P-S

A-C | D-H | I-O | P-S | T-Z

P

  • Parameter tampering Technique qui consiste à modifier ou ajouter des contenus aux champs des formulaires transitant par le navigateur. Elle profite des architectures réparties qui permettent aux utilisateurs indélicats de voir et modifier les formulaires et les champs cachés
  • Parefeu réseau ou firewall périmétrique Système qui permet de contrôler le trafic circulant entre plusieurs réseaux. Un firewall peut être de plusieurs natures notamment à filtre de paquets (packet filter) ou à relais applicatifs (proxy)
  • Passerelle - gateway Dispositif permettant de relier deux réseaux informatiques différents, comme par exemple un réseau local et l'Internet. Le plus souvent, elle sert aussi de pare-feu
  • Patch - correctif cf. correctif
  • Patching virtuel cf. just-in time patching
  • Path traversal Technique qui consiste à forcer l'accès à des fichiers, répertoires ou commandes qui résident potentiellement en dehors du site 'officiel'. Un attaquant manipulera une URL de façon à ce que le site web exécute ou révèle les contenus de fichiers arbitraires. Toute application exposant une interface HTTP est potentiellement vulnérable. BinarySEC stoppe ce type fréquent d'attaque.
  • Pattern matching Sélection des données en les faisant passer au travers d'un filtre. Plus spécifiquement, en sécurité applicative, vérification de la conformité à un standard établi -par exemple RFC791 pour le protocole HTTP
  • PCI Standards Les 'Payment Card Industry Data Security Standards' sont un ensemble de 12 règles et bonnes pratiques qu'une entreprise acceptant les paiements par carte doit respecter. Par exemple, construire un réseau sécurisé, protéger les données des porteurs de cartes, définir et appliquer une politique stricte de sécurité. Extrait des PCI DSS, règle 6.6 : 'S'assurer que les applications avec une interface web sont protégées contre les attaques connues en appliquant l'une des méthodes suivantes : (1) Faire réviser par une organisation spécialisée en sécurité applicative le code des applications développées en interne contre les vulnérabilités courantes, (2) Installer un firewall au niveau applicatif devant les applications avec une interface web. Note: cette méthode est considérée comme une 'bonne pratique' jusqu'au 30 juin 2008. Après cette date, elle deviendra une obligation.' BinarySEC protège les codes développés en interne. De plus, c'est un firewall applicatif qui protège contre les attaques connues ET inconnues sur un site web.
  • Perl script Script écrit en langage
  • Perl. acronyme de Practical Extraction and Report Language optimisé pour le traitement du texte. Un script est un programme court écrit en langage interprété
  • Pharming Exploitation d'une vulnérabilité des serveurs de noms de domaine -DNS- pour rediriger l'internaute d'un site web vers un autre site sans qu'il s'en aperçoive
  • Phishing - hameçonnage Acte de malveillance consistant à associer un message électronique non sollicité (spam) à un site (ou une page) Web illégal reproduisant l’aspect d’un site commercial légitime et incitant l’internaute à y déposer ses coordonnées, en particulier bancaires
  • PHP - PHP Hypertext Processor PHP, associé notamment à Apache et à la base de données Mysql, est le langage le plus populaire pour les sites webPHP est un langage interprété exécuté du côté serveur (comme les scripts CGI, ASP, ...) et non du côté client (un script en Javascript ou une applet Java s'exécute sur votre ordinateur...). BinarySEC est un partenaire actif du Projet PHP
  • Phreaking - piratage téléphonique Le piratage téléphonique - ou phreaking en anglais - désigne le fait d'utiliser le réseau téléphonique d'une manière non prévue par l'opérateur afin par exemple de rester anonyme
  • Piratage - hacking Le piratage est un ensemble de techniques informatiques, visant à attaquer un réseau, un site, un ordinateur, etc. Les attaques peuvent être locales ou distantes. Les motivations sont diverses : vol d’informations, fraude économique, vérification de la sécurisation d’un système, chantage, terrorisme, jeu, le défi, volonté de comprendre, ...
  • Polluriel ou pourriel ou spam cf. spam
  • Port Porte unique sur la machine qui l’héberge, c'est en fait un espace mémoire destiné à l'échange entre 2 ordinateurs pour un type d'application précis - par exemple 80 pour les flux HTTP. Le port est numéroté de 1 à 65535. Le tandem adresse IP + port (appelé socket) représente l’adresse unique identifiant le service sur la machine
  • Porte dérobée - backdoor Programme malicieux visant à détourner les fonctionnalités d’un service ou d’un système en ouvrant sur la machine touchée des canaux d’accès masqués et utilisés par une personne malveillante
  • Positif -modèle de sécurité positif Approche de la sécurité consistant à n'accepter QUE ce qui est explicitement autorisé
  • Post - méthode L'une des méthodes du protocole HTTP consistant en l'envoi de données au programme situé à l'URL spécifiée
  • Pourriel ou polluriel ou spam cf. spam
  • Proxy server - serveur mandataire Serveur qui a pour fonction de relayer différentes requêtes et d'entretenir un cache des réponses. Plus précisément, ses principales fonctions sont : le cache, la journalisation des requêtes ('logging'), la sécurité du réseau local, le filtrage et l'anonymat

