Objet de fantasme et de recherches intensives, il est difficile de savoir (en 2020) sur quoi cela va déboucher, et si l’ordinateur quantique pratique verra le jour dans un avenir proche ou prévisible. Néanmoins, autant savoir de quoi il retourne.
Continuer la lectureArchives annuelles : 2020
BGP
BGP est un protocole méconnu mais structurant d’internet, Facebook1 ne dira pas le contraire (même si le DNS a aussi son rôle à jouer2). « La meilleure définition est que c’est le protocole de routage qui fait fonctionner Internet »3 selon LeMagIT. Rien de moins. Et pourtant il s’appuie sur des mécanismes anciens qui datent du temps où tout le monde était gentil sur internet…
Continuer la lectureQui compile le compilateur ?
Imaginons que je sois un méchant, ou que je cherche à avoir accès à votre système (ou vos informations) quoi que vous fassiez. Quelle serait ma cible ? Réponse : un programme incontournable.
Continuer la lectureAPI
Ce que c’est…
https://app.pluralsight.com/library/courses/designing-restful-web-apis/table-of-contents
https://dzone.com/articles/top-10-api-security-threats-every-api-team-should
Attaques
- https://www.lemondeinformatique.fr/actualites/lire-les-api-cible-des-tentatives-d-authentification-dans-les-services-financiers-78174.html
- https://threatpost.com/akamai-on-credential-stuffing-attacks/153654/
Selon l’OWASP (et JDN)
- Vérifier les autorisations au niveau de chaque objet
- Soigner l’authentification utilisateur
- Sélectionner les données à afficher
- Limiter les ressources et le débit
- Modérer la granularité des accès
- Eviter les affectations de masse
- Vérifier la configuration de la sécurité
- Anticiper les injections de code
- Bien gérer et inventorier ses actifs
- Mettre en place une gestion des logs efficace
REST ou RESTful ?
Selon ChatGPT, les termes « API REST » et « RESTful » sont souvent utilisés de manière interchangeable, mais il y a une différence subtile entre les deux.
Une API REST (Representational State Transfer) est une interface de programmation d’application qui suit les principes de l’architecture REST. Elle utilise des méthodes HTTP telles que GET, POST, PUT et DELETE pour effectuer des opérations sur des ressources identifiées par des URL.
D’un autre côté, « RESTful » est un terme utilisé pour décrire une API qui est conçue conformément aux principes de REST, qui incluent notamment l’utilisation de verbes HTTP, l’utilisation d’URLs pour identifier les ressources, l’utilisation de formats de données standardisés (tels que JSON ou XML), et l’indépendance de l’état du serveur.
En résumé, une API REST est une API qui suit l’architecture REST, tandis qu’une API RESTful est une API qui suit les principes de REST de manière stricte et cohérente.
Ressources
- https://auth0.com/blog/securing-aws-http-apis-with-jwt-authorizers/
- 10 points de contrôle pour vérifier la sécurité de ses API (journaldunet.com)
A voir : problématiques de sécurisation d’API OIDC, OAuth2
- https://api-by-octo.octo.com/
- https://blog.octo.com/designer-une-api-rest/
- https://www.octo.com/publications/29-api-security-principles/
- https://www.securityweek.com/grammatech-releases-open-source-api-security-tool
- Rapid API Creation with AWS Amplify
- https://dzone.com/articles/api-authentication-methods-an-overview
- https://developer.okta.com/blog/2020/12/17/build-and-secure-an-api-in-python-with-fastapi
Sécurisation
Covid 19
Difficile de rester confiné pendant plusieurs semaines sans ronger son frein. Je vais essayer de comptabiliser ici les bonnes et les mauvaises initiatives durant cette période. Les bonnes sont les gestes d’entraide, les mauvaises sont les attaques profitant du sujet.
