● 120 entries

Sécurité réseau

Adresse IPIdentifiant numerique attribue a une interface reseau pour le routage sur les reseaux IP : 32 bits en IPv4 (RFC 791) ou 128 bits en IPv6 (RFC 8200).
Adresse MACIdentifiant materiel sur 48 bits (IEEE 802) grave dans une interface reseau et utilise pour la livraison au sein d'un meme segment de couche liaison.
ARC (Authenticated Received Chain)Standard d'e-mail (RFC 8617) qui préserve les résultats d'authentification à travers les sauts de transfert : chaque intermédiaire signe cryptographiquement la chaîne des vérifications antérieures.
ARPProtocole de couche liaison (RFC 826) qui associe une adresse IPv4 à l'adresse MAC d'un hôte du même domaine de diffusion afin que les trames puissent être livrées.
Attaque de Deauthentification Wi-FiUne attaque de deauthentification Wi-Fi abuse des trames de management 802.11 non protegees pour deconnecter de force les clients d'un point d'acces, permettant deni de service ou attaques suivantes.
Autorité de certification (CA)Entité de confiance qui émet et signe des certificats numériques, liant des clés publiques à des identités vérifiées telles que des noms de domaine ou des organisations.
BIMIStandard de messagerie qui permet d'afficher un logo de marque vérifié à côté des messages authentifiés dans les clients compatibles, à condition que le domaine applique une politique DMARC en quarantine ou reject.
Bot ManagementLe bot management consiste a detecter le trafic automatise et a distinguer les bons bots des bots malveillants, puis a les autoriser, defier ou bloquer en consequence.
Canary TokenType particulier de honeytoken qui appelle discrètement un serveur de contrôle lorsqu'il est déclenché, servant de fil-piège pour les accès ou usages non autorisés.
Certificat à validation étendueCertificat TLS émis seulement après une vérification stricte et standardisée par la CA de l'identité légale, de l'existence physique et de l'autorité de l'organisation demandeuse.
Certificat auto-signéCertificat numérique signé avec la même clé privée que celle dont la clé publique correspondante figure dans le certificat, sans autorité de certification externe.
Certificat wildcardCertificat X.509 dont le nom de sujet utilise un astérisque pour couvrir n'importe quel libellé unique sous un domaine donné, par exemple *.example.com.
Certificat X.509Structure standard de certificat numérique qui lie une clé publique à une identité au moyen de la signature d'une autorité de certification de confiance.
DANEFamille de protocoles définie par le RFC 6698 qui utilise des enregistrements TLSA signés DNSSEC pour lier des certificats ou des clés publiques TLS à un service, réduisant la dépendance aux AC publiques.
Détection par anomalieApproche de détection qui établit une base de référence de l'activité normale et signale comme potentiellement malveillantes les déviations par rapport à celle-ci.
Détection par signaturesMéthode de détection qui compare le trafic, les fichiers ou les comportements observés à une base de motifs malveillants connus (signatures) pour repérer une activité malveillante.
Detournement BGPAttaque dans laquelle un systeme autonome annonce des prefixes IP qu'il ne possede pas legitimement, attirant et potentiellement interceptant du trafic Internet mondial.
DHCPProtocole basé sur UDP (RFC 2131, ports 67/68) qui attribue automatiquement adresses IP et paramètres de configuration réseau aux clients qui rejoignent un réseau.
DKIMStandard d'authentification d'e-mail (RFC 6376) permettant à un domaine expéditeur d'apposer une signature cryptographique aux messages sortants, pour que les destinataires vérifient que l'en-tête et le corps n'ont pas été altérés.
DMARCStandard d'authentification d'e-mail défini par le RFC 7489 qui permet au propriétaire d'un domaine de publier une politique indiquant aux récepteurs que faire des messages échouant SPF/DKIM et l'alignement.
DNS over HTTPS (DoH)Protocole qui chiffre les requêtes DNS en les transportant à l'intérieur de HTTPS, empêchant un observateur en chemin de les lire ou de les modifier.
DNS over TLS (DoT)Protocole qui chiffre les requêtes DNS dans une session TLS dédiée, les protégeant de l'écoute et de la manipulation sur le réseau.
DNS RebindingAttaque cote navigateur qui abuse de TTL DNS courts pour faire pointer un nom d'abord vers un serveur attaquant puis vers une IP interne, contournant la same-origin policy.
DNSBL (liste noire DNS)Mécanisme reposant sur le DNS (RFC 5782) qui permet aux systèmes de messagerie d'interroger une liste d'IP ou de domaines connus pour le spam ou les malwares afin de bloquer, scorer ou router le courrier.
