Sujets
Documents disponibles dans cette catégorie (43)
Article : texte imprimé
Lucas Visintin, Auteur ; Jordan Samhi, Auteur | 2024"Les ERP ont le vent en poupe dans les entreprises. Surtout les gratuits et open source ! Odoo est le meilleur exemple d'ERP++, c'est-à-dire qu'il fait à peu près tout avec son système de modules intégrables. Il est très utilisé, avec plus de 7 millions d'utilisateurs dans le monde ! Comme nous ...Article : texte imprimé
Celteam Cristal, Auteur | 2024"Focus sur l'exploitation approfondie d'une vulnérabilité au sein d'une solution de 2FA rencontrée lors d'un audit. Ou comment la faiblesse d'un unique maillon casse l'ensemble de la chaîne d'authentification." (Extrait de MISC n°131)Article : texte imprimé
Charles Fol, Auteur | 2024"Les serveurs VPN (Fortigate, Pulse Secure, Palo Alto, etc.) sont une cible de choix pour les attaquants. Et pour cause : ils donnent un accès privilégié au réseau des entreprise, et sont souvent exempts de contrôles par des antivirus ou des EDR. Nous présentons ici un moyen d'obtenir une exécut...Article : texte imprimé
2023"La BOLA (Broken Object Level Authorization, ou Autorisation défaillante au niveau de l’objet) est largement représentée dans le ‘top 10’ OWASP, étant effectivement la première vulnérabilité à prendre en compte et celle qui est le plus fréquemment exploitée dans les API." (Extrait de [Programmez !] HS n°12)Article : texte imprimé
Marc-Antoine Ledieu, Auteur | 2023"Rechercher et identifier des vulnérabilités, c'est bien. Rechercher et identifier des vulnérabilités dans le respect des règles légales, c'est mieux. Mais quelles sont les règles applicables au bug bounty ? Regardons ce qu'il en est côté plateforme et côté pentester." (Extrait de MISC n°129)Article : texte imprimé
Romy Alula, Auteur | 2023"À l’instar des principes S.O.L.I.D. pour la programmation orientée objet, je me demandais s’il existait des hypothèses ou fondements en matière de sécurité logicielle. Le projet « OWASP Top 10 Companion Workbook » d’Olivia Dell (www.olivialiddell.com/projects) m’a aidée à mieux compre...Article : texte imprimé
Guillaume Renouard, Auteur | 2023"Le spécialiste de la supervision et de la sécurité des environnements cloud vient de lancer un nouvel outil permettant de repérer les vulnérabilités du code open source utilisé par les entreprises et de déterminer les failles qui doivent être traitées en priorité pour parer les risques de cyberattaques." (...Article : texte imprimé
Jordan Samhi, Auteur | 2023"Les plateformes de bug bounty sont des espaces permettant de connecter des chercheurs en sécurité et des organisations dans le but de signaler des vulnérabilités dans les systèmes de ces organisations, en échange d'une récompense pour les chercheurs. Ces plateformes gagnent en popularité pour les entreprises, car elles fournis...Article : texte imprimé
Jean-Baptiste Aviat, Auteur | 2023"Comprendre précisément le fonctionnement d'un système est important pour la réalisation d'une attaque, mais également pour le maintenir en conditions opérationnelles. Les développeurs et devops utilisent des outils spécifiques pour observer et comprendre leurs systèmes en temps réel - et même de façon proactive." (Extrait de MISC n°126)Article : texte imprimé
Rémi Gascou, Auteur | 2023"Lors de recherche de vulnérabilités web sur des périmètres très vastes, il est essentiel d'automatiser la première phase de reconnaissance. Pour ce faire, les pentesters utilisent souvent des scanners de vulnérabilités, open source ou payants. Le plus connu d'entre eux est le scanner open source Nuclei, comportant de nombreuses fonction...Article : texte imprimé
Quentin Liddell, Auteur | 2023"GraphQL est certainement l'une des étoiles montantes du milieu des API. Il séduit toujours plus d'entreprises, et est actuellement déployé sur des centaines de milliers de sites. Armé de son langage homonyme et d'un paradigme bien différent du modèle REST, celui-ci tente de répondre à des problématiques d'optimisation, de simpl...Article : texte imprimé
