Lexique

Isolation physique : pas de connexion réseau entre un système et le reste de l'infrastructure.

L'air gap est l'isolation physique d'un système : pas de connexion réseau entre ce système et le reste de l'infrastructure. Échange de données par support amovible contrôlé (USB scellé, contrôle d'intégrité). Utilisé pour les actifs les plus critiques : systèmes industriels (OT), backups protégés du ransomware, secrets d'État. Limites : Stuxnet (2010) a démontré qu'un air gap peut être franchi par USB infectée, et les attaques par canal auxiliaire (acoustique, électromagnétique) existent en laboratoire.

Voir aussi : backup , OT , ransomware

Agence française de cybersécurité, autorité nationale de référence.

L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) est l'autorité française de cybersécurité, rattachée au Premier ministre. Elle publie des référentiels (RGS, PASSI, SecNumCloud), des guides de bonnes pratiques (Guide d'hygiène, recommandations spécifiques), et opère le CERT-FR. En matière de stratégie cyber pour dirigeants, ses publications sont parmi les rares sources nationales primaires non commerciales.

Voir aussi : ENISA , CNIL , NIS-2

• → Site ANSSI

Service d'archivage web à la demande, avec snapshot permanent.

archive.today (anciennement archive.is) est un service d'archivage web à la demande : n'importe qui peut soumettre une URL et obtenir un snapshot permanent, immuable. Pas de mécanisme officiel de retrait. Utilisé largement par les journalistes, chercheurs, et certains acteurs malveillants pour conserver des preuves. Le caractère immuable rend les demandes de droit à l'oubli inopérantes.

Voir aussi : wayback , OSINT

Copie de données conservée séparément pour restauration en cas de perte ou compromission.

Une sauvegarde (backup) est une copie de données conservée séparément, pour restauration en cas de perte (matériel) ou compromission (ransomware). Règle 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors-site. Pratique moderne face au ransomware : ajouter le 'I' pour immutable (S3 Object Lock, sauvegardes air-gap). Le backup n'est utile que s'il est testé : 70% des organisations qui essaient de restaurer après ransomware découvrent que leurs backups sont incomplets ou compromis.

Voir aussi : ransomware , 3-2-1 , air-gap

Solution Microsoft de chiffrement de disque intégrée à Windows Pro/Enterprise.

BitLocker est la solution de chiffrement de disque intégrée à Windows (Pro, Enterprise, Education depuis Vista). Utilise AES-128 ou AES-256 en mode XTS. S'appuie sur le TPM pour stocker la clé de manière transparente (déverrouillage au boot sans PIN par défaut) ou avec PIN/USB pour défense supplémentaire. Mode par défaut sans PIN : vulnérable à l'attaque DMA si le portable est volé en marche ou en veille. Activer le pré-boot PIN pour les appareils sensibles.

Voir aussi : TPM , LUKS , FileVault

• → Le chiffrement de disque, vraiment ?

Publication officielle française des annonces légales (créations, jugements, procédures collectives).

Le BODACC (Bulletin Officiel des Annonces Civiles et Commerciales) est la publication officielle française des annonces légales : créations de sociétés, modifications, dissolutions, jugements commerciaux, procédures collectives (sauvegarde, redressement, liquidation). Source OSINT publique structurante pour cartographier l'activité d'une personne ou entité. Consultation gratuite via bodacc.fr.

Voir aussi : RCS , OSINT

• → BODACC

Fouille des appareils électroniques aux frontières par les douanes ou la police.

La fouille des appareils électroniques aux frontières par les douanes ou la police est une pratique légale dans de nombreuses juridictions (USA via CBP, UK Border Force, France, Canada CBSA). Les pouvoirs varient : aux USA, la frontière relève d'une exception au 4e amendement, permettant des fouilles sans mandat. Préparation pour profil exposé : portables dédiés voyage avec données minimisées, comptes cloud sans cache local, mots de passe non mémorisés au moment du passage.

Voir aussi : compelled-disclosure , voyage

• → Frontières et douanes : le dispositif que personne ne prépare

Téléphone prépayé jetable utilisé pour un objectif ponctuel, puis abandonné.

Un burner phone est un téléphone prépayé (souvent feature phone basique, parfois smartphone bas de gamme) acheté en cash, avec une SIM prépayée, utilisé pour un objectif ponctuel (un voyage à risque, une opération sensible, un contact unique) puis abandonné. Pratique courante dans le journalisme d'investigation, la diplomatie, certaines opérations corporate sensibles. Limite : si vous transportez le burner avec votre téléphone principal allumé, la corrélation est immédiate pour les acteurs avec accès aux logs opérateur.

Voir aussi : IMEI , esim

Solution qui s'interpose entre les utilisateurs et les apps cloud pour appliquer des politiques de sécurité.

Un CASB (Cloud Access Security Broker) est un intermédiaire (proxy ou API) entre les utilisateurs et les applications cloud qui applique des politiques de sécurité : authentification renforcée, prévention de fuite de données (DLP), détection d'anomalies, chiffrement de tokens. Acteurs : Netskope, Microsoft Defender for Cloud Apps, Zscaler. Utile dans les environnements avec adoption massive de SaaS hors IT (shadow IT). Limites : visibilité dépend du mode de déploiement (proxy = couverture complète mais latence; API = couverture partielle).

Voir aussi : DLP , ZTNA , shadow-IT

Document numérique qui lie une clé publique à une identité, signé par une autorité de certification.

Un certificat X.509 est un document numérique qui lie une clé publique à une identité (nom de domaine, organisation, personne), signé par une autorité de certification (CA). Composants : sujet, émetteur, validité, clé publique, extensions, signature. Utilisé en HTTPS, S/MIME, code signing, authentification client. Validation : par chaîne jusqu'à une CA racine de confiance préinstallée dans le navigateur/OS.

Voir aussi : PKI , TLS , HTTPS

Autorité française de protection des données, régulateur RGPD pour la France.

La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité française indépendante chargée de veiller à la protection des données personnelles. Elle instruit les plaintes, sanctionne les manquements RGPD, publie des recommandations sectorielles. Bilan annuel public utile pour calibrer son threat model : les plaintes les plus fréquentes révèlent les angles morts opérationnels du marché.

Voir aussi : RGPD , ENISA , ANSSI

• → Bilan annuel CNIL

Séparer ses identités par usage (civil, pro public, pro sensible, opérationnel) pour limiter la propagation des fuites.

La compartmentation d'identité consiste à séparer ses identités en fonction de l'usage : civil (banque, fisc, syndic), pro public (LinkedIn, médias), pro sensible (M&A, contentieux), opérationnel (services tiers, abonnements). Chaque compartment a son adresse mail, son numéro, ses comptes. Conséquence : une fuite sur l'identité opérationnelle (la plus exposée par construction) ne contamine pas l'identité sensible. Principe structurant face à l'état de fuite assumé.

Voir aussi : SimpleLogin , alias , threat-model

• → Compartmentation d'identité : opérer avec plusieurs vous

Obligation légale de fournir des mots de passe ou déchiffrer des appareils sous menace de sanction.

La compelled disclosure (divulgation contrainte) est l'obligation légale, dans certaines juridictions, de fournir des mots de passe ou déchiffrer des appareils, sous menace de sanction (amende, prison, refus d'entrée). UK Regulation of Investigatory Powers Act 2000 (RIPA) section 49 : jusqu'à 2 ans de prison. France : article 434-15-2 du Code pénal pour le chiffrement. USA : Cinquième Amendement protège partiellement, mais varie selon les juridictions. Préparation : architectures qui rendent la divulgation impossible (clés stockées hors-juridiction, deniability cryptographique).

Voir aussi : border-search , TrueCrypt , deniability

En-tête HTTP qui définit les sources de contenu autorisées sur une page web.

