d.soria

/d.soria

À propos de d.soria

Cet auteur n'a pas encore renseigné de détails.
Jusqu'à présent d.soria a créé 4 entrées de blog.

TV5 Piratage emblématique

Cet article est rédigé moins de 24h après les faits constatés d’interruption des activités de TV5. Les éléments présentés dans cet article sont donc à prendre avec prudence. La toute récente attaque informatique dont vient d’être victime TV5 semble malheureusement trop représentative d’un déficit global d’approche correcte vis-à-vis de la sécurité. A l’heure où nous écrivons, les éléments techniques ayant permis cette attaque ne sont pas encore clairement connus. Néanmoins un certain nombre de points cruciaux sont déjà à relever.   Prévisible? Oui quand même. Que les conséquences de cette attaque aient surpris tout le monde est normal, c’est impressionnant. [...]

Par | 2015-04-10T14:58:34+01:00 avril 10th, 2015|Blog|

Vulnérabilité Bash – Exécution de code dans une variable d’environnement

Une vulnérabilité "amusante" a été découverte dans les versions de Bash jusqu'à la 4.3 (CVE-2014-6271). Celle-ci pourrait faire parler d'elle au même titre qu'Heartbleed. Bash ne stoppant pas l'interprétation des données à la suite d'une définition de fonction dans les variables d'environnement, un attaquant peut forger une variable contenant du code qui sera exécuté dès que le shell est appelé. Vous n'avez pas encore peur ? ca va venir... Certains programmes utilisent le shell Bash et traitent des variables d'environnement, et c'est la que le bas blesse : on se retrouve avec une exécution de code à distance sans authentification. [...]

Par | 2014-09-25T10:29:46+01:00 septembre 25th, 2014|Actualité, Technique|

Jeux en ligne – Bonnes pratiques et erreurs fréquentes

Depuis juin 2010 et l’ouverture des jeux et paris en ligne, les opérateurs de jeux en ligne doivent garantir la sécurité de leurs logiciels de jeux, des joueurs et des transactions effectuées sur leurs sites Internet. Dans ce but, les opérateurs doivent obtenir une certification basée sur des contraintes techniques, juridiques et financières auprès de L’Autorité de Régulation des Jeux En Ligne (ARJEL). L’ARJEL a officiellement référencé ITrust comme Organisme Certificateur (Organismes certificateurs). L’organisme certificateur est en charge de vérifier le respect de ces contraintes en vue de délivrer la certification à l’opérateur de jeux.   Retour d’expérience Nos différents [...]

Par | 2014-07-21T16:55:36+01:00 juillet 21st, 2014|Actualité, Technique|

« On ne risque pas de se faire pirater, on est trop petit »

Cette phrase revient très souvent lors des phases commerciales préalables à la réalisation d’un test d’intrusion. Généralement les entreprises s’adressent à nous lorsque le mal a déjà été fait ET qu’elles s’en sont rendu compte, exprimant au passage leur étonnement d’avoir été une cible. La vérité est que le fait d’être « petit » est justement un critère de choix pour un pirate. Que cherche à faire un pirate ? « Voler des données industrielles de l’entreprise » C’est la réponse majoritairement présente dans l’esprit des entreprises, les petites se sentant donc moins visées car n’ayant pas des données d’aussi [...]

Par | 2014-06-09T15:09:41+01:00 juin 9th, 2014|Technique|