Catégorie : Non classé

12/12/2022 Chiffrement cloud
30/05/2022 Vive les masques jetables !
Comme tout le monde, vous vous êtes toujours demandé comment lancer un missile nucléaire en toute sécurité, sans que les Russes, les Chinois ou les Américains ne viennent perturber vos communications en changeant les cibles à l’insu de votre plein gré ou en connaissant vos cibles à l’avance : impossible de (sur)vivre sans savoir cela. Plus […]
06/05/2021 Internet de la surveillance
3309074.3309076 (acm.org) (20) Stéphane Bortzmeyer sur Twitter : « Attention si vous êtes bourré, votre ordiphone le sait (grâce à son accéléromètre) https://t.co/Dimc7vQPgx #InternetDeLaSurveillance » / Twitter
20/04/2021 Kerberos
Kerberos est un service d’authentification permettant d’accéder à des ressources sur réseau, en se reposant sur un mécanisme de distribution de clés symétriques. Il est utilisé notamment par Windows pour le service d’Active Directory. Le Kerberos Consortium gère ce projet en accès libre. Différence entre Kerberos et NTLM NTLM était utilisé autrefois par Windows. Il fonctionnait à la […]
12/12/2020 JSON Web Token
Les JSON Web Tokens (ou JWT) sont des moyens d’échanger de façon sécurisée des données entre deux parties. Tout dépend ensuite de ce qu’on attend par sécurisé…
15/11/2020 Drôles de certificats
Tout peut arriver dans ce bas monde, y compris d’avoir de drôles de certificats. Elément de confiance essentiel, il peut y avoir quelques ratés.
20/07/2020 DevSecOps
Pas de stratégie DevSecOps possible sans une forte culture CI/CD dans l’entreprise, une plate-forme cloud ou On-Premise qui fonctionne et une automatisation à outrance des outils de test, de build et de déploiement. Il est essentiel de ne plus penser à intégrer la sécurité dans les projets mais dans le cycle de vie des applications […]
12/01/2020 Vérité et opinion
19/12/2019 Réponse automatique aux incidents
https://auth0.com/blog/guardians-of-the-cloud-automating-response-to-security-events/ https://github.com/dropbox/securitybot https://slack.engineering/distributed-security-alerting-c89414c992d6 https://thehive-project.org/ Analyse d’une instance https://osquery.io/ Un mot sur GuardDuty One of the most common observations after enabling GuardDuty is that it can be daunting at the beginning and that it requires a significant amount of time to tune it to make it serviceable for your environment. https://auth0.com/blog/guardians-of-the-cloud-automating-response-to-security-events/
17/12/2019 Types d’attaquants
Par grand type Script kiddies Hacktivistes Opportunistes Mafia Etats (ou groupe soutenus par des états) Par niveau d’habileté Minimal/Faible : les script kiddies, les Anonymous, qui exécutent des bidules sans les comprendre, sans aucune connaissance de sécurité offensive (ou très peu) ; Standard : du personnel compétent mais isolé (loup solitaire, petit groupe type hacktivistes) […]
23/11/2019 Certificat (contrôle)
Bien beau d’avoir un certificat, encore faut-il savoir s’il est fiable et valide. La norme utilisée étant quasiment toujours X509, étudions-en les caractéristiques. Usage SNI Server Name Indication https://cwiki.apache.org/confluence/display/httpd/NameBasedSSLVHostsWithSNI Sources https://docs.python.org/3/library/ssl.html
04/11/2019 SSRF
Vulnérabilité serveur à serveur permettant d’exécuter du script sur un serveur tiers alors qu’on ne devrait pas avoir le droit.
15/09/2019 Deepfake
https://ai.facebook.com/blog/deepfake-detection-challenge https://www.wedemain.fr/Zao-l-appli-qui-permet-d-incruster-votre-visage-dans-une-video_a4284.html https://www.nextinpact.com/brief/google-veut-lutter-contre-des—deepfakes—audio-7588.htm https://www.lefigaro.fr/secteur/high-tech/2018/04/20/32001-20180420ARTFIG00134-la-viralite-d-une-fausse-video-d8216obama-met-en-lumiere-le-phenomene-du-deep-fake.php https://www.securityweek.com/growing-threat-deepfake-videos https://www.securityweek.com/coming-conference-room-near-you-deepfakes et sa conclusion : Don’t believe everything you see on the internet. https://www.securityweek.com/coming-conference-room-near-you-deepfakes
22/03/2019 Pourquoi moi ?
https://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/
19/02/2019 Liste de toutes les pages
12/02/2019 Site web (sécurisation)
Principes de base : voir AFNIC.
15/07/2018 Anonymous
Je pourrais renvoyer directement cette page vers une page script kiddies. Les Anonymous ne représentent rien, à mon sens, et ne sont pas comparables aux hacktivistes, qui sont compétents (eux).