Content Security Policy (CSP) est un en-tête HTTP qui définit les sources autorisées pour chaque type de contenu (scripts, styles, images, iframes, etc.). Permet de durcir une page contre les attaques XSS et l'injection de contenu. Définition fine via directives (script-src, style-src, img-src, etc.). Pour shield.travel, le CSP est strict : pas de scripts inline, pas d'eval, sources limitées. Audit : observatory.mozilla.org.

Voir aussi : XSS , HTTPS , HSTS

Identifiant standardisé des vulnérabilités publiques, format CVE-YYYY-NNNNN.

Le CVE (Common Vulnerabilities and Exposures) est un identifiant standardisé pour les vulnérabilités publiques de sécurité, géré par MITRE et la CISA. Format : CVE-YYYY-NNNNN. Chaque entrée référence la vulnérabilité, les produits affectés, le score CVSS, les correctifs. Source primaire de la veille vulnérabilités, à coupler avec les advisories vendor.

Voir aussi : CVSS , RCE

• → MITRE CVE

Système de notation des vulnérabilités sur une échelle 0-10.

Le CVSS (Common Vulnerability Scoring System) attribue à chaque CVE un score de gravité sur une échelle 0-10. Version actuelle : 4.0 (2023), avec des composantes Base (intrinsèque), Threat (état d'exploitation), Environmental (contexte du déploiement). Catégories : None (0), Low (0.1-3.9), Medium (4.0-6.9), High (7.0-8.9), Critical (9.0-10.0). Le score Base seul est insuffisant pour prioriser : tenir compte du contexte (exposition, criticité de l'actif, état d'exploitation).

Voir aussi : CVE , vulnerability-management

Entreprise qui collecte, agrège et revend des données personnelles à grande échelle.

Un data broker est une entreprise dont le modèle économique repose sur la collecte, l'agrégation et la revente de données personnelles. Acteurs majeurs : Acxiom (LiveRamp), Experian, LexisNexis Risk Solutions, Oracle Data Cloud, Epsilon. Maintiennent des profils sur des milliards de personnes avec jusqu'à 1500+ attributs (revenus estimés, composition foyer, scorings prédictifs). Source : cartes de fidélité, formulaires web, apps mobiles, partenariats opaques. Le RGPD impose un droit d'accès et d'effacement, en pratique difficile à exercer en cascade.

Voir aussi : RGPD , OSINT , leak-database

• → Brokers de données : la fuite que vous payez

Média synthétique (image, vidéo, voix) généré par IA, imitant une personne réelle.

Un deepfake est un média synthétique (image, vidéo, voix) généré par IA, imitant une personne réelle de manière convaincante. Technologies sous-jacentes : GANs, modèles de diffusion, voice cloning (ElevenLabs, Resemble). Cas d'usage offensifs : fraude au président par voix clonée (cas Hong Kong 2024, 25M$), désinformation, kompromat synthétique. Détection technique de plus en plus difficile. Défense organisationnelle : protocole de validation hors-bande pour toute demande inhabituelle, sensibilisation ciblée.

Voir aussi : fraude-au-president , social-engineering , AI

Solution qui détecte et bloque les fuites de données sensibles (mails, fichiers, presse-papiers).

DLP (Data Loss Prevention) désigne une famille de solutions qui détectent et bloquent les fuites de données sensibles (PII, secrets, documents classés) hors d'un périmètre défini. Implémentations : endpoint DLP (agent local), network DLP (inspection trafic), cloud DLP (CASB). Acteurs : Microsoft Purview, Symantec, Forcepoint, Netskope. Efficacité limitée par la créativité des utilisateurs et les nouveaux canaux (IA générative, messagerie chiffrée perso). Souvent perçu comme une couverture juridique plus que comme une protection opérationnelle.

Voir aussi : CASB , ZTNA

Système qui résout les noms de domaine en adresses IP. Vecteur de surveillance et de censure très sous-estimé.

Le DNS (Domain Name System) traduit les noms de domaine en adresses IP. Par défaut, vos requêtes DNS passent en clair via votre FAI, qui voit la liste de tous les sites que vous visitez. Vecteur principal de surveillance étatique et commerciale, de censure (blocages par résolution), de manipulation (DNS hijacking). Durcir son DNS via DoH ou DoT change radicalement la confidentialité de transit. Souvent négligé même par des organisations matures.

Voir aussi : DoH , DoT , DNS-hijacking

• → DNS : le maillon que personne ne durcit

Protocole qui chiffre les requêtes DNS dans du HTTPS, les masquant au FAI.

DoH (DNS over HTTPS, RFC 8484) chiffre les requêtes DNS dans du trafic HTTPS standard, ce qui les masque au FAI et aux observateurs réseau. Implémenté nativement dans Firefox (Cloudflare 1.1.1.1 par défaut sur certaines régions), Chrome, Safari, Windows 11. Compromis : déplace la confiance du FAI vers le résolveur DoH (Cloudflare, Google, NextDNS, Mullvad, Quad9). Choisir le résolveur n'est pas neutre.

Voir aussi : DNS , DoT , DoQ

Variante de DoH utilisant TLS direct au lieu de HTTPS.

DoT (DNS over TLS, RFC 7858) chiffre les requêtes DNS via TLS sur le port 853. Moins furtif que DoH (le port 853 est identifiable), mais plus performant et plus simple à filtrer pour les administrateurs réseau légitimes. Préféré dans certains environnements enterprise. Supporté nativement par Android depuis 9 et iOS depuis 14.

Voir aussi : DNS , DoH

Article 17 du RGPD : droit à l'effacement de ses données personnelles sous conditions.

Le droit à l'effacement (article 17 du RGPD), souvent appelé droit à l'oubli, permet à un individu de demander la suppression de ses données personnelles à un responsable de traitement, sous conditions (données non nécessaires, retrait de consentement, opposition, traitement illicite). Exceptions étendues : liberté d'expression, intérêt public, prétentions en justice, archives. En pratique : déréférencement Google EU fonctionne, suppression chez un opérateur RGPD actif fonctionne, le reste fonctionne mal (juridictions hors UE, revente en cascade).

Voir aussi : RGPD , CNIL

• → Le droit à l'oubli : pourquoi il ne marche presque jamais

Chiffrement de bout en bout : seuls l'émetteur et le destinataire peuvent lire le contenu.

Le chiffrement de bout en bout (E2EE, End-to-End Encryption) garantit que seuls l'émetteur et le destinataire peuvent déchiffrer le contenu : ni le prestataire de transport, ni un attaquant intermédiaire, ni les autorités sans accès à un appareil de l'utilisateur. Applications E2EE : Signal (référence), WhatsApp, iMessage (entre Apple), Threema, Wire. À distinguer du chiffrement en transit (HTTPS) qui ne protège que le passage entre le client et le serveur. Limite : l'E2EE protège le contenu, pas les métadonnées (qui parle à qui, quand).

Voir aussi : signal , PGP , metadata

Agent installé sur les postes/serveurs qui détecte les comportements suspects et permet d'investiguer.

Un EDR (Endpoint Detection and Response) est un agent installé sur les endpoints qui collecte la télémétrie (processus, fichiers, registre, réseau) et détecte les comportements suspects via règles, signatures, ML. Permet aussi de répondre (isoler la machine, tuer un processus, collecter forensics). Acteurs majeurs : CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Palo Alto Cortex. Devenu un quasi-prérequis enterprise. Limite : n'arrête pas le social engineering en amont, qui contourne l'endpoint.

Voir aussi : XDR , SIEM , MDR

Agence européenne de cybersécurité, publie le Threat Landscape annuel.