Philippe Chadutaud, Auteur | 2022"Ceci est un exemple de processus pour la gestion des vulnérabilités, le but est de montrer les angles morts les plus communs." (Extrait de MISC n°124)Article : texte imprimé
Jordan Samhi, Auteur | 2022"A l'ère du numérique, de plus en plus d'aspects de notre vie se voient confiés à des programmes. Les chercheurs et les entreprises mettent sur pied des stratégies pour améliorer la qualité et la sécurité des programmes. Ceci dans le but de minimiser la probabilité d'apparition de bugs e...Article : texte imprimé
Jean-François Bette, Auteur | 2022"Pierre angulaire d'une posture de sécurité réussie, la gestion du patch management avec la phase de l'évaluation de l'exposition aux vulnérabilités est un exercice potentiellement complexe. Voyons quels sont les moyens qui sont à notre disposition et comment un nouveau format de description nous aide dans cette tâche." (Ext...Article : texte imprimé
Chaïmaa Kazar, Auteur | 2022"Les systèmes informatiques auront toujours des vulnérabilités. C’est inévitable. Heureusement, elles sont parfois découvertes par des hackers bienveillants. Il appartient alors aux entreprises et aux institutions de communiquer sur la marche à suivre si un hacker éthique venait à découvrir une brèche dans leurs périmètres. C’...Article : texte imprimé
2022"En janvier 2022, l’équipe du Threat Labs de CyberArk avait découvert la vulnérabilité CVE-2022-21893 dans Remote Desktop, et l’avait reporté à Microsoft. Cependant, après étude du correctif, nous avons identifié un vecteur d’attaque qui rendant la vulnérabilité encore exploitable sous certaines conditions. Suite à notre signalement...Article : texte imprimé
Paul Molin, Auteur | 2022"Tester une application Web pour trouver un maximum de vulnérabilités est long et complexe. D’une part, le nombre de failles potentielles grandit avec les fonctionnalités, le contenu, les données et les utilisateurs. Il devient très vite impossible de tout tester manuellement. D’autre part, les vulnérabilités sont souvent comp...Article : texte imprimé
Bastien Falchero, Auteur ; Lisa Daoudi, Auteur | 2022"Dans le domaine de la sécurité informatique, une vulnérabilité est définie par la norme ISO 27001 comme "une faiblesse d'actif ou d'un contrôle qui pourrait potentiellement être exploitée par une ou plusieurs menaces". Le système d'exploitation Microsoft Windows 10 n'échappe pas à ces vulnérabilités." (Extrait de MISC n°121)Article : texte imprimé
Colin O'Flynn, Auteur | 2021"In this article, Colin takes a look at a recently demonstrated fault injection attack on the AirTag device. While the AirTag alone has a limited attack surface, it opens the door for a variety of additional analysis. He looks at the process of going from consumer device, to identifiable vulnerability, ...Article : texte imprimé
Aymeric Lagier, Auteur | 2021"Dans une étude menée entre 2019 et 2020, Veracode rapporte que 76% des 132 465 applications analysées comportaient au moins une vulnérabilité critique. Comment aider les développeurs à prendre en compte la sécurité au sein de leurs tâches quotidiennes ?" (Extrait de Misc HS n°24)Article : texte imprimé
Thierry Doré, Auteur ; Francisco Falcon, Auteur ; Renaud Sébastien, Auteur | 2021"Cet article présente une approche possible qu'un reverse-engineer pourrait mettre en pratique afin d'aborder l'analyse d'un CVE : objectif, outillage, analyse et difficultés." (Extrait de MISC n°117)Article : texte imprimé
Philippe Langlois, Auteur | 2021"Les réseaux 5G allient encore plus de technologies différentes que les réseaux 4G, ce qui entraîne une complexité de réseau rarement égalée, et donc une sécurité bien difficile à assurer pour les opérateurs comme pour les clients. Malgré les améliorations de sécurité sur le service mobile ...Article : texte imprimé
