Sécurité

2025-04-16Sécurité

A practical guide to coding securely with LLMs

Cet article traite de la sécurité lors de l'utilisation des LLMs (modèles de langage très large) pour le développement. Il souligne que les LLMs, en raison de leur nature imprévisible, doivent être traités comme des entrées utilisateurs non fiables. Les techniques de 'prompt injection', qui permettent à des acteurs malveillants d'exploiter ces modèles, sont discutées. L'auteur avertit que tout contenu généré par l'utilisateur intégré dans les entrées d'un LLM peut le rendre vulnérable. Il met en garde contre l'utilisation de bibliothèques tierces et de serveurs MCP, qui présentent des risques de sécurité similaires à ces attaques. L'accent est mis sur la nécessité de traiter les sorties des LLMs et les appels d'outils comme s'ils provenaient d'utilisateurs, afin d'assurer la sécurité des applications.

seangoedecke.com

python api llm

2025-04-15Sécurité

Chiffrer un Raspberry Pi avec LUKS

Cet article explique comment chiffrer un Raspberry Pi utilisant LUKS pour protéger les données sensibles, notamment dans le domaine de la santé. Il présente des étapes détaillées sur la personnalisation de l'image, l'installation, et la configuration de paramètres tels que SSH et le pare-feu. Le processus d'écriture de l'image sur la carte SD ainsi que le déverrouillage de la partition LUKS à l'aide d'une clé USB sont également abordés, offrant une sécurité renforcée contre le vol de données.

www.brunoy-osteopathe.fr

raspberry pi debian luks

2025-04-08Sécurité

Active Directory Security Best Practices, Vulnerabilities and Attacks

Cet article explore les meilleures pratiques pour sécuriser Active Directory (AD), un élément crucial des infrastructures informatiques. Il met en lumière les vulnérabilités courantes et les attaques potentielles, ainsi que les erreurs de configuration qui peuvent compromettre la sécurité de l'AD. Les recommandations incluent le partitionnement des composants, la protection contre le Kerberoasting, la sécurisation des communications SMB, et l'introduction d'une surveillance et d'une détection des activités suspectes. L'article souligne l'importance de réduire la surface d'attaque et de segmenter strictement les accès et les systèmes afin de renforcer la protection contre les menaces.

www.vaadata.com

kerberos ntlm active directory

2025-04-04Sécurité

New Vulnerability in GitHub Copilot and Cursor: How Hackers Can Weaponize Code Agents

Des chercheurs de Pillar Security ont découvert une nouvelle méthode d'attaque de la chaîne d'approvisionnement, baptisée 'Rules File Backdoor', qui permet aux hackers de compromettre silencieusement le code généré par l'IA en injectant des instructions malveillantes dans des fichiers de configuration apparemment innocents utilisés par GitHub Copilot et Cursor. Ces fichiers sont perçus comme inoffensifs et sont souvent intégrés sans validation adéquate, ce qui permet aux attaquants d'exploiter la compréhension contextuelle de l'IA pour insérer des vulnérabilités ou des portes dérobées dans le code généré, affectant potentiellement des millions d'utilisateurs finaux.

www.pillar.security

github cursor ai

2025-03-26Sécurité

Déployer CSP : une approche en 5 étapes

L'article explique l'importance de la Content Security Policy (CSP) pour sécuriser les sites web contre les attaques XSS. Il offre des conseils pratiques et décrit une méthode d'implémentation en cinq étapes, soulignant que la sécurité est un processus évolutif et que chaque déploiement doit être adapté aux besoins spécifiques de chaque site. L'auteur encourage à bien connaître les ressources utilisées sur le Front-End avant de mettre en place des directives CSP.

www.alsacreations.com

csp http xss

2025-03-24Sécurité

A maintainer's guide to vulnerability disclosure: GitHub tools to make it simple

Cet article guide les mainteneurs de projets open source sur la gestion des rapports de vulnérabilités. Il met en avant l'importance de la divulgation coordonnée (CVD) pour protéger les utilisateurs en résolvant les problèmes de sécurité avant qu'ils ne deviennent publics. L'article présente des outils GitHub comme le Reporting Privé de Vulnérabilités (PVR) et les avis de sécurité pour faciliter la collaboration sur les correctifs, tout en conservant la sécurité des discussions. En suivant une série d'étapes claires, les mainteneurs peuvent gérer efficacement les vulnérabilités.

github.blog

github common vulnerabilities and exposures private vulnerability reporting

2025-03-21Sécurité

What's OAuth2 Anyway? - Blog by Roman Glushko

Cet article explore le fonctionnement du protocole OAuth2, détaillant ses mécanismes d'authentification et d'autorisation, ainsi que son importance dans la gestion des accès sécurisés aux ressources web. Il aborde également les meilleures pratiques pour sa mise en œuvre.

www.romaglushko.com

oauth2

2025-03-19Sécurité

What is a Slow HTTP Attack? Types and Security Best Practices

Les attaques Slow HTTP sont des formes spécifiques des attaques par déni de service où un client maintient activement la connexion avec le serveur en envoyant des données à un rythme très lent. Cet article décrit le mécanisme derrière ces attaques, leurs types principaux (comme Slowloris et R.U.D.Y), ainsi que des meilleures pratiques de sécurité pour se défendre contre ces menaces. Il aborde également des stratégies de prévention, telles que la limitation du nombre maximum de connexions par adresse IP, la réduction de la durée maximale d'une requête et la mise en œuvre de la limitation de débit.

www.vaadata.com

http protocoles sécurité

2025-03-13Sécurité

What is HTTP Request Smuggling? Exploitations and Security Best Practices

L'article traite du phénomène du "HTTP request smuggling", une vulnérabilité qui permet à un attaquant de manipuler les requêtes échangées entre un client et un serveur intermédiaire, souvent un proxy ou un équilibreur de charge. Il explique le principe de fonctionnement de cette attaque, les différentes variantes, ainsi que les stratégies de protection contre elle. Les attaques reposent sur des incohérences dans l'interprétation des en-têtes Content-Length et Transfer-Encoding, permettant aux attaquants d'injecter des requêtes malveillantes et de contourner les mesures de sécurité. L'article fournit également des pratiques recommandées pour prévenir ces attaques.

www.vaadata.com

tcp transfer-encoding http

2025-03-13Sécurité

The Ultimate HIPAA Compliance Checklist For Software Development in 2025

Cet article aborde l'importance de la conformité HIPAA dans le développement de logiciels de santé. Il présente une checklist essentielle pour garantir que les applications respectent les exigences légales tout en protégeant les données des patients. En décrivant le cadre HIPAA et en proposant des mesures de sécurité, le billet est une ressource utile pour les développeurs et les fournisseurs de soins de santé qui souhaitent construire des applications sécurisées et conformes aux normes en 2025.

www.bacancytechnology.com

hipaa software development ai