Objet de fantasme et de recherches intensives, il est difficile de savoir (en 2020) sur quoi cela va déboucher, et si l’ordinateur quantique pratique verra le jour dans un avenir proche ou prévisible. Néanmoins, autant savoir de quoi il retourne.
Continuer la lectureArchives annuelles : 2020
BGP
BGP est un protocole méconnu mais structurant d’internet, Facebook1 ne dira pas le contraire (même si le DNS a aussi son rôle à jouer2). « La meilleure définition est que c’est le protocole de routage qui fait fonctionner Internet »3 selon LeMagIT. Rien de moins. Et pourtant il s’appuie sur des mécanismes anciens qui datent du temps où tout le monde était gentil sur internet…
Continuer la lectureQui compile le compilateur ?
Imaginons que je sois un méchant, ou que je cherche à avoir accès à votre système (ou vos informations) quoi que vous fassiez. Quelle serait ma cible ? Réponse : un programme incontournable.
Continuer la lectureAPI
Ce que c’est…
https://app.pluralsight.com/library/courses/designing-restful-web-apis/table-of-contents
https://dzone.com/articles/top-10-api-security-threats-every-api-team-should
Attaques
- https://www.lemondeinformatique.fr/actualites/lire-les-api-cible-des-tentatives-d-authentification-dans-les-services-financiers-78174.html
- https://threatpost.com/akamai-on-credential-stuffing-attacks/153654/
Selon l’OWASP (et JDN)
- Vérifier les autorisations au niveau de chaque objet
- Soigner l’authentification utilisateur
- Sélectionner les données à afficher
- Limiter les ressources et le débit
- Modérer la granularité des accès
- Eviter les affectations de masse
- Vérifier la configuration de la sécurité
- Anticiper les injections de code
- Bien gérer et inventorier ses actifs
- Mettre en place une gestion des logs efficace
REST ou RESTful ?
Selon ChatGPT, les termes « API REST » et « RESTful » sont souvent utilisés de manière interchangeable, mais il y a une différence subtile entre les deux.
Une API REST (Representational State Transfer) est une interface de programmation d’application qui suit les principes de l’architecture REST. Elle utilise des méthodes HTTP telles que GET, POST, PUT et DELETE pour effectuer des opérations sur des ressources identifiées par des URL.
D’un autre côté, « RESTful » est un terme utilisé pour décrire une API qui est conçue conformément aux principes de REST, qui incluent notamment l’utilisation de verbes HTTP, l’utilisation d’URLs pour identifier les ressources, l’utilisation de formats de données standardisés (tels que JSON ou XML), et l’indépendance de l’état du serveur.
En résumé, une API REST est une API qui suit l’architecture REST, tandis qu’une API RESTful est une API qui suit les principes de REST de manière stricte et cohérente.
Ressources
- https://auth0.com/blog/securing-aws-http-apis-with-jwt-authorizers/
- 10 points de contrôle pour vérifier la sécurité de ses API (journaldunet.com)
A voir : problématiques de sécurisation d’API OIDC, OAuth2
- https://api-by-octo.octo.com/
- https://blog.octo.com/designer-une-api-rest/
- https://www.octo.com/publications/29-api-security-principles/
- https://www.securityweek.com/grammatech-releases-open-source-api-security-tool
- Rapid API Creation with AWS Amplify
- https://dzone.com/articles/api-authentication-methods-an-overview
- https://developer.okta.com/blog/2020/12/17/build-and-secure-an-api-in-python-with-fastapi
Sécurisation
Covid 19
Difficile de rester confiné pendant plusieurs semaines sans ronger son frein. Je vais essayer de comptabiliser ici les bonnes et les mauvaises initiatives durant cette période. Les bonnes sont les gestes d’entraide, les mauvaises sont les attaques profitant du sujet.
Continuer la lectureForce majeure
J’ai vu passer une question intéressante sur LinkedIn : un virus informatique (enfin, un programme malveillant) peut-il être considéré comme un cas de force majeure afin de s’exonérer de ses responsabilités ? Un tribunal français a dit : non.
Continuer la lectureC’est sûr, l’open source ?
Puisqu’on vous dit que oui car tout le monde peut regarder dans le code que tout va bien et que de toutes façons y a pas de méchant dans les développeurs qui font de l’open source c’est bien connu.
Continuer la lectureVisualisation d’attaques
Plus ou moins utile, car de nos jours l’attribution des attaques (= des attaques sérieuses) est très difficile. Toutefois, ce type de visualisation reste assez didactique, et InformatiqueNews a recensé des sites permettant de visualiser graphiquement des attaques informatiques en cours.
Continuer la lectureCrypto AG
Beaucoup de bruit pour rien… On découvre en 2020 que les espions espionnent. Si je m’attendais à ça…
Continuer la lecturePrix de l’innovation
Une idée géniale : si ton système n’a pas de faille de sécurité, alors introduis-en une ! Des attaquants ont profité d’un driver de Gigabyte, signé et légitime mais qui présentait une vulnérabilité non corrigée, pour lancer des attaques.
Continuer la lecture