L'ENISA est l'agence de l'Union européenne dédiée à la cybersécurité. Sa publication la plus utile : le Threat Landscape, rapport annuel qui synthétise les vecteurs d'attaque dominants, les acteurs, les secteurs ciblés. Lecture de référence pour cadrer une veille stratégique. Couvre aussi les sujets sectoriels (santé, énergie, transports) et publie des guides techniques opérationnels.

Voir aussi : ANSSI , NIST , NIS-2

• → ENISA Threat Landscape

Carte SIM intégrée et reprogrammable, supportant plusieurs profils opérateurs.

Une eSIM (embedded SIM) est une puce intégrée à l'appareil, programmable à distance via QR code ou app opérateur. Peut héberger plusieurs profils simultanément (un opérateur principal + des profils data voyage). Avantages : changement d'opérateur sans manipulation physique, profils data voyage (Airalo, Holafly) pour la connectivité sans roaming. Limites pour la sécurité opérationnelle : moins facile à changer rapidement qu'une SIM physique (en cas de compromission), tracking opérateur du même type. Profil opérationnel : eSIM data voyage + SIM physique fixe en parallèle.

Voir aussi : SIM-swap , roaming

• → eSIM en voyage : passeport numérique discret

Métadonnées attachées aux images : date, GPS, modèle d'appareil, paramètres de prise de vue.

Les métadonnées EXIF (Exchangeable Image File Format) sont attachées aux images JPEG/TIFF/HEIC : date de prise de vue, coordonnées GPS, modèle d'appareil, paramètres de prise (ouverture, ISO), parfois nom de propriétaire. Source classique de leak via les réseaux sociaux (certaines plateformes strippent automatiquement, d'autres pas). Stripper avant tout partage sensible : exiftool, mat2, ou outils OS natifs (Windows : Propriétés > Détails > Supprimer; macOS : utilitaires).

Voir aussi : metadata , OSINT

Standard d'authentification forte par clé cryptographique matérielle, résistante au phishing.

FIDO2 est un standard d'authentification combinant WebAuthn (API navigateur) et CTAP2 (protocole avec l'authenticator). La clé privée ne quitte jamais le dispositif (clé YubiKey, Solokey, Nitrokey, ou authenticator intégré au système). Résistant au phishing par design : la clé vérifie l'origine du site avant de signer. Si vous êtes sur un domaine frauduleux, la clé refuse. Aujourd'hui le seul facteur MFA réellement robuste contre les attaques modernes.

Voir aussi : WebAuthn , MFA , YubiKey , passkey

• → YubiKey et clés FIDO2 : tout ce qu'on ne vous a pas dit

Chiffrement de disque intégré à macOS depuis OS X Lion.

FileVault 2 est la solution de chiffrement de disque intégrée à macOS depuis Lion (2011). Utilise AES-XTS 128. S'appuie sur la Secure Enclave (Apple Silicon) pour stocker la clé. Sur les Mac récents (M1+), le chiffrement est en pratique toujours actif (T2 ou Secure Enclave), FileVault ajoute la protection par mot de passe utilisateur. Activer FileVault est non négociable sur tout Mac de travail.

Voir aussi : secure-enclave , BitLocker , LUKS

Surveillance de l'intégrité des fichiers système critiques pour détecter les modifications non autorisées.

FIM (File Integrity Monitoring) surveille l'intégrité (hash, métadonnées, permissions) des fichiers système critiques et alerte sur toute modification non autorisée. Souvent exigé par les référentiels (PCI DSS, ISO 27001). Limité face aux attaques modernes qui opèrent en mémoire sans toucher au disque, mais reste utile sur les serveurs sensibles.

Voir aussi : EDR , SIEM

Identification d'un appareil par les caractéristiques uniques de son navigateur et de son système.

Le browser fingerprinting identifie un appareil par la combinaison unique de caractéristiques de son navigateur et de son système : user-agent, polices installées, résolution écran, fuseau horaire, plugins, canvas rendering, WebGL, AudioContext. La combinaison de 20-30 attributs forme une empreinte quasi-unique. Permet le tracking inter-sessions même sans cookie. Outils de test : amiunique.org, coveryourtracks.eff.org. Défense : Tor Browser (qui standardise une empreinte commune), Firefox avec resistFingerprinting, ou accepter et compartimenter par navigateur.

Voir aussi : tor , tracking , metadata

Discipline qui analyse les traces numériques après un incident pour reconstituer ce qui s'est passé.

La forensics numérique analyse les traces (disques, mémoire, logs, réseau) après un incident de sécurité pour reconstituer la chronologie, identifier les acteurs, et préserver les preuves pour usage judiciaire. Distincte du DFIR (Digital Forensics and Incident Response) qui inclut la réponse active. Acteurs : Mandiant, Crowdstrike Services, Kroll, NCC Group, et de nombreux cabinets régionaux. Préparer le contact avec un partenaire forensics avant l'incident change radicalement la rapidité d'intervention.

Voir aussi : incident-response , DFIR , chain-of-custody

Arnaque où un attaquant se fait passer pour un dirigeant pour ordonner un virement urgent.

La fraude au président (Business Email Compromise, BEC) est une arnaque où l'attaquant se fait passer pour un dirigeant ou un partenaire de confiance, et ordonne un virement urgent à un comptable ou trésorier. Vecteurs : compromission préalable d'un compte mail interne, usurpation par typosquatting, deepfake voix/vidéo. Pertes mondiales annuelles : plusieurs milliards de dollars (FBI IC3 reports). Défense : protocole de validation hors-bande systématique pour tout virement au-dessus d'un seuil, peu importe l'urgence revendiquée.

Voir aussi : social-engineering , BEC , deepfake

Restriction d'accès basée sur la localisation géographique (IP, GPS).

Le geofencing applique des politiques basées sur la localisation : refus de connexion depuis certains pays, alerte sur déplacement inattendu d'un compte, accès limité à des sous-réseaux géographiques. Implémenté par IP geolocation (peu fiable, contournable par VPN) ou GPS (plus précis mais limité aux appareils mobiles). Utile en politique d'accès enterprise (Conditional Access Entra ID, Okta sign-on policies), mais ne doit pas être l'unique mesure (faux positifs nombreux pour les voyageurs).

Voir aussi : conditional-access , VPN

Application qui stocke et génère des mots de passe uniques pour chaque service.

Un gestionnaire de mots de passe stocke en coffre chiffré tous vos mots de passe et en génère des uniques pour chaque service. Conditions de la promesse : un mot de passe maître fort, une MFA hardware sur le compte, des backups, une politique de récupération réfléchie. Acteurs : 1Password, Bitwarden (open-source), Proton Pass, Dashlane, KeePassXC (offline). Microsoft Authenticator/Google Password Manager sont des intégrations OS, suffisantes pour un grand public mais limitées pour la compartmentation. Indispensable, sans condition.

Voir aussi : MFA , FIDO2

Service public gratuit de Troy Hunt qui indexe les emails compromis dans les breaches publiques.

Have I Been Pwned (haveibeenpwned.com) est un service gratuit créé par Troy Hunt en 2013, qui indexe les emails et identifiants apparaissant dans les breaches publiques. Pour un email donné, retourne la liste des breaches où il apparaît, avec dates. Indexe en 2026 environ 13 milliards de comptes sur plusieurs centaines de breaches. C'est la pointe de l'iceberg public : ne contient que ce qui a été révélé. À utiliser systématiquement en audit personnel.

Voir aussi : leak-database , OSINT

• → Have I Been Pwned

En-tête HTTP qui force l'usage de HTTPS pour les visites futures d'un domaine.

HSTS (HTTP Strict Transport Security, RFC 6797) est un en-tête HTTP qui informe le navigateur que le domaine doit être accédé uniquement en HTTPS, pour une durée définie (max-age). Empêche les downgrade attacks et les MITM sur le premier hop. L'option preload (préchargée dans les navigateurs) renforce encore en supprimant la première visite vulnérable. Pour les domaines sensibles, HSTS + preload est non négociable.