R

  • Refus de service cf. déni de service
  • Relais de messagerie Application ou serveur situé entre internet et un serveur de messagerie interne. Le relais de messagerie assume généralement des fonctions indispensables de sécurité comme l'analyse de contenu afin de lutter contre les virus, le spam, les fuites d'information et la capacité à chiffrer les échanges
  • Reverse engineering Consiste à disséquer quelque chose pour comprendre comment il fonctionne. Les pirates utilisent souvent cette approche pour trouver des failles à exploiter
  • Risque probabilité qu’un danger ne survienne et cause des dommages. Pour les applications web, il s’agit de l’exploitation d’une ou plusieurs failles, par un élément menaçant (pirate, virus, employé indélicat, etc) employant une méthode d’attaque et de l’impact sur les données visées. Risque = probabilité de survenue d'un incident * gravité de l'incident
  • Rootkit Programme permettant à un pirate de maintenir - dans le temps - un accès frauduleux à un système informatique. Le pré-requis du rootkit est une machine déjà compromise

S

  • Sarbanes-Oxley Loi américaine destinée à renforcer la responsabilité des dirigeants d'entreprise dans les domaines de l'audit interne et dans la transmission de l'information à l'extérieur. Elle a des conséquences importantes en matière de protection des données et des flux d'information qui se traduisent par des règles de sécurité informatique plus strictes pour les entreprises
  • Scam Escroquerie qui utilise la messagerie électronique consistant à tenter d’extorquer des fonds à des internautes en leur faisant miroiter une somme d’argent dont ils pourraient toucher un pourcentage
  • Scanning Le fait de tenter exhaustivement une connexion par exemple sur une plage d'adresses IP et sur tous les ports possibles pour voir si le port est ouvert
  • Script - langage de script Langages de programmation créés pour raccourcir le processus traditionnel de développement édition/compilation/édition des liens/exécution. Pour les technologies web, les langages de script les plus courants sont : PHP, ASP, Python, Perl, Ruby, Javascript, VBScript. Ils s'interprétent soit sur le serveur soit dans le navigateur du client
  • Script kiddie Informaticien débutant capable de faire tourner une poignée de scripts pouvant lui donner un accès non autorisé à un système
  • Scripting language cf. Script
  • Secure Socket Layer - SSL cf. SSL
  • Serveur dédié cf. hébergement dédié
  • Serveur mutualisé cf. hébergement mutualisé
  • Service web - web service cf. web service
  • S-HTTP cf. HTTPS
  • Signature virus C'est le code contenu dans un programme de type viral qui permet de l'identifier à coup sûr. Les outils antivirus ont longtemps utilisé ce type de reconnaissance pour les détecter. Avec l'arrivée de nouvelles génération de virus polymorphiques -changeant de forme et d'aspect-, ce moyen de détection n'est malheureusement plus suffisant
  • Site web - website L'ensemble de pages web -au format HTML- et autres informations comme les images, le son, les fichiers vidéo, etc. qui sont rendus disponibles via un nom de domaine
  • SMIME Secure Multi-purpose Internet Mail Extensions. S/MIME est un protocole de chiffrement de messages électroniques reposant sur la technique de cryptographie asymétrique RSA. S/MIME assure l'authenticité d'un message et sa confidentialité
  • Soap - Simple Object Access Protocol Protocole permet la transmission de messages entre objets distants. Le transfert se fait le plus souvent à l'aide du protocole HTTP
  • Social engineering cf. ingéniérie sociale
  • Spam Message électronique non sollicité envoyé en masse
  • Spim Message électronique indésirable reçu sur un service de messagerie instantanée Spyware Logiciel qui emploie la connexion internet de l’utilisateur, sans qu’il le sache ou sans sa permission explicite, pour transmettre des informations à des tiers
  • SQL Injection cf. injection SQL
  • SSL -Secure Socket Layer Protocole basé sur l'utilisation de certificats, permettant de sécuriser la transmission entre un serveur et un client web. Le SSL permet aux entreprises commerciales d'avoir un dialogue sécurisé avec ses clients pour le paiement de biens ou de services. Il utilise un système de cryptage avec algorithme à clé publique/privée. Tous les échanges entre le serveur et le client sont encryptés. Ce système est transparent pour l'utilisateur
  • Stealth -furtif cf. furtif