English version English version Plan du site Plan du site Site clientLogin
Sécurité Informatique

>Les publications du cabinet Xmco Partners

Régulièrement, le cabinet publie des études sur l'état de l'art de la sécurité des systèmes d'informations.

N'hésitez pas à nous laisser vos impressions et remarques par couriel à : info@xmcopartners.com


Autopsie et observations in vivo d'un banker (conférence SSTIC 2008)

Banker Anserin
Cet article présente une analyse approfondie d'un logiciel espion dédié au vol de mots de passe des utilisateurs de banques en ligne : le malware Anserin. Cette analyse dissèque le fonctionnement de ce malware selon plusieurs angles : sa présence sur le système, son mécanisme de vol des mots de passe, son protocole de communication réseau, ainsi que les techniques utilisées pour déjouer les protections mises en place par les banques, telles que les claviers virtuels. Cet article présente également les évolutions observées au cours de l'année 2007 ainsi que les méthodes et outils employés pour analyser et suivre l'évolution de ce malware.

>Télécharger l'article en PDF

> Le site des Actes de la SSTIC 2008





Common Criteria Web Application Security Scoring - CCWAPSS


CCWAPSS
Cet article, publié par Frédéric Charpentier, expert en test d'intrusion, proprose est une méthode d'évaluation du niveau de sécurité d'une application Web dans le cadre d'audit de plate-forme applicative : la Common Criteria Web Application Security Scoring (CCWAPSS).

Le projet CCWAPSS définit en 11 points de contrôle une méthode de calcul permettant de définir une note (de 0 à 10) sur la sécurité de vos applications. Chacun des critères sont issus du guide OWASP 3.0 (Open Web Application Security Project)

>Télécharger l'article en PDF (en anglais)

> Le blog du projet CCWAPSS



Retour d'expériences sur les tests d'intrusion (CLUSIR 2007)

CLUSIR Test intrusion
Marc Behar et Frédéric Charpentier présentent leurs retours d'expériences sur les prestations de "tests d'intrusion" lors de la conférence CLUSIR-EST 2007. Les aspects techniques et managériaux, le choix de périmètre et méthodes sont abordés.

> Télécharger la présentation réalisée au CLUSIR



Le Livre Blanc de la Commission Bancaire

Livre Blanc bancaire RMT risques
Analyse du livre blanc de la commission bancaire.

Méthodes d'évaluation des risques du Système d'Information d'une banque et exemples de calcul du RMT (Risque Maximal Tolérable).

>  Télécharger "Livre Blanc Bancaire et le RMT"





Les Attaques CSRF

Les attaques CSRF
Présentation de l'attaque baptisée "Cross Site Request Forgery" (CSRF), technique de base pour les attaques Drive-By-Pharming.

Des exemples illustrés de schémas et une présention des mesures de protections possibles.

>  Télécharger "Les attaques CSRF"





VoIP Security Overview - A layered approach

Voice over IP
Étude complète des enjeux de la sécurité des technologies de Voix sur IP.

Publié par Mihai Amarandei, collaborateur Xmco Partners et chercheur pour l'école Polytechnique.

>  Télécharger "VoIP-security-Xmco" (2.1 Mo)





Intrusion Agent - The Next Generation Of Spy

Intrusion Agent
Description d'une nouvelle méthode d'intrusion et d'espionnage informatique.

Les techniques décrites dans ce document font partie des outils utilisés lors des tests d'intrusion de Xmco Partners.

Publié par Frédéric Charpentier, consultant sénior Xmco Partners.

>  Télécharger "Intrusion-Agent" (900 Ko)


Dossier



> Notre newsletter


Actualite Securite


S'abonner à la newsletter