Voir aussi : HTTPS , MITM , TLS

Version sécurisée de HTTP, qui chiffre la communication entre navigateur et serveur via TLS.

HTTPS (HTTP over TLS) est la version sécurisée de HTTP, qui encapsule le trafic web dans une session TLS. Garantit : confidentialité du contenu, intégrité (pas de modification en transit), authentification du serveur (via certificat). Standard de facto depuis 2016-2018. HTTPS-only enforcement via HSTS. Pour shield.travel, HTTPS + HSTS + preload + CSP strict + Referrer-Policy.

Voir aussi : TLS , HSTS , CSP

Gestion centralisée des identités et des accès aux ressources.

IAM (Identity and Access Management) couvre la gestion centralisée des identités (utilisateurs, services, machines) et de leurs accès aux ressources. Composants : annuaire (AD, Entra ID), SSO, MFA, provisioning/deprovisioning, gestion des cycles de vie. Acteurs : Microsoft Entra ID, Okta, Ping Identity, JumpCloud. Brique structurante de tout programme cyber : un IAM mature divise par 5 à 10 les vecteurs d'attaque exploitables.

Voir aussi : SSO , PAM , MFA

Identifiant unique de 15 chiffres d'un terminal mobile, lié au matériel.

L'IMEI (International Mobile Equipment Identity) est l'identifiant unique de 15 chiffres d'un terminal mobile. Indépendant de la SIM, lié au hardware. Visible via *#06# sur la plupart des téléphones. Les opérateurs peuvent bloquer un IMEI volé. Pour le tracking, l'IMEI est plus persistant que le numéro de téléphone : changer de SIM dans le même téléphone ne change pas l'IMEI. Pour un voyage à risque, un burner phone = un nouveau couple IMEI + numéro.

Voir aussi : burner-phone , IMSI-catcher

Faux relais mobile qui force les téléphones à se connecter pour intercepter trafic et identifiants.

Un IMSI catcher (Stingray, Hailstorm) est un faux relais mobile qui se fait passer pour une antenne légitime et force les téléphones à proximité à s'y connecter. Permet l'interception des communications, l'identification des téléphones présents (IMSI), parfois l'injection de SMS. Utilisé par certaines forces de l'ordre, services de renseignement, et acteurs criminels sophistiqués. Détection difficile pour l'utilisateur final. Défense pour profil exposé : limiter l'usage du téléphone en zones à risque, applications de détection (CellGuard, Crocodile Hunter) pour les paranoïaques avertis.

Voir aussi : IMEI , stingray , rogue-base-station

Processus structuré de gestion d'un incident de sécurité : détection, containment, eradication, recovery.

L'incident response (réponse à incident) est le processus structuré de gestion d'un incident de sécurité. Phases (NIST SP 800-61) : preparation, detection, analysis, containment, eradication, recovery, post-incident lessons. Outils : playbooks pré-rédigés, équipe identifiée, partenaires forensics, communication crise préparée. Pratique opérationnelle : les 90 premières minutes déterminent la trajectoire complète de l'incident.

Voir aussi : forensics , SOC , ransomware

• → Incident response sur le terrain : les 90 premières minutes

Norme internationale de management de la sécurité de l'information.

ISO/IEC 27001 est la norme internationale qui spécifie les exigences pour un système de management de la sécurité de l'information (ISMS). Couvre la gouvernance, l'analyse de risques, le traitement des risques, la mesure d'efficacité. Très répandue pour les certifications fournisseurs (B2B). Attention : la certification atteste de la conformité aux processus, pas du niveau de sécurité opérationnelle réel. Une organisation ISO 27001 peut être très exposée sur les angles non couverts par son périmètre certifié.

Voir aussi : NIST , SOC-2 , compliance

Service qui indexe les données issues de breaches publiques ou semi-publiques.

Une leak database est un service qui indexe les données issues de violations de données rendues publiques ou semi-publiques. Versions grand public : Have I Been Pwned (gratuit, ne dévoile que les emails compromis). Versions professionnelles : DeHashed, Intelligence X, Snusbase, Constella Intelligence (payantes, donnent accès aux mots de passe clairs et données complètes). Utiles tant offensivement (recherche d'identifiants compromis) que défensivement (audit personnel).

Voir aussi : HIBP , OSINT , data-broker

• → Have I Been Pwned

Autorité de certification gratuite et automatisée, opérée par l'ISRG.

Let's Encrypt est une autorité de certification (CA) gratuite, automatisée et ouverte, opérée par l'ISRG (Internet Security Research Group). Délivre des certificats DV (Domain Validation) via le protocole ACME, automatisable via certbot ou Caddy. A radicalement démocratisé HTTPS depuis son lancement en 2016 (de ~40% du web en 2016 à >90% en 2024). Certificats valides 90 jours (renouvellement automatique).

Voir aussi : PKI , TLS , ACME

• → Let's Encrypt

Standard de chiffrement de disque sur Linux, généralement via cryptsetup et dm-crypt.

LUKS (Linux Unified Key Setup) est le standard de chiffrement de disque sur Linux, manipulé via cryptsetup et reposant sur dm-crypt (couche du noyau). Versions : LUKS1 (legacy) et LUKS2 (depuis 2018, avec format JSON, support Argon2, secure key wiping). Combiné à un TPM, permet l'auto-unlock au boot sur les serveurs et workstations. Indispensable sur tout poste Linux mobile.

Voir aussi : dm-crypt , TPM , BitLocker

SOC externalisé spécialisé dans la détection et la réponse 24/7, souvent autour d'un EDR.

Le MDR (Managed Detection and Response) est une déclinaison du MSSP focalisée sur la détection et la réponse 24/7, généralement construite autour d'un EDR/XDR. Différenciateur vs MSSP classique : capacité de réponse (pas seulement alerter, mais agir sur l'endpoint). Acteurs : CrowdStrike Falcon Complete, SentinelOne Vigilance, Sophos MDR, Arctic Wolf. Modèle pertinent pour les ETI sans SOC propre.

Voir aussi : SOC , MSSP , EDR

Données sur les données : qui a écrit quoi, quand, où, à qui.

Les métadonnées sont les données sur les données : auteur, date de création, modifications, géolocalisation (pour images), destinataires (pour mails), durée et horaire (pour appels). Souvent plus révélatrices que le contenu lui-même. Une image avec EXIF révèle où et quand elle a été prise, avec quel appareil. Un dossier Office contient l'historique des auteurs. Un PDF garde les versions précédentes. Toujours stripper les métadonnées avant publication : exiftool, mat2 (Metadata Anonymisation Toolkit).

Voir aussi : EXIF , OSINT

Authentification à plusieurs facteurs : combiner deux preuves d'identité indépendantes pour se connecter.

MFA (Multi-Factor Authentication) désigne l'authentification combinant au moins deux facteurs indépendants parmi : ce que vous savez (mot de passe), ce que vous avez (téléphone, clé FIDO2), ce que vous êtes (empreinte, visage). Les implémentations diffèrent radicalement en robustesse : SMS reste vulnérable au SIM swap, TOTP applicatif est sensible au phishing en temps réel, FIDO2 hardware résiste à la plupart des attaques connues. Activer du MFA est nécessaire, choisir le bon facteur est ce qui change la sécurité réelle.

Voir aussi : TOTP , FIDO2 , WebAuthn , SIM-swap

• → MFA : pourquoi votre app Google Authenticator vous trahit

Attaque où un acteur s'interpose dans une communication entre deux parties qui se croient en direct.

Une attaque MITM (Man-in-the-Middle) implique un acteur qui s'interpose entre deux parties communicantes, capable de lire ou modifier le trafic. Vecteurs classiques : Wi-Fi public ouvert, ARP spoofing en réseau local, BGP hijacking côté opérateur, IMSI catcher en mobile. Défense par TLS authentifié (vérification de certificat) côté applicatif. Limite : TLS protège le contenu, pas l'existence de la connexion ni les métadonnées de transport.