Benoît Benedetti, Auteur | 2021"Il n'y a plus une semaine sans qu'une grande entreprise ne révèle publiquement qu'elle a été victime d'un piratage informatique. Entreprises privées, institutions publiques, et même sociétés de services spécialisées dans la cybersécurité, aucun secteur n'est épargné. Des technologies en évolution et en augmentation perpétuelles, et la prolifération incessan...Article : texte imprimé
Benoît Benedetti, Auteur | 2021"La lecture des articles précédents vous a donné envie de vous essayer au pentesting, envie que vous aviez même peut-être déjà. Nous allons désormais passer à la pratique, en mettant en application les concepts théoriques abordés dans le premier article." (Extrait de GNU/Linux Pratique HS n°50)texte imprimé
Laurane Beaudelot, Auteur ; Delphine Cordier, Auteur ; Danielle Debluts, Auteur ; Françoise Dubois, Auteur ; Judith Dupont, Auteur ; Nathalie Ferrard, Auteur ; Françoise Guillaume, Auteur ; Ingrid Godeau, Auteur ; Françoise Hoornaert, Auteur ; Perrine Humblet, Auteur ; Diane Huppert, Auteur ; Philippe Jadin, Auteur ; Serge La Haye, Auteur ; Vincent Magos, Auteur ; Catherine Marneffe, Auteur ; Claire Meerseman, Auteur ; Frédéric Muller, Auteur ; Axelle Pirotte, Auteur ; Claire-Anne Sevrin, Auteur ; Serge Tisseron, Auteur ; Reine Vander Linden, Auteur ; Nadine Vander Elst, Auteur ; Julie Fraiteur, Auteur ; Quentin Bullens, Auteur ; Marc Gérard, Auteur ; Juliette Vilet, Auteur | Bruxelles : Fédération Wallonie-Bruxelles | Temps d'arrêt | 2021Ce Temps d'arrêt hors série de 120 pages est disponible sur simple demande Il aborde des questions et les difficultés qui se posent aux enfants et à leurs parents et qui deviennent parfois un vrai cheval de bataille pour les professionnels. Comment soutenir ce petit dont les parents sont en confli...Article : texte imprimé
Manh-Dung Nguyen, Auteur | 2021"Le fuzzing guidé par la couverture de code tel qu'AFL est une technique efficace pour la recherche de vulnérabilités. Cet article va présenter un nouveau type de fuzzing, le fuzzing dirigé, et ses applications pratiques au niveau du source et du binaire." (Extrait de MISC n°113)Article : texte imprimé
Matthieu Caron, Auteur | 2021"ZeroLOgon est LA vulnérabilité de septembre 2020 qui expose de nombreux domaines Windows à une compromission totale via un scénario d'exploitation réaliste et fiable. Mais ce qui donne à Zerlogon ses lettre de noblesse c'est qu'elle repose essentiellement sur la mauvaise utilisation d'un algorithme cryptographique permettant de réaliser une att...Article : texte imprimé
Toby Ord, Auteur | 2020La pandémie nous a rappelé notre vulnérabilité face à un risque naturel d'extinction. Mais ce risque ne doit pas occulter ceux que nous avons créés de toutes pièces, tout aussi mortels. (extrait de TT, 52/2020, p.25)Article : texte imprimé
Tris Acatrinei, Auteur | 2020"Ce premier semestre 2020 se caractérise par une pérennisation de certaines attaques voire d'une consolidation. A côté des risques informatiques spécifiquement liés à l'épidémie de COVID-19, on observe que les mauvaises pratiques continuent de perdurer." (Extrait de GNU/Linux pratique HS n°48)Article : texte imprimé
Anthony Deroche, Auteur | 2020"Quand nous parlons attaque, cela nous évoque souvent exploit, faille logicielle, ou même déni de service distribué. Nous allons revenir à des fondamentaux réseaux assez bas niveau, juste après le monde physique, pour se rendre compte qu'il existe bel et bien des vulnérabilités facilement exploitables par un attaquant. Nous...Article : texte imprimé
Ange Albertini, Auteur | 2020"Vous trouvez un système indexant des fichiers via MD5. A quel point est-il vulnérable ? Depuis l'attaque en 2008 qui a généré un faux certificat SSL, la fonction d'empreinte MD5 est considérée comme inutilisable par les experts, car vulnérable en pratique. Cela dit, elle est encore souvent utilisé, et parfo...Article : texte imprimé