DNSSECEnsemble d'extensions du DNS qui utilise des signatures numériques pour permettre aux résolveurs de vérifier l'authenticité et l'intégrité des enregistrements DNS.
Épinglage de certificatsTechnique par laquelle une application code en dur un certificat ou une clé publique attendue et refuse les connexions TLS non conformes, contrant les autorités de certification compromises ou pirates.
Fichier known_hostsFichier client OpenSSH (~/.ssh/known_hosts) qui memorise les cles publiques des serveurs pour que SSH detecte les changements de host-key pouvant trahir une attaque MITM.
Filtrage de paquetsTechnique de sécurité réseau qui inspecte les champs d'en-tête de chaque paquet et l'autorise ou le rejette selon un ensemble de règles statiques.
Forwarding d'agent SSHFonctionnalite d'OpenSSH activee par -A ou ForwardAgent yes qui expose une socket UNIX sur l'hote distant pour que ses commandes utilisent l'agent SSH local lors des sauts suivants.
FTPProtocole de transfert de fichiers historique (RFC 959) qui utilise le port TCP 21 pour le controle et 20 pour les donnees, transmettant identifiants et fichiers en clair et largement deconseille pour des raisons de securite.
Fuite de routes BGPPropagation BGP non intentionnelle ou un systeme autonome annonce des routes en dehors de la relation commerciale prevue, derivant souvent du trafic mondial vers le mauvais AS.
GnuPG (GPG)Implémentation libre du standard OpenPGP (RFC 4880, RFC 9580) utilisée pour signer, chiffrer et déchiffrer des données, dont des e-mails et paquets logiciels.
GreylistingTechnique anti-spam qui répond par un rejet SMTP temporaire aux triplets d'expéditeur inconnus et n'accepte le message que sur une nouvelle tentative correctement effectuée plus tard.
Handshake TLSEchange initial du protocole Transport Layer Security qui authentifie le serveur (et eventuellement le client) et derive les cles symetriques chiffrant le reste de la session.
HoneynetRéseau contrôlé de honeypots interconnectés, conçu pour étudier le comportement des attaquants dans un environnement multi-hôtes réaliste.
HoneypotSystème ou service leurre délibérément exposé pour attirer les attaquants, observer leurs techniques et les détourner des ressources de production.
HoneytokenDonnée factice — identifiant, fichier, enregistrement ou clé d'API — sans usage légitime, qui déclenche une alerte dès qu'elle est utilisée.
HTTP Strict Transport Security (HSTS)Politique de sécurité web diffusée via un en-tête HTTP qui ordonne au navigateur d'accéder à un domaine uniquement en HTTPS pendant une durée déclarée.
HTTP/3 / QUICHTTP/3 (RFC 9114) est la projection d'HTTP sur QUIC (RFC 9000), un transport chiffre base sur UDP qui integre TLS 1.3 et offre un multiplexage par flux sans head-of-line blocking.
HTTPSHTTP transporté sur une connexion protégée par TLS, fournissant confidentialité, intégrité et authentification du serveur pour le trafic web.
ICMPProtocole de controle et de diagnostic de la couche reseau (RFC 792 pour IPv4 et RFC 4443 pour IPv6), utilise par les hotes et routeurs pour signaler erreurs et conditions de chemin.
IDS basé hôte (HIDS)Agent de détection d'intrusion installé sur un serveur ou un poste qui surveille fichiers, processus, journaux et appels système locaux pour repérer une activité malveillante.
IDS basé réseau (NIDS)Capteur de détection d'intrusion qui inspecte le trafic capturé sur un segment réseau pour identifier des motifs malveillants et des violations de politique.
IEEE 802.1XNorme de contrôle d'accès réseau basée sur le port qui authentifie un appareil ou un utilisateur avant d'autoriser le trafic sur un port filaire ou sans fil.
Infrastructure à clé publique (PKI)Ensemble de politiques, logiciels, matériels et autorités de confiance qui émettent, distribuent, valident et révoquent les certificats numériques liant identités et clés publiques.
Inspection approfondie des paquets (DPI)Technique d'inspection qui examine la totalité de la charge utile des paquets, pas seulement leurs en-têtes, pour identifier applications, contenus et menaces.
IPsecSuite de protocoles IETF qui authentifie et chiffre les paquets IP pour assurer des communications sécurisées au niveau réseau.
Kill switch VPNGarde-fou qui coupe automatiquement tout le trafic reseau du poste lorsque le tunnel VPN tombe, afin d'eviter toute fuite involontaire sur une liaison non chiffree.