Voir aussi : TLS , wifi-public , IMSI-catcher

Fournisseur qui opère la sécurité d'un client en externalisation (SOC managé, EDR managé, etc.).

Un MSSP (Managed Security Service Provider) opère pour le compte d'un client tout ou partie des fonctions de sécurité : SOC managé, EDR managé, vulnerability management, IAM managé. Acteurs : Orange Cyberdefense, IBM Security, Kyndryl, Atos, Capgemini, et de nombreux pure-players régionaux. Pertinent pour les organisations qui n'ont pas la masse critique pour internaliser. Limite : la qualité varie énormément, et le client perd du contexte sur ses propres incidents.

Voir aussi : SOC , MDR

Directive européenne (2022/2555) qui étend les obligations cybersécurité aux entreprises essentielles et importantes.

NIS 2 est la directive UE 2022/2555 qui étend et durcit le cadre NIS de 2016. Elle impose des obligations cyber (gouvernance, gestion d'incidents, supply chain) à des secteurs élargis : énergie, transport, banque, santé, eau, numérique, administration, fabrication, alimentation. La transposition nationale était attendue pour octobre 2024. En pratique, beaucoup d'organisations sous-estiment leur entrée dans le périmètre — la qualification dépend du secteur ET de la taille.

Voir aussi : ANSSI , ENISA , DORA

Institut américain qui publie les standards de référence en cybersécurité (CSF, SP 800-*).

Le NIST (National Institute of Standards and Technology) est l'agence américaine qui publie les standards techniques de référence en cybersécurité : le Cybersecurity Framework (CSF), la série SP 800 (notamment SP 800-53 contrôles, SP 800-63 authentification, SP 800-207 zero trust). Ces documents sont les sources primaires sur lesquelles s'appuient la plupart des cadres internationaux. Utiles pour ancrer une stratégie sur des principes non commerciaux.

Voir aussi : ISO-27001 , CSF , zero-trust

• → NIST Cybersecurity Framework

Protocole d'autorisation déléguée : permettre à une app d'accéder à une ressource au nom de l'utilisateur.

OAuth 2.0 (RFC 6749) est un protocole d'autorisation déléguée : un utilisateur autorise une application tierce à accéder à une ressource hébergée par un autre service, sans partager son mot de passe. Le bouton 'Se connecter avec Google' utilise OAuth + OIDC. Largement utilisé en API economy. Implémentations incorrectes (mauvais redirect URI, mauvaise gestion des scopes) sont une source fréquente de vulnérabilités.

Voir aussi : OIDC , JWT , SSO

Protocole moderne de SSO construit sur OAuth 2.0 et utilisant des tokens JWT.

OIDC (OpenID Connect) est un protocole d'authentification construit sur OAuth 2.0, qui ajoute une couche d'identité via le ID Token (JWT signé). Plus simple à implémenter que SAML, devenu le standard pour les nouvelles intégrations SSO web et mobile. Supporté par tous les IdP modernes.

Voir aussi : SSO , OAuth , JWT

Renseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives.

OSINT (Open Source Intelligence) désigne la collecte et l'analyse de renseignement à partir de sources ouvertes : sites web, réseaux sociaux, registres publics, archives, fuites publiques, métadonnées d'images. Utilisé tant offensivement (reconnaissance préalable à une attaque, kompromat) que défensivement (cartographier ce qui est connu de vous, audit d'exposition). Outils principaux : Maltego, Spiderfoot, Bellingcat Toolkit, Sherlock, theHarvester. Un audit OSINT sérieux sur une cible identifiée prend 2-4 heures et coûte quelques centaines d'euros en prestation.

Voir aussi : leak-database , data-broker , threat-model

• → OSINT défensif : ce que vous laissez fuiter

Fondation qui publie des ressources de référence sur la sécurité applicative (OWASP Top 10, ASVS).

L'OWASP (Open Worldwide Application Security Project) est une fondation à but non lucratif qui publie des ressources de référence sur la sécurité applicative. Documents majeurs : OWASP Top 10 (vulnérabilités web et API), Application Security Verification Standard (ASVS), Mobile Application Security Verification Standard (MASVS), Cheat Sheet Series. Source primaire pour structurer un programme AppSec.

Voir aussi : XSS , SSRF , AppSec

• → OWASP

Gestion renforcée des accès privilégiés (admin, root, comptes service).

PAM (Privileged Access Management) couvre la gestion renforcée des accès à privilèges : comptes administrateur, comptes root, comptes service, secrets applicatifs. Pratiques typiques : coffre-fort de secrets, rotation automatique, session recording, just-in-time access, MFA renforcée. Acteurs : CyberArk, BeyondTrust, Delinea (ex-Thycotic), HashiCorp Vault. Investissement structurel pour neutraliser le vecteur d'attaque le plus rentable.

Voir aussi : IAM , secret-management

Implémentation grand public de FIDO2 : clé d'authentification stockée et synchronisée par Apple/Google/Microsoft.

Passkey est le nom marketing donné par Apple, Google et Microsoft à leur implémentation synchronisée de FIDO2/WebAuthn. La clé privée est stockée dans l'enclave sécurisée du téléphone (Apple) ou de la machine, et synchronisée via iCloud Keychain, Google Password Manager ou Microsoft Account. Excellent compromis sécurité/UX pour le grand public, mais introduit une dépendance au compte cloud du vendor — perte du compte = perte des passkeys. Pour profil exposé, préférer FIDO2 hardware non synchronisé.

Voir aussi : FIDO2 , WebAuthn , MFA

Adresse mail historique principale, utilisée comme identifiant et clé de récupération pour la plupart des comptes.

Une adresse mail historique principale (souvent personnelle, créée il y a 10-15 ans) sert de fait de 'passeport numérique' : identifiant principal de la majorité des comptes en ligne, adresse de récupération en cas d'oubli, point de réception des notifications de sécurité. Cible prioritaire des attaquants : compromettre cette adresse = accès à la majorité de l'écosystème numérique de la cible. Protection non négociable : FIDO2 hardware, pas de récupération SMS, monitoring HIBP régulier.

Voir aussi : compartmentation , MFA , FIDO2

• → Votre adresse mail est votre passeport

Système de chiffrement de bout en bout et de signature, créé par Phil Zimmermann en 1991.

PGP (Pretty Good Privacy), créé par Phil Zimmermann en 1991, est un système de chiffrement asymétrique pour le chiffrement et la signature de messages et fichiers. L'implémentation libre est GnuPG (GPG). Largement utilisé en milieu technique et journalistique. Limite UX significative : gestion des clés, web of trust, distribution des clés publiques. Pour la majorité des usages, Signal (E2EE par défaut, UX moderne) remplace avantageusement PGP. PGP reste pertinent pour le chiffrement de fichiers et de mails archivés long terme.

Voir aussi : GPG , signal , e2ee

Attaque par ingénierie sociale qui pousse la cible à donner ses identifiants ou exécuter du code.

Le phishing est une attaque par ingénierie sociale qui pousse la cible à divulguer des identifiants ou exécuter du code malveillant, via un message frauduleux imitant une source légitime (mail, SMS, voix). Variantes : spear phishing (ciblé), whaling (visant les dirigeants), smishing (par SMS), vishing (par voix). Vecteur dominant des compromissions enterprise. Défense efficace : FIDO2 qui résiste au phishing en temps réel + sensibilisation ciblée par profil + canaux de validation hors-bande.

Voir aussi : spear-phishing , FIDO2 , social-engineering

Système qui gère les certificats et clés publiques pour authentifier les identités.

