Technique

/Technique

NetSpectre : menace fantôme ou apocalypse now ?

Janvier 2018, grand retentissement dans le monde de la cybersécurité : un rapport traitant d’une nouvelle menace est publié. Cette faille de sécurité appelée Spectre permet de lire l’ensemble de la mémoire d’un ordinateur, tablette ou smartphone et donc d’accéder à leurs données. Elle peut également lire les saisies clavier… Big Brother le retour… Un nouveau rapport de l’Université de Technologie de Graz en Autriche vient juste de sortir en mettant en avant la faille NetSpectre découlant directement de Spectre. Alors comment fonctionne Spectre ? En quoi NetSpectre varie de sa grande sœur et quels sont les impacts de cette faille ? S’agit-il [...]

Par | 2019-01-09T17:10:48+02:00 août 2nd, 2018|Blog, Technique|

Quel rôle pour la sécurité informatique dans la transformation numérique ? (Part II)

Comme nous l'avons vu dans l'article précédent, la non gestion du risque ou sa mise en place bancale est un signe du désintéressement des décideurs sur ce sujet et de la difficulté à mettre en place une bonne pratique de sécurité informatique.   Pour quelles raisons le facteur « risque informatique » est-il minoré ? De trop nombreuses entreprises et administrations minimisent encore le risque encouru par la transformation numérique. Le risque virtuel intangible est parfois difficile à appréhender par l’humain, ce n’est pas un risque intuitif. Le/la RSSI (Responsable de la Sécurité des Systèmes d’Information) est souvent perçu/e comme la personne qui [...]

Par | 2019-01-09T17:24:29+02:00 juillet 27th, 2018|Blog, Technique|

Quel rôle pour la sécurité informatique dans la transformation numérique ? (Part I)

Alors que la transformation numérique ne cesse d’avancer en impactant tous les aspects de notre vie (privée, professionnelle, sociale…) et en faisant beaucoup parler d’elle, le risque informatique n’a pas la même visibilité ni le même engouement. Le mot « risque » en lui-même est négatif et austère. Il ne donne pas envie de se pencher dessus voire nous voulons le fuir. Il se dégage l’impression que nous nous préoccupons du risque qu’une fois qu’un incident remarquable a déjà eu lieu. Nous avons tendance à oublier les recommandations de nos grands-mères « mieux vaut prévenir que guérir » et à foncer tête baissée sans se [...]

Par | 2018-07-27T16:20:57+02:00 juillet 27th, 2018|Blog, Technique|

Le coin du dév 18 : La programmation asynchrone (en JavaScript)

Mais que voilà ? Serait-ce le 18ème épisode du Coin du dév ? Succédant rapidement au précédent (j’espère que vous les avez tous suivi de manière assidue*), nous allons dans cet article aborder le principe de la programmation asynchrone. Nous resterons dans le domaine du Javascript ici, pourquoi aller voir ailleurs quand on est déjà dans un monde fabuleux ? Une fois remis de cet extraordinaire montage (oui oui, c’est un montage !), nous allons pouvoir débuter. On commence fort avec les images… Répondons à cette question dont la référence échappe sûrement aux personnes ayant moins de 20 ans. Plutôt que partir dans [...]

Par | 2017-04-04T10:17:29+02:00 avril 4th, 2017|Blog, Technique|

Vulnérabilité Bash – Exécution de code dans une variable d’environnement

Une vulnérabilité "amusante" a été découverte dans les versions de Bash jusqu'à la 4.3 (CVE-2014-6271). Celle-ci pourrait faire parler d'elle au même titre qu'Heartbleed. Bash ne stoppant pas l'interprétation des données à la suite d'une définition de fonction dans les variables d'environnement, un attaquant peut forger une variable contenant du code qui sera exécuté dès que le shell est appelé. Vous n'avez pas encore peur ? ca va venir... Certains programmes utilisent le shell Bash et traitent des variables d'environnement, et c'est la que le bas blesse : on se retrouve avec une exécution de code à distance sans authentification. [...]