Liste de révocation de certificats (CRL)Liste signée, publiée périodiquement par une autorité de certification, des certificats invalidés avant leur expiration naturelle ; les parties relyantes l'utilisent pour détecter les certificats révoqués.
MicrosegmentationForme fine de segmentation appliquant des politiques en liste blanche entre charges de travail ou applications individuelles, souvent côté hôte ou hyperviseur.
Mitigation DDoSLa mitigation DDoS regroupe les techniques et services qui absorbent, filtrent et reroutent les attaques par deni de service distribue avant qu'elles n'epuisent le reseau, l'infrastructure ou l'application visee.
MTA-STSMécanisme de sécurité e-mail (RFC 8461) permettant à un domaine d'exiger TLS sur le SMTP entrant et d'épingler une liste de MX de confiance, déjouant les attaques de downgrade et de strip STARTTLS.
Network Access Control (NAC)Ensemble de politiques et de technologies qui authentifient appareils et utilisateurs avant l'accès au réseau et imposent en continu des exigences de posture.
Network Address Translation (NAT)Technique par laquelle un routeur réécrit adresses IP et ports lors du passage des paquets, permettant à de nombreux hôtes internes de partager une ou quelques adresses publiques.
Notation CIDRLa notation Classless Inter-Domain Routing exprime un prefixe IP comme une adresse suivie d'un slash et du nombre de bits significatifs, ex. 10.0.0.0/8.
OCSP (Online Certificate Status Protocol)Protocole sur HTTP qui permet à un client d'interroger en temps réel un répondeur de la CA pour déterminer si un certificat X.509 est valide, révoqué ou inconnu.
OpenVPNVPN open source s'exécutant en espace utilisateur et utilisant TLS/OpenSSL pour authentifier les pairs et tunneliser du trafic IP ou Ethernet arbitraire.
Pare-feuDispositif ou logiciel de sécurité réseau qui surveille et contrôle le trafic entrant et sortant selon un ensemble de règles, séparant les réseaux de confiance des réseaux non fiables.
Pare-feu à étatsPare-feu qui suit l'état des connexions actives dans une table et autorise automatiquement le trafic de retour correspondant à une session établie.
Pare-feu applicatif web (WAF)Filtre en reverse proxy qui inspecte le trafic HTTP/HTTPS pour bloquer les attaques web (injection SQL, XSS, abus de bots) avant qu'elles n'atteignent l'application.
Pare-feu de nouvelle génération (NGFW)Pare-feu avancé combinant inspection stateful, identification applicative, IPS intégré, identité utilisateur et inspection TLS pour appliquer des politiques plus riches.
Pare-feu sans étatPare-feu qui évalue chaque paquet indépendamment selon des règles statiques, sans suivre l'état des connexions.
Passerelle de messagerie sécuriséeService périmétrique ou cloud filtrant le courrier entrant et sortant à la recherche de spam, phishing, malware, fuites de données et violations de politique avant arrivée dans les boîtes.
PGPPretty Good Privacy, schéma de chiffrement et de signature de bout en bout pour e-mails, fichiers et messages, créé par Phil Zimmermann en 1991.
Port KnockingTechnique qui maintient les ports de service fermés par défaut et ne les ouvre qu'après une séquence prédéfinie de tentatives de connexion.
Prise de controle de sous-domaineAttaque ou un enregistrement DNS orphelin (souvent un CNAME) pointe vers une ressource cloud ou SaaS non revendiquee, permettant a un attaquant de la recreer et d'usurper le sous-domaine.
Protocole DiameterProtocole AAA (authentification, autorisation, comptabilite) standardise par la RFC 6733 qui a remplace RADIUS dans IMS, l'EPC LTE et les reseaux de roaming/IPX.
Proxy directProxy configuré côté client qui relaie les requêtes sortantes vers des services externes au nom de l'utilisateur.
Proxy inverseServeur placé devant un ou plusieurs services back-end qui reçoit les requêtes des clients en leur nom et les transmet vers l'intérieur.
Proxy transparentProxy intercalé dans le chemin réseau qui intercepte le trafic client sans configuration côté client.
RADIUSProtocole AAA très répandu utilisé par les équipements réseau pour authentifier, autoriser et comptabiliser l'accès des utilisateurs ou appareils.
Rate LimitingLe rate limiting plafonne le nombre de requetes qu'un identifiant (IP, utilisateur, cle API ou token) peut emettre sur une fenetre de temps, protegeant les API et les applis contre l'abus, le scraping et le brute-force.