Une PKI (Public Key Infrastructure) est l'ensemble des éléments (autorités de certification, autorités de validation, registres, politiques) qui gèrent les certificats X.509 et clés publiques pour authentifier les identités. Composants clés : CA root, CA intermédiaires, certificats, listes de révocation (CRL) ou OCSP. Underpins HTTPS, S/MIME, code signing. Compromission d'une CA (DigiNotar 2011, Comodo 2011) est catastrophique pour tout l'écosystème.

Voir aussi : TLS , X509 , OCSP

Suite suisse d'outils confidentialité (Mail, VPN, Drive, Pass, Calendar) à modèle open-source.

Proton AG (Suisse) propose une suite d'outils privacy-first : Proton Mail (chiffré E2EE, alternative à Gmail), Proton VPN, Proton Drive, Proton Pass (gestionnaire de mots de passe), Proton Calendar. Modèle open-source (clients audit-able), juridiction suisse, audits externes réguliers. Référence européenne pour le grand public soucieux de confidentialité. Limites : juridiction suisse n'est pas une juridiction de droit absolu, certaines obligations légales s'appliquent (cf. cas Climaaktivist 2021).

Voir aussi : SimpleLogin , VPN , password-manager

• → Proton

Malware qui chiffre les données et exige une rançon, souvent doublé d'une exfiltration préalable.

Un ransomware chiffre les données de la victime et exige une rançon pour la clé de déchiffrement. Les groupes modernes (LockBit, BlackCat/ALPHV, Cl0p) pratiquent le 'double extortion' : exfiltration des données AVANT le chiffrement, avec menace de publication. Certains ajoutent le triple extortion (DDoS, contact des clients). Vecteur d'entrée dominant : exploitation d'une vulnérabilité connue non patchée ou compromission d'identifiants RDP/VPN. Réponse efficace exige des backups testés, hors-ligne ou immutables, et un plan de réponse rédigé à l'avance.

Voir aussi : double-extortion , backup , incident-response

Vulnérabilité permettant à un attaquant distant d'exécuter du code arbitraire sur une cible.

Une vulnérabilité RCE (Remote Code Execution) permet à un attaquant distant d'exécuter du code arbitraire sur une cible (serveur, application, appareil). La classe la plus critique de vulnérabilités. Exemples emblématiques : Log4Shell (CVE-2021-44228, décembre 2021), Heartbleed (lecture mais classe similaire), shellshock. CVSS 9.0-10.0. Toute RCE sur un actif exposé doit être patchée en heures, pas en jours.

Voir aussi : CVE , CVSS , vulnerability

Registre public français des sociétés, accessible via Pappers et Infogreffe.

Le RCS (Registre du Commerce et des Sociétés) est le registre public français qui répertorie les commerçants et sociétés commerciales. Tenu par les greffes des tribunaux de commerce. Accessible via Infogreffe (officiel) et Pappers (privé, plus moderne). Contient : dénomination, siège, dirigeants, mandats, bilans. Pour un dirigeant, source OSINT publique structurante. Equivalents : Companies House (UK), Zefix (CH), OpenCorporates (international).

Voir aussi : BODACC , OSINT , pappers

Règlement européen 2016/679 sur la protection des données personnelles, applicable depuis mai 2018.

Le RGPD (Règlement Général sur la Protection des Données, EU 2016/679) est le cadre européen unifié sur la protection des données personnelles depuis mai 2018. Il impose aux organisations qui traitent des données de résidents UE : licéité du traitement, minimisation, durée de conservation limitée, droits des personnes (accès, rectification, effacement, portabilité, opposition). Sanctions jusqu'à 4 % du CA mondial. En pratique : excellent cadre légal mais ne protège pas contre les fuites déjà constituées et ne s'applique pas aux acteurs hors UE qui ignorent les demandes. La conformité RGPD est une couverture juridique, pas une protection opérationnelle.

Voir aussi : CNIL , data-broker , droit-a-l-oubli

• → Texte officiel RGPD

Malware qui s'installe en profondeur dans l'OS pour rester invisible et persistent.

Un rootkit est un malware conçu pour s'installer en profondeur dans le système (noyau, firmware, hyperviseur) et rester invisible des outils de détection conventionnels. Variantes : kernel rootkit, bootkit (UEFI), firmware rootkit (BIOS, contrôleurs disque). Les plus sophistiqués sont des outils étatiques. Défense : Secure Boot, attestation TPM, vérification de l'intégrité à intervalles réguliers, hardware reset pour les cas critiques (frontières sensibles).

Voir aussi : secure-boot , TPM , bootkit

Protocole XML standard pour le SSO entreprise.

SAML (Security Assertion Markup Language) est un protocole XML pour échanger les assertions d'authentification et d'autorisation entre un IdP et un SP (service provider). Version 2.0 publiée en 2005, encore largement utilisée en entreprise. Plus verbeux et complexe qu'OIDC, mais robuste et largement supporté. Pour les nouveaux déploiements, OIDC est généralement préféré.

Voir aussi : SSO , OIDC , OAuth

Inventaire des composants logiciels qui constituent une application, leurs versions et leurs dépendances.

Un SBOM (Software Bill of Materials) est un inventaire structuré des composants logiciels d'une application : bibliothèques, dépendances transitives, versions, licences. Formats standards : SPDX, CycloneDX. Indispensable pour répondre rapidement à une vulnérabilité dans une dépendance (Log4Shell a mis en lumière la nécessité). Devenu obligatoire dans certains contextes (US Executive Order 14028, CRA européen à venir). Outils : Syft, Trivy, Dependency-Track.

Voir aussi : supply-chain , CVE

Gestion centralisée des secrets (clés API, tokens, mots de passe) pour applications et services.

Le secret management centralise la gestion des secrets applicatifs (clés API, tokens OAuth, mots de passe DB) dans un coffre dédié, avec rotation, audit, et accès contrôlé. Acteurs : HashiCorp Vault (référence), AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, Doppler, 1Password Business. Indispensable pour éviter les secrets en clair dans le code, les variables d'environnement non protégées, ou les fichiers de config versionnés.

Voir aussi : PAM , DevOps

Mécanisme UEFI qui vérifie cryptographiquement la chaîne de démarrage.

Secure Boot est un mécanisme du firmware UEFI qui vérifie cryptographiquement la signature des composants chargés au démarrage (bootloader, noyau OS, drivers signés). Conçu pour empêcher les rootkits qui s'injectent avant l'OS. Exigé par défaut sur Windows 11, supporté par Linux moderne (signing key Microsoft, ou clés propres). Combiné au TPM, fournit la base de l'attestation d'intégrité.

Voir aussi : TPM , UEFI

Plateforme qui agrège les logs de sécurité, corrèle, alerte, et permet l'investigation.

Un SIEM (Security Information and Event Management) agrège les logs de toutes les sources d'une organisation (endpoints, réseau, identités, applicatif), les corrèle via règles ou ML, génère des alertes et permet l'investigation. Acteurs : Splunk, Microsoft Sentinel, Elastic SIEM, IBM QRadar. Brique fondamentale d'un SOC. Coût d'opération souvent sous-estimé : ingestion + storage + tuning + analyse exigent une équipe dédiée.

Voir aussi : SOC , EDR , XDR

Messagerie open-source à E2EE par défaut, opérée par la Signal Foundation.

Signal est une messagerie open-source opérée par la Signal Foundation, avec chiffrement de bout en bout par défaut, protocole Signal devenu standard (utilisé aussi par WhatsApp, Messenger). Référence en matière de messagerie sécurisée pour le grand public et les profils exposés. Modèle économique non commercial (dons). Limites : nécessite un numéro de téléphone à l'inscription (compromis pour l'anonymat strict), métadonnées minimisées mais existantes.

