Archive

Posts Tagged ‘Sécurité’

Certified Ethical Hacker

Le 9 Mai, j’ai passé une certification, la Certified Ethical Hacker v9.
Le but de ce billet est donc de faire un postmortem de ce « projet ».

L’année dernière, avec un collègue, nous avons suivis la formation mais nous avons passé (tous deux avec succès) la certification plusieurs mois plus tard.
Le but n’était pas la certification en elle-même. Même si elle reste un sacré gros bonus.

Toutes les informations que je vais donner ici sont publiquement disponibles, agrémentés de mon ressentis personnel.
Il ne faut donc pas s’attendre à un dump ou assimilable.

Lire la suite…

Catégories :Sécurité

[SSI] Fuites d’informations

J’avais déjà parlé des En-têtes HTTP comme étant une potentielle fuite d’information.
Mais il y en a d’autres possibles. Dans le billet d’aujourd’hui, on va en voir d’autres.

Lire la suite…

Catégories :.Net, Développement, Sécurité

[SSI] En-têtes HTTP

La sécurité par l’obscurité, ça ne marche pas.
J’ai souvent entendu ça.

Sauf que comme disais l’ami Sun Tzu, une bonne connaissance de soit ET de l’ennemi (la cible, dans notre cas) permet de vaincre.
Du coup, la phase de prise d’informations est importante.
Donc, à l’inverse, pour se défendre, il faut afficher le moins d’informations possibles.

Ce n’est pas directement de la sécurité, cela vise surtout à limiter la prise d’informations et donc de ralentir cette étape.
Eventuellement, si on a de la chance, décourager !

Dans ce billet, on va voir les bannières spécifiques au .Net.

Lire la suite…

Catégories :.Net, Développement, Sécurité

[SSI] Sécurité des Systèmes d’Information

Cela fait plusieurs fois que je vis un audit de sécurité.
L’existant aidant, parfois, ça se passe bien, parfois non.
Mais cette fois, cela a été suivit d’une petite formation.

Pour moi, c’est intéressant à plusieurs titres. Le premier, c’est le client : son but est d’avoir des applicatifs plus sécurisés. Ensuite, pour ma société (ITECOR) : c’est l’un des « subject matter » (sujets transverses à nos différentes activités). Et enfin, c’est intéressant à titre personnel.

Tout le monde est donc gagnant.

Je vais donc parler un peu de la sécurité à travers plusieurs billets.
Ce premier billet va être l’occasion de parler de la SSI en termes généraux.
Et pour cela, je vais m’inspirer d’ITECOR et de son WHY/WHAT/HOW.

Lire la suite…

Catégories :Développement, Sécurité

TechDays 2014 – Sécurité

Donc, hier, je suis allé voir la session Stratégie de sécurité Microsoft. Et aujourd’hui, je suis allé voir la session La sécurité de l’emploi : protégez votre SI.

Les deux sessions ont été assez intéressantes et complémentaires sur certains points.
Dans ce billet, je vais donc faire un retour de ce que j’en ai retenu.

Lire la suite…

Catégories :Evènements, Sécurité, TechDays

[Sécurité] Chiffrer les données de configuration

Dans le cadre de mon travail, nous nous penchons actuellement sur la sécurité applicative, autour d’une application Web.
Du coup, je vais (peut être ^^) faire plusieurs billets à ce sujet.

Le premier et présent billet va parler du chiffrement des données de configuration.
Dans le cadre du projet Top Ten de l’OWASP (EN), cet élément est contenu (mais ne fait pas tout, loin de là) dans le point « A5 – Security Misconfiguration ».

Lire la suite…

Catégories :.Net, C#, Développement, Sécurité

[HADOPI] Workshop des Labs – Open-source et sécurité

Labs - Workshop
Pour la seconde fois (et sans doute pas la dernière), je parle de l’HADOPI.
Plus précisément des Labs (à toutes fins utiles, j’ai déjà fais une présentation des Labs et des différences Labs/HADOPI sur ce blog, dans le billet bien nommé HADOPI).

NOTE : attention, ça va troller dur sur une partie du billet.

Ainsi, aujourd’hui même, à Paris (La Mutinerie) étaient organisés le premier workshop (17h30 – 19h).
J’en avait entendu parlé avant les vacances (j’avais d’ailleurs passé un agréable moment avec les deux personnes qui se reconnaîtront !) et honnêtement, j’avais bien envie d’y participer.
Du coup, je m’y suis rendu (merci à mon client qui m’a validé mon 1/2 RTT en début de semaine !).

Petit compte rendu ici.

Lire la suite…