Redirection de portConfiguration NAT dans laquelle un routeur redirige le trafic arrivant sur un port public spécifique vers un hôte et un port internes choisis.
Réseau Zero TrustArchitecture qui ne fait jamais confiance par défaut aux utilisateurs, terminaux ou services et impose une vérification continue, basée sur l'identité, de chaque connexion.
S/MIMENorme IETF pour signer et chiffrer de bout en bout des e-mails MIME à l'aide de certificats X.509 délivrés par une AC publique ou d'entreprise.
SASESASE est une architecture livree depuis le cloud, formalisee par Gartner en 2019, qui converge SD-WAN et services de securite (SWG, CASB, ZTNA, FWaaS) en bordure de reseau.
Securite 5GArchitecture de securite des reseaux mobiles 5G, definie par la 3GPP TS 33.501, couvrant la confidentialite de l'abonne, l'authentification mutuelle et la protection des plans de signalisation et utilisateur.
Securite CDNLa securite CDN s'appuie sur le edge global d'un reseau de distribution de contenu — terminant TLS pres des utilisateurs — pour appliquer protection DDoS, WAF, gestion des bots et hygiene TLS.
Securite HTTP/2Modele de securite d'HTTP/2 (RFC 9113) sur TLS 1.2+, plus les ecueils operationnels d'HPACK, du multiplexage, des trames CONTINUATION et de l'attaque Rapid Reset de 2023.
Securite LTEArchitecture de securite des reseaux mobiles 4G/LTE definie par la 3GPP TS 33.401, couvrant l'authentification EPS-AKA et le chiffrement des plans RRC, NAS et utilisateur.
Securite VoIPEnsemble des controles protegeant les appels Voix-sur-IP (signalisation SIP et media RTP) contre l'ecoute, la fraude, le deni de service et l'usurpation d'identite.
Securite VoLTESecurite de la voix sur LTE : ensemble de protections d'authentification IMS, de signalisation et de media qui securisent les appels SIP/RTP transportes sur des bearers 4G ou 5G.
Segmentation réseauPratique consistant à découper un réseau en plusieurs zones, avec un trafic contrôlé entre elles, afin de contenir les compromissions et d'appliquer le moindre privilège.
Serveur proxyServeur intermédiaire qui relaie les requêtes des clients vers d'autres serveurs, masquant le client et permettant une inspection, un filtrage ou une mise en cache centralisés.
SFTPSous-systeme securise de transfert de fichiers fonctionnant dans une session SSH sur le port TCP 22, qui offre des operations authentifiees et chiffrees sur fichiers et repertoires.
Sous-reseauPlage contigue d'adresses IP partageant un prefixe commun, definissant un unique domaine de diffusion et une frontiere de routage sur le reseau.
SPF (Sender Policy Framework)Mécanisme d'authentification d'e-mail du RFC 7208 permettant à un domaine de publier dans le DNS quelles adresses IP ou quels hôtes sont autorisés à émettre du courrier avec son domaine dans le MAIL FROM d'enveloppe.
SSESSE est la moitie securite de SASE : un ensemble livre depuis le cloud combinant SWG, CASB, ZTNA et souvent DLP et FWaaS pour proteger les flux vers internet, le SaaS et les applications privees.
SSHProtocole reseau cryptographique (RFC 4251, port 22) qui fournit une session a distance, l'execution de commandes et des tunnels authentifies, chiffres et integres sur un reseau non fiable.
SSL (Secure Sockets Layer)Prédécesseur historique de TLS, conçu par Netscape dans les années 1990 pour chiffrer le trafic web, aujourd'hui officiellement obsolète.
SSL StrippingAttaque de l'homme du milieu qui dégrade silencieusement la connexion HTTPS de la victime en HTTP en clair, permettant à l'attaquant de lire et modifier le trafic.
STARTTLSExtension SMTP, IMAP, POP3 et XMPP définie par le RFC 3207, qui passe une connexion en clair à TLS après la salutation du protocole, permettant un chiffrement opportuniste entre serveurs et clients.
SWGUn Secure Web Gateway (SWG) est un proxy — on-premise ou cloud — qui inspecte le trafic web utilisateur, applique la politique d'usage et bloque malware, phishing et exfiltration.
Système de détection d'intrusion (IDS)Contrôle de sécurité passif qui surveille l'activité réseau ou hôte à la recherche de comportements malveillants et émet des alertes sans bloquer le trafic.
Système de prévention d'intrusion (IPS)Contrôle de sécurité en coupure qui détecte le trafic malveillant et le bloque, réinitialise ou nettoie activement en temps réel.
