke toepassingen, zonder de gebruikte technologie te vergeten met in het bijzonder de fysieke eigenschappen van tags.
| Languages: | Nederlands |
| Author: | Tania Martin |
| Category: | Techno |
| Date: | 2014/01 |
| Keywords: | Security |
| Download: | Download |
Si vous n’avez jamais entendu parler du terme anglais wearable devices, vous en connaissez certainement quelques exemples. Ils font partie de la grande famille des objets dits « connectés », c’est-à-dire équipés de capteurs ou senseurs, d’un mini-ordinateur interne et d’une connexion … Continue reading →
Depuis quelques années, la communauté d’experts en sécurité informatique a officialisé un nouveau type d’attaques très tendance : les Advanced Persistent Threats (APT). Cette terminologie fait référence aux techniques et méthodologies qui peuvent être utilisées par un groupe d’individus pour … Continue reading →