Voir aussi : e2ee , PGP , threema

Attaque où un fraudeur convainc votre opérateur de basculer votre numéro vers sa propre SIM.

Un SIM swap est une attaque où l'attaquant, par ingénierie sociale auprès du centre d'appel de votre opérateur, obtient le portage de votre numéro mobile vers une SIM qu'il contrôle. Conséquence directe : tous vos SMS, dont les codes MFA SMS, arrivent chez lui. Le compte Twitter de Jack Dorsey en 2019, et nombre d'incidents bancaires, ont commencé par un SIM swap. Coût pour l'attaquant : quelques heures et parfois un complice corrompu chez l'opérateur. Défense : MFA hors-SMS sur les comptes critiques, code PIN porte-à-faux chez l'opérateur, monitoring des notifications de changement de SIM.

Voir aussi : MFA , TOTP , FIDO2

• → SIM swap : 4 heures pour devenir vous

Service d'alias d'email permettant de masquer son adresse réelle, acquis par Proton en 2022.

SimpleLogin (acquis par Proton en 2022) est un service d'alias d'email : vous créez des alias uniques (ex. amazon-john@simplelogin.io) qui redirigent vers votre adresse réelle, sans la révéler. Permet la compartmentation des inscriptions tierces, l'identification rapide du service qui a leaké votre email, et la désactivation chirurgicale en cas de compromission. Alternatives : Apple Hide My Email (gratuit avec iCloud+), Firefox Relay, anonaddy.

Voir aussi : compartmentation , alias

• → SimpleLogin

Équipe et plateforme qui surveillent en continu la sécurité d'une organisation.

Un SOC (Security Operations Center) est l'équipe et les outils qui assurent la surveillance continue (24/7 ou pas) de la sécurité d'une organisation. Trois fonctions : détecter (via SIEM/EDR/XDR), trier les alertes, répondre (containment, eradication). Modèles : interne, externe (MSSP), hybride. Coût annuel pour un SOC interne 24/7 : 1-3 M€ minimum. La plupart des organisations sub-1000 collaborateurs externalisent.

Voir aussi : SIEM , MSSP , MDR

Référentiel d'audit américain sur la sécurité, disponibilité, intégrité des données d'un service.

SOC 2 est un référentiel d'audit américain (AICPA) ciblant les fournisseurs de services qui hébergent ou traitent des données clients. Cinq critères : sécurité, disponibilité, intégrité de traitement, confidentialité, vie privée. Deux types : Type I (point dans le temps), Type II (sur 6-12 mois). Devenu de facto un prérequis B2B pour les SaaS. Comme ISO 27001, atteste la conformité au cadre, pas l'absence de vulnérabilité.

Voir aussi : ISO-27001 , compliance

Manipulation humaine pour obtenir des informations ou des actions, contournant les défenses techniques.

L'ingénierie sociale est l'art de manipuler les humains pour obtenir des informations, des accès, ou des actions, en contournant les défenses techniques. Techniques : autorité, urgence, sympathie, réciprocité, conformité, rareté (Cialdini). Cas emblématique : la fraude au président, qui combine OSINT, urgence, autorité. Défense : protocole de validation hors-bande pour toute demande inhabituelle, sensibilisation ciblée, culture du 'je rappelle pour confirmer'.

Voir aussi : phishing , spear-phishing , OSINT

Phishing ciblé sur une personne précise, construit à partir de son profil OSINT.

Le spear phishing est une variante ciblée du phishing : l'attaquant construit un message personnalisé à partir des informations OSINT de la cible (fonction, projets en cours, relations, ton). Beaucoup plus efficace que le phishing en masse, car le contexte rend le message crédible. Cible privilégiée des chaînes d'attaque sophistiquées, notamment vers les dirigeants et les fonctions sensibles (juridique, finance, M&A).

Voir aussi : phishing , OSINT , social-engineering

Mécanisme qui permet de s'authentifier une fois pour accéder à plusieurs applications.

Le SSO (Single Sign-On) permet à un utilisateur de s'authentifier une seule fois auprès d'un fournisseur d'identité (IdP) et d'accéder ensuite à toutes les applications fédérées. Protocoles : SAML 2.0, OAuth 2.0, OIDC. Acteurs IdP : Microsoft Entra ID, Okta, Google Workspace. Bénéfices : moins de mots de passe, MFA centralisé, provisioning automatique. Risque structurel : compromission de l'IdP = compromission de tout. Le compte admin de l'IdP doit être protégé comme un secret d'État.

Voir aussi : IAM , SAML , OIDC

Vulnérabilité où un attaquant force le serveur à émettre des requêtes vers des cibles internes.

SSRF (Server-Side Request Forgery) est une vulnérabilité où un attaquant force le serveur à émettre des requêtes vers des cibles internes (services internes, métadonnées cloud, localhost). Conséquences : exfiltration de métadonnées cloud (IAM credentials AWS EC2), pivot vers des services internes non exposés. Vecteur de la breach Capital One 2019 (100M de comptes). Top 10 OWASP. Défense : validation stricte des URLs, IMDSv2 sur AWS, NetworkPolicy en Kubernetes.

Voir aussi : OWASP , cloud-security

Compromission d'une cible via un fournisseur ou un composant tiers (logiciel, matériel, prestataire).

Une attaque supply chain compromet une cible via un fournisseur ou composant tiers : logiciel (SolarWinds 2020, 3CX 2023, XZ Utils 2024), matériel (alleged backdoors), prestataire (compromission d'un MSP pour atteindre ses clients). Vecteur en très forte croissance car efficacité élevée (un compromis chez le fournisseur = accès à des centaines de cibles). Défense : SBOM (Software Bill of Materials), évaluation des fournisseurs critiques, segmentation des accès tiers, monitoring des dépendances.

Voir aussi : SBOM , third-party-risk , msp

Cartographie des acteurs, motivations, capacités et impacts potentiels contre une cible.

Un threat model (modèle de menace) cartographie les acteurs susceptibles d'attaquer une cible, leurs motivations, leurs capacités, les vecteurs d'attaque réalistes et les impacts redoutés. Méthodes : STRIDE (Microsoft), PASTA, LINDDUN (privacy-focused), attack trees. L'exercice doit être proportionné : un threat model de dirigeant exposé n'a rien à voir avec celui d'une PME du tertiaire. Pratique : commencer par 'qui en veut à quoi, pour quoi faire, avec quels moyens, et qu'est-ce qui m'arrive si ça marche ?'.

Voir aussi : STRIDE , OSINT

Protocole de chiffrement de transport, base de HTTPS et de la sécurité web moderne.

TLS (Transport Layer Security) est le protocole de chiffrement de transport, successeur de SSL. Versions actuelles : TLS 1.2 (RFC 5246) et TLS 1.3 (RFC 8446, 2018). TLS 1.3 simplifie le handshake (1-RTT), supprime les algorithmes obsolètes, améliore la confidentialité. Base de HTTPS, DoT, SMTP/TLS, et la plupart des sécurités de transport modernes. Audit fréquent : ssllabs.com/ssltest.

Voir aussi : HTTPS , MITM , PKI

Réseau anonymisant qui fait transiter le trafic par 3 relais successifs pour masquer l'origine.

Tor (The Onion Router) est un réseau anonymisant : le trafic passe par 3 relais successifs (entry, middle, exit), chacun ne connaissant qu'un saut. Le site destinataire voit une IP de sortie Tor, pas la vôtre. Couplé au navigateur Tor Browser (basé sur Firefox), constitue la solution de référence pour l'anonymat opérationnel. Limites : latence (les 3 sauts ralentissent), certains sites bloquent les exit nodes Tor, fingerprinting reste possible si Tor Browser n'est pas utilisé tel quel. Utile pour journalistes, dissidents, lanceurs d'alerte, et activités où l'attribution IP est inacceptable.

