Sécurité

Archi & techno

Comment sécuriser une application universelle Windows ?

Que ce soit lors du développement d’une application métier ou d’une application grand public, il est parfois nécessaire de protéger les données.

Le modèle d’application Windows universelle (UWP) permet un premier niveau de protection car les applications téléchargées depuis le Windows Store sont stockées et exécutées au sein d’une sandbox (bac à sable), c’est-à-dire dans un conteneur inaccessible (en théorie) depuis une autre application.
Cependant, il est parfois nécessaire d’ajouter des couches de protection supplémentaires afin de garantir la sécurité la plus optimale possible notamment au niveau stockage des données mais aussi au niveau échange des données avec les serveurs.

Pour cela, il est recommandé d’utiliser respectivement la Data Protection API & la vérification de la chaîne de confiance des certificats.
Nous allons voir ces points en détail.
Lire la suite

Infrastructure et opérations

Sécuriser son serveur Linux avec Ansible

Introduction

Dans cet article nous allons voir comment utiliser Ansible pour bootstraper et sécuriser rapidement des serveurs sous Ubuntu Server 14.04. Le but de cet article n’est pas de faire un bastion imprenable mais de mettre en place quelques règles pour se protéger contre les attaques de brute force ssh.

Nous commencerons par dresser la liste des tâches de base que nous pensons nécessaires pour sécuriser un serveur puis nous vous présenterons Ansible et pourquoi notre choix s’est tourné vers cet outil.

Lire la suite

Archi & techno

Quelles solutions pour sécuriser un Data Lake sous Hadoop ?

Après la plateforme de batch scalable, le Data Lake, cette notion selon laquelle toutes les données de l’entreprise devraient être déversées et stockées sans discernement dans un entrepôt commun — de préférence un cluster Hadoop — est devenu au cours de l’année, un nouvel élément central de la communication des éditeurs autour d’Hadoop.

Stocker de grands volumes de données dans un même cluster implique selon les industries, de faire cohabiter des données normales avec des données sensibles (données personnelles, données privées d’un client à qui on revend son service en marque blanche, …).

Par ailleurs le fait qu’un datalake ne soit pas qu’un simple stockage sur HDFS mais un ensemble de solutions de stockage co-localisées (Fichiers, SQL, NoSQL, Recherche) ne simplifie pas la problématique.

Du coup,  cette communication sur le Data Lake s’accompagne de plus en plus d’une communication axée sur la sécurisation d’Hadoop.

Mais où en est vraiment la sécurisation d’Hadoop ? Quelles options pour efficacement sécuriser un Data Lake ?

Lire la suite

Archi & techno

OCTO Suisse était à SoftShake 2013

Les 24 et 25 octobre, OCTO Suisse sponsorisait la conférence SoftShake 2013 à Genève qui proposait plus de 100 sessions sur les thèmes de la programmation fonctionnelle, la gamification, le développement Java, Web, Microsoft et mobile,  le Big Data / noSQL et l’Agilité.

Cet événement au contenu de qualité était animé dans un esprit de camaraderie que nous apprécions tout particulièrement.
OCTO y présentait 6 sessions sur les sujets suivants:

Retrouvez ci-dessous les résumés et slides de ces sessions.
Lire la suite

Archi & techno

Parlons enfin du NFC

NFC ou Near Field Communication est terme que l’on entend prononcer de plus en plus. Tous les jours, de nouveaux modèles de “mobile NFC” deviennent disponible pour le grand public, et ce depuis 2006 avec le Nokia 6163. De nombreuses initiatives, notamment Citizi en France permettent à des utilisateurs de vivre l’expérience NFC.

La technologie NFC permet la communication et l’échange d’information entre une puce et un lecteur. Cependant, le Bluetooth, les QR-Codes et le moins célèbre WifiDirect sont déjà déployés, alors pourquoi un système de plus ?

Lire la suite

Archi & techno

GWT et sécurité, se prémunir des CSRF

Préambule

Les applications Web enrichies, utilisant JavaScript pour mettre à jour tout ou partie d’une page web, sont officiellement nées en 2005 avec l’apparition du terme Ajax, et sont aujourd’hui communes. De ce concept sont ensuite nées les applications JavaScript « Single Page Interface », modèle dans lequel rentre l’application typique GWT. Le framework propose aujourd’hui un modèle de programmation au juste milieu entre les paradigmes du développement RDA (pour Rich Desktop Application) et du développement Web. Après compilation, une application GWT devient une application JavaScript tout à fait standard du point du vue du browser.

Les applications Ajax n’introduisent pas de nouvelles failles de sécurité. Techniquement, les risques et les techniques d’exploitation sont les mêmes. Si certaines failles sont affaiblies par le modèle, d’autres ont vu leur terrain de jeu évoluer.

Le but de cet article et d’un autre à venir est de rappeler les failles de sécurité qui concernent tout particulièrement la portion JavaScript – et donc GWT – de nos applications Web, puis de présenter les réponses qu’il convient de mettre en œuvre dans une application GWT pour contrecarrer les éventuelles attaques.

Lire la suite

Archi & techno

Initiation à la sécurité des Web Services

Avec l’expansion des services en lignes via le cloud ou tout simplement l’interconnexion des SI, le besoin d’exposer des services vers l’extérieur est croissant. Les WebServices sont une solution maintenant éprouvée depuis longtemps pour répondre à ce besoin.

Que l’on utilise SOAP ou REST un problème se pose toujours : comment faire pour sécuriser l’accès à mon SI alors que j’en ouvre une porte en exposant mon métier ?
Souvent utilisés au sein même d’un SI pour gérer des problématiques d’intégration ou d’hétérogénéité des technologies, les Web Services sont aussi de plus en plus souvent exposés sur le web ou à des partenaires.

Lorsque c’est possible, on voit souvent la mise en place d’un canal sécurisé type VPN entre les différents acteurs. Toutefois cela n’est pas toujours possible et cet article a pour but de vous présenter des notions de base liées à la sécurité des web services.

Ayant réalisé des missions, pour OCTO, aussi bien d’architecture que de développement autour ce sujet je vais tenter, via une série d’articles, de vous initier à ce domaine.
La majorité des WebServices de nos clients étant en SOAP je me concentrerais beaucoup plus sur ces derniers.
Cet article se voulant une initiation je ne suis pas rentré dans des détails très techniques, il a uniquement pour but d’attirer l’attention sur la vulnérabilité des protocoles de Web Services.

Lire la suite

Archi & techno

Sécuriser une application Flex BlazeDS avec le SSO d’Active Directory

Votre RSSI vous demande d’intégrer vos applications Flex/BlazeDS à Active Directory ? Vous pourriez le faire via le protocole LDAP, mais pourquoi ne pas offrir plus de confort à vos utilisateurs en leur évitant de taper une énième fois leur mot de passe ? Faites-vous aimer de vos utilisateurs en intégrant votre application au SSO natif d’Active Directory !

Lire la suite