Par | 2014-09-25T10:29:46+02:00 septembre 25th, 2014|Actualité, Technique|

Jeux en ligne – Bonnes pratiques et erreurs fréquentes

Depuis juin 2010 et l’ouverture des jeux et paris en ligne, les opérateurs de jeux en ligne doivent garantir la sécurité de leurs logiciels de jeux, des joueurs et des transactions effectuées sur leurs sites Internet. Dans ce but, les opérateurs doivent obtenir une certification basée sur des contraintes techniques, juridiques et financières auprès de L’Autorité de Régulation des Jeux En Ligne (ARJEL). L’ARJEL a officiellement référencé ITrust comme Organisme Certificateur (Organismes certificateurs). L’organisme certificateur est en charge de vérifier le respect de ces contraintes en vue de délivrer la certification à l’opérateur de jeux.   Retour d’expérience Nos différents [...]

Par | 2014-07-21T16:55:36+02:00 juillet 21st, 2014|Actualité, Technique|

La Version 1.11.13 d’IKare

La version 1.11.13 de IKare est disponible sur nos dépôts. Changelog: - Correctif : Incompatibilité IE11 - Correctif : Génération des rapports PDF et CSV en erreurs - Mises à jour des tests de vulnérabilités - Mises à jour de sécurité des packages. MD5: 587cba5b6e5796d0a0da15d811962bbe ikare-latest.iso fe3390ff08e3e360fff788d91ca342b4 ikare-ovf-latest.zip 6f53371c2dcdb410db46e9562716691a ikare-ovf-en-latest.zip

Par | 2014-07-16T11:32:30+02:00 juillet 16th, 2014|Technique|

La version 1.11.11 & 1.11.12 d’IKare

La version 1.11.12 de IKare est disponible sur nos dépôts. Changelog: Changelog 1.11.11: * Génération d'un mot de passe aléatoire utilisé par le moteur de IKare pour accéder à l'API . * Correctif: une faille de type injection SQL était possible sur les méthodes FIND de l'API Changelog 1.11.12: * Autocomplete du champ DisplayName (page asset settings) * Dans la GUI, la vraie date de début de scan est maintenant utilisée comme date de dernier scan. * Correctif: Impossibilité de supprimer un utilisateur si celui-ci avait auparavant interrompu des scans. * Correctif: Inconsistance des Tri par OS et device. * [...]

Par | 2014-06-26T17:30:20+02:00 juin 26th, 2014|Technique|

La version 1.11.10 d’IKare

La version 1.11.10 de IKare est disponible sur nos dépôts. Changelog: - Correctif: * Lente fuite mémoire pouvant entrainer l'instabilité de la solution. - Mises à jour des tests de vulnérabilités - Mises à jour de sécurité des packages. Vous aurez remarqué qu'il n'y a pas de nouveauté ou d'évolution sur les deux dernières versions de la solution, car l'équipe travaille durement à ajouter un scanner d'application web pour la prochaine release majeure: 1.12 Bon téléchargement. MD5: d87049fe94a3ac1480b4fa0170993206 ikare-latest.iso d0124669b425109d6ca01d5b99867507 ikare-ovf-latest.zip 811c7e09fcd08a69a88ae37378fe7be0 ikare-ovf-en-latest.zip

Par | 2014-06-09T17:15:12+02:00 juin 9th, 2014|Technique|

« On ne risque pas de se faire pirater, on est trop petit »

Cette phrase revient très souvent lors des phases commerciales préalables à la réalisation d’un test d’intrusion. Généralement les entreprises s’adressent à nous lorsque le mal a déjà été fait ET qu’elles s’en sont rendu compte, exprimant au passage leur étonnement d’avoir été une cible. La vérité est que le fait d’être « petit » est justement un critère de choix pour un pirate. Que cherche à faire un pirate ? « Voler des données industrielles de l’entreprise » C’est la réponse majoritairement présente dans l’esprit des entreprises, les petites se sentant donc moins visées car n’ayant pas des données d’aussi [...]

Par | 2014-06-09T15:09:41+02:00 juin 9th, 2014|Technique|