Catégorie : Non classé

06/05/2021 Internet de la surveillance
3309074.3309076 (acm.org) (20) Stéphane Bortzmeyer sur Twitter : « Attention si vous êtes bourré, votre ordiphone le sait (grâce à son accéléromètre) https://t.co/Dimc7vQPgx #InternetDeLaSurveillance » / Twitter
12/12/2020 JSON Web Token
Les JSON Web Tokens (ou JWT) sont des moyens d’échanger de façon sécurisée des données entre deux parties. Tout dépend ensuite de ce qu’on attend par sécurisé…
15/11/2020 Drôles de certificats
Tout peut arriver dans ce bas monde, y compris d’avoir de drôles de certificats. Elément de confiance essentiel, il peut y avoir quelques ratés.
20/07/2020 DevSecOps
Pas de stratégie DevSecOps possible sans une forte culture CI/CD dans l’entreprise, une plate-forme cloud ou On-Premise qui fonctionne et une automatisation à outrance des outils de test, de build et de déploiement. Il est essentiel de ne plus penser à intégrer la sécurité dans les projets mais dans le cycle de vie des applications […]
12/01/2020 Vérité et opinion
19/12/2019 Réponse automatique aux incidents
https://auth0.com/blog/guardians-of-the-cloud-automating-response-to-security-events/ https://github.com/dropbox/securitybot https://slack.engineering/distributed-security-alerting-c89414c992d6 https://thehive-project.org/ Analyse d’une instance https://osquery.io/ Un mot sur GuardDuty One of the most common observations after enabling GuardDuty is that it can be daunting at the beginning and that it requires a significant amount of time to tune it to make it serviceable for your environment. https://auth0.com/blog/guardians-of-the-cloud-automating-response-to-security-events/
17/12/2019 Types d’attaquants
Par grand type Script kiddies Hacktivistes Opportunistes Mafia Etats (ou groupe soutenus par des états) Par niveau d’habileté Minimal/Faible : les script kiddies, les Anonymous, qui exécutent des bidules sans les comprendre, sans aucune connaissance de sécurité offensive (ou très peu) ; Standard : du personnel compétent mais isolé (loup solitaire, petit groupe type hacktivistes) […]
23/11/2019 Certificat (contrôle)
Bien beau d’avoir un certificat, encore faut-il savoir s’il est fiable et valide. La norme utilisée étant quasiment toujours X509, étudions-en les caractéristiques. Usage SNI Server Name Indication https://cwiki.apache.org/confluence/display/httpd/NameBasedSSLVHostsWithSNI Sources https://docs.python.org/3/library/ssl.html
04/11/2019 SSRF
Vulnérabilité serveur à serveur permettant d’exécuter du script sur un serveur tiers alors qu’on ne devrait pas avoir le droit.
15/09/2019 Deepfake
https://ai.facebook.com/blog/deepfake-detection-challenge https://www.wedemain.fr/Zao-l-appli-qui-permet-d-incruster-votre-visage-dans-une-video_a4284.html https://www.nextinpact.com/brief/google-veut-lutter-contre-des—deepfakes—audio-7588.htm https://www.lefigaro.fr/secteur/high-tech/2018/04/20/32001-20180420ARTFIG00134-la-viralite-d-une-fausse-video-d8216obama-met-en-lumiere-le-phenomene-du-deep-fake.php https://www.securityweek.com/growing-threat-deepfake-videos https://www.securityweek.com/coming-conference-room-near-you-deepfakes et sa conclusion : Don’t believe everything you see on the internet. https://www.securityweek.com/coming-conference-room-near-you-deepfakes
22/03/2019 Pourquoi moi ?
https://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/
19/02/2019 Liste de toutes les pages
12/02/2019 Site web (sécurisation)
Principes de base : voir AFNIC.
15/07/2018 Anonymous
Je pourrais renvoyer directement cette page vers une page script kiddies. Les Anonymous ne représentent rien, à mon sens, et ne sont pas comparables aux hacktivistes, qui sont compétents (eux).