TACACS+Protocole AAA développé par Cisco qui sépare authentification, autorisation et comptabilité et chiffre l'intégralité de la charge utile entre client et serveur.
TCPProtocole de transport oriente connexion (RFC 9293) qui fournit un flux d'octets ordonne, fiable et regule en congestion entre deux extremites sur IP.
TCP/IPSuite de protocoles Internet en quatre couches qui definit comment les paquets sont adresses, routes, fragmentes et delivres de maniere fiable entre hotes sur des reseaux interconnectes.
TLS (Transport Layer Security)Protocole cryptographique standardisé par l'IETF qui fournit confidentialité, intégrité et authentification au trafic entre deux applications en réseau.
TLS mutuel (mTLS)Extension de TLS dans laquelle le client et le serveur présentent tous deux des certificats X.509 pour s'authentifier mutuellement de manière cryptographique.
TLS opportunistePosture de chiffrement où deux parties utilisent TLS si elles le supportent et reviennent au texte clair sinon, typique du SMTP entre serveurs avec STARTTLS sans authentification forte.
Tunneling DNSCanal cache qui encode des donnees arbitraires dans des requetes et reponses DNS sur UDP/TCP port 53, frequemment utilise pour le C2 et l'exfiltration de donnees.
Tunneling VPN partage (split tunneling)Configuration VPN qui ne route que certains flux (sous-reseaux d'entreprise, par exemple) dans le tunnel chiffre, le reste sortant directement sur Internet.
Types de cles SSHAlgorithmes de cles asymetriques acceptes par OpenSSH pour l'authentification utilisateur et hote : RSA, ECDSA (courbes NIST) et le defaut moderne Ed25519.
UDPProtocole de transport sans connexion (RFC 768) qui delivre des datagrammes individuels entre ports avec une surcharge minimale, sans garantie de fiabilite ni d'ordre.
VLANUn VLAN (IEEE 802.1Q) regroupe des ports de commutateur en domaines de diffusion distincts en taguant les trames Ethernet avec un VLAN ID sur 12 bits.
VPN (Réseau Privé Virtuel)Technologie qui crée un tunnel chiffré et authentifié sur un réseau public afin que le trafic semble transiter par un réseau privé.
VPN d'accès distantVPN qui permet à un utilisateur de relier en toute sécurité un ordinateur portable ou un mobile au réseau d'entreprise depuis n'importe quel endroit connecté à Internet.
VPN site-à-siteTunnel chiffré persistant entre deux réseaux — agences, datacenters ou VPC cloud — permettant aux hôtes de chaque côté de communiquer de façon transparente.
VPN SSLVPN qui encapsule le trafic dans TLS (historiquement SSL), offrant un accès distant via les ports web standards sans protocole VPN dédié.
VPN toujours actif (Always-On VPN)Politique au niveau de l'appareil qui etablit le tunnel VPN des qu'un reseau est disponible et refuse tout trafic hors tunnel, imposee par des profils Windows, Apple et Android.
WAAPWAAP (Web Application and API Protection) est l'evolution moderne du WAF, ajoutant securite des API, gestion des bots et mitigation DDoS dans un service cloud unifie.
WEP (Wired Equivalent Privacy)Premier protocole de confidentialité Wi-Fi, datant de 1997, aujourd'hui considéré comme cassé et inadapté à tout usage en production.
Wi-Fi 6EExtension du Wi-Fi 6 (802.11ax) a la bande des 6 GHz, ou la Wi-Fi Alliance impose une securite WPA3-only pour les equipements et reseaux certifies.
Wi-Fi 7Nom commercial de la norme IEEE 802.11be, qui introduit des canaux de 320 MHz, le 4K-QAM et le Multi-Link Operation, avec WPA3 comme base de securite obligatoire.
WireGuardProtocole VPN moderne et minimaliste, utilisant un jeu fixe de primitives cryptographiques actuelles, intégré au noyau Linux.
WPA2Deuxième génération de Wi-Fi Protected Access, fondée sur AES-CCMP et IEEE 802.11i, devenue le standard de fait de la sécurité Wi-Fi depuis 2004.
WPA3Troisième génération de Wi-Fi Protected Access, introduisant une authentification SAE, le forward secrecy et des protections renforcées pour le Wi-Fi personnel et entreprise.
Zone démilitarisée (DMZ)Segment réseau tampon hébergeant les services exposés à l'extérieur, isolé du LAN interne afin de limiter le rayon d'impact d'une compromission.
ZTNAZTNA est un modele qui n'accorde l'acces a une application privee qu'apres verification continue de l'identite, du poste et du contexte ; jamais d'acces reseau par defaut.