Table des matières
MAC
Message Authentication Code
Standard permettant de garantir l'intégrité d'un message.
Le concept est relativement semblable aux fonctions de hachage. Il s’agit ici aussi d’algorithmes qui créent un petit bloc authentificateur de taille fixe. La grande différence est que ce bloc authentificateur ne se base plus uniquement sur le message, mais également sur une clé secrète.
Tout comme les fonctions de hachage, les MAC n’ont pas besoin d’être réversibles. En effet, le récepteur exécutera le même calcul sur le message et le comparera avec le MAC reçu.
Le MAC assure non seulement une fonction de verification de l'intégrité du message, comme le permettrait une simple fonction de hachage mais de plus authentifie l’expéditeur, détenteur de la clé secrète. Il peut également être employé comme un chiffrement supplémentaire (rare) et peut être calculé avant ou après le chiffrement principal, bien qu’il soit généralement conseillé de le faire avant.
- CBC-MAC
- HMAC
- CMAC
- OMAC
Media Access Control
Le Contrôle d'accès au support (Media Access Control en anglais ou MAC) est une sous-couche, selon les standards de réseaux informatiques IEEE 802.x, de la partie inférieure de la couche de liaison de données dans le modèle OSI. Elle sert d'interface entre la partie logicielle contrôlant la liaison d'un nœud (Contrôle de la liaison logique) et la couche physique (matérielle). Par conséquent, elle est différente selon le type de média physique utilisé (Ethernet, Token Ring, WLAN, …)
Voir:
Media Access Control Address
En réseau informatique une adresse MAC (Media Access Control address) est un identifiant physique stocké dans une carte réseau ou une interface réseau similaire et utilisé pour attribuer mondialement une adresse unique au niveau de la couche de liaison (couche 2 du modèle OSI). C'est la partie inférieure de celle-ci (sous-couche d'accès au média – Media Access Control) qui s'occupe d'insérer et de traiter ces adresses au sein des trames transmises.
Les adresses MAC, attribuées par l'IEEE, sont utilisées dans beaucoup de technologies réseau, dont les suivantes :
- ATM ;
- Ethernet et AFDX ;
- Réseaux sans fil Bluetooth ;
- Réseaux sans fil Wi-Fi ;
- Token Ring ;
- ZigBee
Une adresse MAC est constituée de 6 octets et est généralement représentée sous la forme hexadécimale, en séparant les octets par un double point ou un tiret. Par exemple 5E:FF:56:A2:AF:15 (elle est également appelée adresse physique). L'adresse FF:FF:FF:FF:FF:FF est particulière, les données sont envoyées à l'ensemble du réseau local (adresse de broadcast).
Les concepteurs d'Ethernet ayant eu la présence d'esprit d'utiliser un adressage de 48 bits, il existe potentiellement 248 (environ 281 000 milliards) d'adresses MAC possibles. L'IEEE donne des préfixes de 24 bits aux fabricants (appelé Organizationally Unique Identifier - OUI), ce qui offre 224 (environ 16 millions) d'adresses MAC disponibles par constructeur.
Voir:
Mandatory Access Control
Le Mandatory access control (MAC) ou contrôle d'accès obligatoire est une méthode de gestion des droits des utilisateurs pour l'usage de systèmes d'information.
Il existe d'autres méthodes telles que :
- le contrôle d'accès discrétionnaire (ou Discretionary Access Control - DAC) ;
- le contrôle d'accès à base de rôles (ou Role-Based Access Control - RBAC).
Le contrôle d'accès obligatoire est utilisé lorsque la politique de sécurité des systèmes d’information impose que les décisions de protection ne doivent pas être prises par le propriétaire des objets concernés, et lorsque ces décisions de protection doivent lui être imposées par le dit système. Le contrôle d'accès obligatoire doit permettre d'associer et de gérer des attributs de sécurité relatifs à cette politique, sur les fichiers et processus du système.
Les types de politiques de sécurité possibles pour un système informatique sont pris en compte pour déterminer sa classification en termes de niveau d'assurance selon la méthodologie « Critères communs », anciennement ITSEC (1991) ou TCSEC américaine de 1985 (DOD 5200.28) ayant défini le fameux niveau « C2 ». Se référer aux profils CAPP (Controlled Access) et LSPP (Labelled security) du niveau d'assurance EAL3 (ancien ITSEC E2).
Voir:
- Simplified_Mandatory_Access_Control_Kernel: Smack est un module de sécurité du noyau Linux, permettant d’implémenter un contrôle d'accès obligatoire basé sur des labels. Il repose sur le framework LSM et a été intégré dans la version 2.6.25 de Linux
- AppArmor, https://wiki.ubuntu.com/AppArmor, (Application Armor) est un logiciel de sécurité pour Linux. AppArmor a été créé en partie comme une alternative à SELinux, critiqué pour être difficile à paramétrer et à maintenir par les administrateurs. À la différence de SELinux, qui s'appuie sur l'application d'indicateurs aux fichiers, AppArmor travaille avec les chemins. AppArmor permet à l'administrateur système d'associer à chaque programme un profil de sécurité qui restreint ses accès au système d'exploitation. Il complète le traditionnel modèle d'Unix du contrôle d'accès discrétionnaire (DAC, Discretionary access control) en permettant d'utiliser le contrôle d'accès obligatoire (MAC, Mandatory access control). En plus des profils de spécifications manuels, AppArmor comprend un mode d'apprentissage (learning mode), où toutes les transgressions au profil sont enregistrées, mais pas empêchées. Ce fichier de suivi peut alors être incorporé au profil, se fondant alors sur le comportement typique du programme.
- TOMOYO_Linux, http://tomoyo.sourceforge.jp/index.html.en, Tomoyo's readme. TOMOYO Linux is a Mandatory Access Control (MAC) implementation for Linux. Since 2009, LSM has been extended with new hooks which allowed TOMOYO Linux to standardize its MAC (for files only, at the moment). After this, it was merged as the third standard LSM module, along with SELinux and SMACK.