Continuer la lectureForce majeure
J’ai vu passer une question intéressante sur LinkedIn : un virus informatique (enfin, un programme malveillant) peut-il être considéré comme un cas de force majeure afin de s’exonérer de ses responsabilités ? Un tribunal français a dit : non.
Continuer la lectureC’est sûr, l’open source ?
Puisqu’on vous dit que oui car tout le monde peut regarder dans le code que tout va bien et que de toutes façons y a pas de méchant dans les développeurs qui font de l’open source c’est bien connu.
Continuer la lectureVisualisation d’attaques
Plus ou moins utile, car de nos jours l’attribution des attaques (= des attaques sérieuses) est très difficile. Toutefois, ce type de visualisation reste assez didactique, et InformatiqueNews a recensé des sites permettant de visualiser graphiquement des attaques informatiques en cours.
Continuer la lectureCrypto AG
Beaucoup de bruit pour rien… On découvre en 2020 que les espions espionnent. Si je m’attendais à ça…
Continuer la lecturePrix de l’innovation
Une idée géniale : si ton système n’a pas de faille de sécurité, alors introduis-en une ! Des attaquants ont profité d’un driver de Gigabyte, signé et légitime mais qui présentait une vulnérabilité non corrigée, pour lancer des attaques.
Continuer la lectureA quoi ressemble une attaque en 2020 ?
A quoi ressemble une attaque informatique typique en 2020 ? La réponse tient en une copie d’écran.
Continuer la lectureCloud, sécurisation
Soyons modeste : impossible de traiter le sujet en un article de blog. Néanmoins, quelques petits conseils et sources d’information peuvent s’averer utiles…
Continuer la lectureWindows vault
Ben zut : jusqu’à aujourd’hui, je n’avais pas connaissance de l’existence de ce machin. Bien qu’il soit parfaitement logique que Windows dispose d’un vault, cet outil est très peu mentionné dans la littérature. Qu’est-ce donc ? Comment marché-ce ?
Continuer la lectureZero trust
Ne faites confiance à personne ! Je l’ai souvent entendu dans la vie, et c’est la première chose qu’on apprend quand on fait de la sécurité informatique. Le concept (marketing ou pas) de Zero Trust a vite émergé depuis que la SSI est devenue industrielle, mais c’est quoi ?
Continuer la lectureCompromission de mails
Les factures, les ordres de paiement, les contrats… Tous ces documents qui ne passionnent personne et que personne n’a envie de voir, sauf les comptables, on croit en effet que cela n’intéresse personne. Ben si. Surtout quand ils sont échangés par mail.
Continuer la lectureSécurité des conteneurs
Le technologie des conteneurs est en plein expansion ces jours-ci. Parmi les plus connus, il y a Docker qui est à la mode dans la mouvance DevOps, et qui permet de gains de productivité et d’agilité incontestables. Toutefois, la technologie n’est pas forcément mature pour les grosses entreprises et l’industrialisation à grande échelle, en termes de stabilité et de sécurité. Certains éditeurs comme aquasec proposent des solutions pour aider à la sécurisation de ce type d’architecture.
Continuer la lectureErreurs de configuration
Avec la délégation de son SI (communément appelée cloud computing), on délègue aussi son exploitation, mais partiellement ! Une partie de sa gestion relève aussi du client, ce qui donne lieu à la récurrence d’une menace (qui existait déjà) : l’erreur de configuration.
Continuer la lectureWordPress
Etant le CMS (Content Management System) le plus répandu, il est fatalement intéressant pour des attaquants. Cela étant, les développeurs ont l’air de faire sérieusement leur boulot, et c’est plutôt du côté des plugins qu’il faut voir les risques.
Continuer la lectureModification de fichiers (Linux)
Toujours utile : pour remplacer une chaîne dans un fichier sans l’éditer. Intérêt ? Le faire en ligne de commande, dans un script…
Continuer la lectureLe cas du New York Times
Édifiant article ne faisant que confirmer mes craintes sur l’impossible anonymisation de nos vies privées.
Continuer la lecture