Imen Sayar, Auteur ; Alexandre Bartel, Auteur | 2020"Dans cet article, nous présentons une vulnérabilité de la version 3.1 de Commons Collections. Cette vulnérabilité, nommée "CommonsCollections1", permet à un attaquant l'exécution d'un code arbitraire ou Remote Code Execution (RCE). Ce travail reprend certains concepts des deux articles publiés dans les versions précédentes de MISC en 2018 et 2019." (Extra...Article : texte imprimé
Emma Seppälä, Auteur | 2020"Être vulnérable implique d’avoir le courage d’être soi-même. Cela signifie remplacer "distance et froideur professionnelles" par des incertitudes, des risques et une exposition émotionnelle." (Extrait de l'article)Article : texte imprimé
Nicolas Delhaye, Auteur | 2020"En juillet 2019, je me suis penché sur la sécurité d'un antivirus grand public, connu sous le nom de "Avira". Lors de cette analyse, j'ai identifié, dans le driver en charge d'authentifier un programme exécutable, une vulnérabilité menant à une élévation de privilèges. Après une brève présentation du composan...Article : texte imprimé
Quentin Meffre, Auteur | 2020"A quoi ressemblent les vulnérabilités découvertes sur les navigateurs actuels ? Cet article fait état de l'évolution des vulnérabilités modernes, notamment au travers d'exemples sur la navigateur Safari." (Extrait de MISC n°108)Article : texte imprimé
Philippe Charrière, Auteur | 2020"Dans cet article nous allons découvrir que l'on peut utiliser un GitLab runner installé sur son poste en local pour exécuter la CI d'un projet distant hébergé sur GitLab.com (donc sans utiliser les shared runners, mais vos propres ressources), nous verrons aussi comment utiliser ses propres outils dans...Article : texte imprimé
Fabien Perigaud, Auteur | 2020"Les navigateurs sont depuis plusieurs années une cible de choix pour obtenir une exécution de code arbitraire initiale dans la chaîne de compromission d'un équipement "client", que ce soit une station de travail classique ou un smartphone. La prolifération des vulnérabilités et techniques d'exploitation encourage les éditeurs à m...Article : texte imprimé
Flavien Joly Pottuz, Auteur ; Gäel Le Breton, Auteur ; Stefano Secci, Auteur | 2020"La communauté OpenStack s'est dotée d'un processus de traitement des vulnérabilités rigoureux, permettant de corriger au plus vite les anomalies découvertes. Dans cet article, nous aborderons le fonctionnement d'OpenStack et le processus de correction de vulnérabilités. Nous terminerons par l'explication et la reproduction d'une vulnérabilité révélée en janvier 2019." ...Article : texte imprimé
Article : texte imprimé
Nicolas Vieux, Auteur | 2019"Cela fait 20 ans qu'une vulnérabilité présente dans OpenSSH permet d'énumérer les utilisateurs. Elle a été rendue publique le 17 août 2018 sous la référence CVE ID 2018-15473. Du fait de sa facilité d'exploitation, ...Article : texte imprimé
Adi Ignatius, Intervieweur ; Sheryl Sandberg, Personne interviewée ; Adam Grant, Personne interviewée | 2018"Sheryl Sandberg semblait mener une vie idéale : elle avait un excellent travail, une famille aimante, et elle avait écrit un livre à succès. Mais au printemps 2015, son mari, David Goldberg, fut terrassé par une crise cardiaque alors que le couple était en ...Article : texte imprimé
Arthur Provost, Auteur ; Oliver Levillain, Auteur | 2018"La messagerie électronique est une des applications les plus utilisées d'Internet. Il est donc naturel de s'intéresser à la sécurité des protocoles servant à l'acheminement des courriers électroniques. En première approche, il existe deux éléments &...Article : texte imprimé
Thomas Chauchefoin, Auteur ; Julien Egloff, Auteur | 2018"Début octobre 2017, une vulénrabilité a été découverte par Chris Salls dans l'implémentation de l'appel système waitid au sein du noyau GNU/Linux, permettant notamment d'écrire des données dans l'espace mémoire ...