Sécurité

Sécurité

Assumed Breach: Objectives, Methodology, Test Scenarios and Use Cases

L'article traite de l'approche 'Assumed Breach' en cybersécurité, qui repose sur l'idée que les organisations ont déjà été compromises. Contrairement aux tests de pénétration traditionnels qui identifient les vulnérabilités, cette méthode évalue la capacité des équipes de sécurité à détecter et à répondre à des menaces actives en simulant des scénarios d'attaques spécifiques. L'approche permet d'aborder les limitations des tests de pénétration et du Red Teaming en se concentrant sur des scénarios réalistes et ciblés. L'article expose également la méthodologie pour réaliser une évaluation 'Assumed Breach' et ses différents cas d'utilisation.

www.vaadata.com

offensive securitypentestingred teaming
Sécurité

What is Red Teaming? Methodology and Scope of a Red Team Operation

Avec l'augmentation des cyberattaques, la sécurité est devenue une priorité pour les organisations. Red Teaming est une stratégie proactive qui s'inscrit dans des cadres réglementaires tels que l'ISO 27001 et la directive NIS 2. Cet article décrit la méthodologie et les objectifs du Red Teaming, les différences avec le pentesting, ainsi que son rôle dans la conformité avec la réglementation DORA. Red Teaming évalue la sécurité organisationnelle via des simulations d'attaques, en examinant les personnes, les processus et les technologies impliquées. Les principes du cadre TIBER et les outils utilisés sont aussi abordés.

www.vaadata.com

iso 27001tiberdora
Sécurité

Finishing the Login Callback

Cet article traite de l'implémentation de la fonction de rappel d'authentification OAuth2, utilisant jQuery et le SDK JavaScript de Google. Il explique comment gérer l'authentification, l'appel d'API pour récupérer des données d'utilisateurs, et évoque les différences de stockage des jetons d'accès entre les SDK de Facebook et Google. Des conseils sont donnés sur la gestion des appels multiples lors de l'authentification et les configurations de niveau page.

symfonycasts.com

jquerygoogle javascript sdkoauth2
Sécurité

Serious OAuth in 8 Steps

Ce tutoriel propose un guide en 8 étapes pour implémenter OAuth, une architecture d'autorisation permettant l'échange de tokens entre un site web et ses utilisateurs. Il couvre des fonctionnalités telles que l'authentification via Facebook, la gestion des tokens d'expiration et l'utilisation de refresh tokens. Chaque étape détaille une méthode spécifique pour assurer la sécurité des échanges d'informations, facilitant ainsi l'accès aux données des utilisateurs de manière contrôlée.

symfonycasts.com

javascriptapioauth2
Sécurité

Enhance build security and reach SLSA Level 3 with GitHub Artifact Attestations

Cet article traite de l'importance de sécuriser le processus de construction des logiciels pour contrer les attaques supply chain. Il présente le cadre SLSA, qui aide les organisations à sécuriser systématiquement leurs chaînes d'approvisionnement en logiciels à travers des pratiques et contrôles. L'accent est mis sur l'atteinte du niveau SLSA 3, qui offre une sécurité élevée en garantissant l'intégrité des artefacts de construction. L'article explique également comment les attestations d'artefact GitHub simplifient cette approche en intégrant des vérifications sécurisées dans les workflows d'action GitHub.

github.blog

githubslsaci/cd
"
Sécurité

Pourquoi quitter Whatsapp ? - Jeey's

Cet article met en lumière les enjeux de confidentialité liés à l'utilisation de WhatsApp et propose des alternatives telles que Signal et Matrix. Les commentaires soulignent les limites de Signal, notamment sa centralisation et ses promesses de confidentialité, tout en recommandant des solutions décentralisées comme XMPP qui garantissent une meilleure sécurité et résilience.

www.jeey.net

xmppmatrixsignal
Sécurité

Uncovering GStreamer secrets

Cet article présente les résultats d'une recherche sur la sécurité de GStreamer, un framework multimédia open source utilisé dans GNOME. L'auteur décrit l'approche adoptée pour identifier 29 vulnérabilités, en particulier dans les formats MKV et MP4, mettant en avant la difficulté de fuzzing avec des fichiers médiatiques en raison de leur taille. L'article souligne également l'importance de créer un corpus d'entrée personnalisé pour améliorer les résultats du fuzzing, en comparant deux méthodes : l'utilisation de générateurs basés sur la grammaire et la création d'un générateur spécifique à un logiciel.

github.blog

gstreamerfuzzingc/c++
Sécurité

CodeQL zero to hero part 4: Gradio framework case study

Cet article présente une étude de cas sur l'utilisation de Gradio, un framework Python pour la démonstration d'applications d'apprentissage automatique, en modélisant le framework avec CodeQL pour identifier des vulnérabilités. L'auteur décrit le processus de recherche de failles de sécurité dans plusieurs projets open source, fournissant des conseils sur l'analyse statique et l'utilisation de CodeQL. Des études antérieures sont mentionnées pour compléter la compréhension de CodeQL et son application à la recherche en sécurité. Des exemples d'interfaces et de blocs Gradio illustrent son utilisation pratique.

github.blog

gradiocodeqlpython
Sécurité

Un serveur VNC vaniteux (Joke over RFB) - ache

Cet article décrit un projet de serveur VNC humoristique, où l'auteur crée un serveur qui affiche une image amusante grâce à Rust. Il aborde les faiblesses de sécurité de VNC, comme l'absence de chiffrement, et partage les défis rencontrés pour mettre en place le serveur et les observations sur les connexions publiques aux serveurs VNC. Finalement, il évoque d'autres serveurs VNC intéressants trouvés en ligne.

ache.one

rfc6143rustvnc
Sécurité

Password Security: Vulnerabilities, Attacks and Best Practices

Cet article aborde l'importance de la sécurité des mots de passe, mettant en évidence les vulnérabilités courantes et les meilleures pratiques pour les protéger. Plus de 80 % des violations de données en 2023 étaient liées à des mots de passe compromis. Il explique les vulnérabilités telles que l'utilisation de mots de passe faibles et les attaques par force brute, ainsi que des procédés comme le Credential Stuffing et le Password Spraying. Les conseils incluent l'utilisation de mots de passe longs et complexes, l'abandon des politiques d'expiration et des recommandations pour une gestion sécurisée des mots de passe.

www.vaadata.com

authentificationsécuritécryptographie