Voir aussi : VPN , anonymity , fingerprinting

• → Tor Project

Code à 6 chiffres généré toutes les 30 secondes par une app (Google Authenticator, Authy, etc.).

TOTP (Time-based One-Time Password, RFC 6238) est l'algorithme derrière les codes à 6 chiffres affichés dans Google Authenticator, Authy, Aegis, etc. Le secret partagé est échangé une fois (via QR code), puis le code dérive du temps courant et du secret. Beaucoup plus solide que le SMS (résistant au SIM swap), mais sensible au phishing en temps réel : un site frauduleux qui capture votre mot de passe ET votre code TOTP en moins de 30 secondes vous compromet.

Voir aussi : MFA , HOTP , FIDO2

• → RFC 6238

Puce cryptographique soudée à la carte mère qui stocke les clés et atteste l'intégrité du boot.

Le TPM (Trusted Platform Module, ISO/IEC 11889) est une puce cryptographique soudée à la carte mère qui stocke des clés sensibles (chiffrement de disque, attestation distante) et atteste l'intégrité du boot (mesure des composants démarrés). Version 2.0 standardisée. Indispensable pour BitLocker (Windows), exigé par Windows 11. Utilisé aussi sur Linux (LUKS auto-unlock), macOS (Secure Enclave est l'équivalent Apple, pas un TPM strict).

Voir aussi : BitLocker , secure-boot , LUKS

Tunnel chiffré entre votre appareil et un serveur, masquant votre IP et votre trafic à votre FAI.

Un VPN (Virtual Private Network) crée un tunnel chiffré entre votre appareil et un serveur tiers. Conséquence : votre FAI et le réseau local que vous traversez voient un trafic opaque vers le serveur VPN, sans pouvoir lire les contenus. Ce que ça protège : confidentialité de transit, géolocalisation IP visible par les sites destinataires. Ce que ça ne protège PAS : votre identité (compromise par les comptes que vous ouvrez), votre exposition (les sites continuent à vous identifier), votre threat model si l'adversaire opère côté destination. Le marketing VPN est massivement trompeur.

Voir aussi : DNS , DoH , WireGuard

• → VPN : 95% du marketing est faux

Archive web de l'Internet Archive, qui capture les pages depuis 1996.

La Wayback Machine, opérée par l'Internet Archive, capture les pages web depuis 1996. Sauvegarde des centaines de milliards d'instantanés. Permet de consulter l'état historique d'un site, même si la version actuelle a été modifiée ou supprimée. Source OSINT structurante pour reconstituer l'historique d'une présence en ligne. Demande de retrait possible mais sujette à appréciation et lente.

Voir aussi : archive-today , OSINT

• → Wayback Machine

API navigateur qui permet l'authentification FIDO2 sur les sites web.

WebAuthn est l'API JavaScript standardisée par le W3C qui permet à un site web d'utiliser une clé FIDO2 (matérielle ou intégrée) pour authentifier un utilisateur. Couplée à CTAP2 côté authenticator, elle constitue le pilier de FIDO2. Largement supportée dans les navigateurs modernes depuis 2019.

Voir aussi : FIDO2 , CTAP2 , passkey

Réseau Wi-Fi ouvert ou partagé (hôtel, café, conférence) — modèle de menace particulier.

Un réseau Wi-Fi public est ouvert, partagé ou opéré par un tiers (hôtel, café, conférence, transport). Modèle de menace : MITM par l'opérateur du réseau, MITM par un autre client malveillant, hostpot frauduleux (ananas Wi-Fi). Aujourd'hui, avec HTTPS partout, l'impact est réduit. Reste à risque : applications mal implémentées (TLS non vérifié), portails captifs malveillants, capture des SNI/DNS non chiffrés. Pratique raisonnable : VPN sur Wi-Fi public + DoH activé + portails captifs traités avec méfiance.

Voir aussi : MITM , VPN , DoH

• → Wi-Fi public : la paranoïa raisonnable

Protocole VPN moderne, simple et performant, intégré au noyau Linux.

WireGuard est un protocole VPN moderne créé par Jason Donenfeld, intégré au noyau Linux depuis 5.6. Conception minimaliste (~4000 lignes de code vs ~600k pour OpenVPN+OpenSSL), cryptographie moderne (Curve25519, ChaCha20, Poly1305, BLAKE2s). Performances supérieures à OpenVPN et IPsec. Devenu le standard de facto pour les déploiements VPN modernes. Plus simple à auditer et débugger qu'OpenVPN.

Voir aussi : VPN , OpenVPN , IPsec

• → WireGuard

EDR étendu à plusieurs sources (cloud, identité, mail, réseau) pour une détection croisée.

XDR (Extended Detection and Response) étend l'EDR endpoint à plusieurs sources de télémétrie : cloud workloads, identité, mail, réseau. Promet une corrélation cross-domain pour détecter des attaques qui traversent les périmètres. En pratique, les XDR de premier rang (Microsoft Defender XDR, CrowdStrike Falcon Insight XDR) marchent quand la stack de l'organisation est largement chez le même vendor. Sinon, retombe sur du SIEM.

Voir aussi : EDR , SIEM , MDR

Vulnérabilité web où du code malveillant est exécuté dans le navigateur d'un autre utilisateur.

XSS (Cross-Site Scripting) est une vulnérabilité web où du code JavaScript malveillant est injecté dans une page et exécuté dans le navigateur d'un utilisateur tiers. Variantes : stored XSS (persistant en base), reflected XSS (via URL), DOM-based XSS. Conséquences : vol de cookies de session, défacement, redirection vers phishing, keylogging. Défense : encoding contextuel à la sortie, CSP strict, framework moderne qui encode par défaut. Top 10 OWASP historique.

Voir aussi : CSP , OWASP , session-hijacking

Clé d'authentification matérielle de Yubico, supportant FIDO2/WebAuthn, OTP, PIV, OpenPGP.

YubiKey est la gamme de clés d'authentification matérielles de Yubico (Suède). Supporte multiple protocoles : FIDO2/WebAuthn, FIDO U2F, TOTP/HOTP, smart card PIV, OpenPGP, OTP statique. Formats : USB-A, USB-C, Lightning, NFC. Modèle de référence sur le marché. Recommandation : toujours acheter au moins 2 clés (perte d'une seule clé sans backup = lockout). Alternatives : Solokey (open-source), Nitrokey (open-source allemand), Token2.

Voir aussi : FIDO2 , WebAuthn , PIV

• → YubiKey et clés FIDO2 : tout ce qu'on ne vous a pas dit

Principe : ne jamais faire confiance par défaut, vérifier chaque requête.

Zero Trust est un principe stratégique : ne jamais faire confiance par défaut (ni au réseau, ni à l'utilisateur, ni à l'appareil), vérifier chaque requête en contexte (identité, posture, sensibilité de la ressource). Formalisé par John Kindervag (Forrester) en 2010, repris par NIST SP 800-207 (2020). Cadre intellectuel utile, mais souvent dégradé en argument marketing. Une transformation Zero Trust sérieuse est un projet pluri-trimestriel qui touche identité, réseau, applications, gouvernance.

Voir aussi : ZTNA , NIST , IAM

Modèle d'accès qui vérifie chaque requête plutôt que de faire confiance au réseau d'origine.

ZTNA (Zero Trust Network Access) est l'application du principe Zero Trust aux accès réseau : aucun trust implicite basé sur la localisation réseau (à l'inverse du VPN classique), chaque accès est vérifié à chaque requête (identité utilisateur, posture de l'appareil, contexte). Acteurs : Cloudflare Access, Zscaler Private Access, Tailscale, Twingate. Architecture moderne pour les organisations distribuées, alternative aux VPN d'entreprise traditionnels. Implémentation correcte exige une gestion d'identité mature.

Voir aussi : zero-trust , VPN , CASB