La faille Heartbleed
Découvrez la faille Heartblled, vulnérabilité sur certains serveurs utilisants le protocol SSL.
Introduction à la méthodologie de l’Open Source Intelligence (OSINT)
Vos données sont-elles compromises ? HaveIBeenPwned ouvre son code source et promet une nouvelle ère de transparence et de collaboration dans la lutte contre les violations de données. Suite à un projet de mise en vente en juin 2019 et un abandon de ce projet après 10 mois de recherche infructueuse en mars 2020, Troy Hunt, créateur […]
Intégrer l’authentification forte dans ses développements (OTP)
Avec la montée en puissance des mécanismes d’authentification forte à multiple facteurs, l’utilisation des « One-Time Password » (OTP) se généralise et se démocratise. Un exemple parlant, le protocole « 3D-Secure » qui est utilisé dans le secteur bancaire pour valider un achat effectué sur l’Internet via un code numérique unique transmis par SMS au téléphone du client. Le […]
Ingénierie sociale : le piège le plus insidieux des cyberattaques
L’ingénierie sociale regroupe des techniques de manipulation psychologique visant à exploiter la confiance humaine. Le but est de manipuler des individus afin qu’ils partagent des informations sensibles, téléchargent et exécutent des logiciels malveillants ou qu’ils commettent des erreurs afin de compromettre leur sécurité ou celle de leur organisation. Les attaquants manipulent leurs victimes en se faisant passer pour des personnes […]
Comment importer des passwords hachés d’une base SQL vers un LDAP
Comment convertir des hashs MD5-SQL vers des MD5-LDAP, et vice-versa ? Cette problématique est régulièrement rencontrée dès lors qu’une entreprise ou qu’un client s’engage dans un process IAM. L’idée est de mettre en place un référentiel unique, type LDAP/AD, comprenant de manière centralisée tous les comptes utilisateurs (internes / externes / prestataires) afin de les […]
ILEX – Les nouveautés de Sign&go 6.0
Sign&go est une solution de global SSO (Single sign-on – authentification unique) de notre partenaire l’éditeur français ILEX. La nouvelle version, Sign&go 6.0, sortie le 13 mai 2015 comprend son lot de nouveautés que nous allons nous empresser de découvrir tout au long de cet article. Nous aborderons également les évolutions apportés aux anciennes fonctionnalités qui étaient déjà présentent. Intéressons-nous […]
HSTS : Le protocole HTTPS strict standardisé
Le protocole HTTPS présentant des faiblesses de sécurité, un nouveau protocole a vu le jour et vient tout juste d’être standardisé par l’IETF (Internet Engineering Task Force) dans le RFC 6797 : il s’agit du protocole HSTS (pour Http Strict Transport Security). Ce protocole a été mis en place afin de forcer un utilisateur à se connecter […]
Phishing : le guide de survie by Synetis
Cet article a pour but d’initier à la menace bien connue qu’est le phishing, mais surtout de présenter les habitudes à prendre lors de la réception d’un email, afin de d’éviter ou tout du moins réduire le risque d’être compromis par une campagne de phishing. Il s’agit plus là d’un guide de survie à l’attention […]
Gestion des mots de passe côté backend, Hash & Assaisonnement !
Les mots de passe et leurs stockages représentent une vraie problématique aujourd’hui, bien qu’il existe de nombreuses solutions côté client (pour la création/stockage de mots de passe) jugées sûres (tels que les gestionnaires de mots de passe à condition d’avoir une master key robuste), la gestion côté serveur n’est pas toujours bien assurée, cet article […]
FIDO – Nouveau standard d’autenthentification
L’alliance FIDO est un regroupement d’industries désireuses de développer de nouvelles spécifications d’authentification forte afin d’arriver progressivement vers une réduction considérable d’authentifications par mots de passe et autres codes PIN. Nous le savons tous, l’utilisation de mots de passe est une vraie contrainte pour les utilisateurs et souvent une source de faiblesse dans la sécurité globale des SI […]