OCTO Suisse était à SoftShake 2013

Les 24 et 25 octobre, OCTO Suisse sponsorisait la conférence SoftShake 2013 à Genève qui proposait plus de 100 sessions sur les thèmes de la programmation fonctionnelle, la gamification, le développement Java, Web, Microsoft et mobile,  le Big Data / noSQL et l’Agilité.

Cet événement au contenu de qualité était animé dans un esprit de camaraderie que nous apprécions tout particulièrement.
OCTO y présentait 6 sessions sur les sujets suivants:

Retrouvez ci-dessous les résumés et slides de ces sessions.
(Lire la suite…)

Parlons enfin du NFC

NFC ou Near Field Communication est terme que l’on entend prononcer de plus en plus. Tous les jours, de nouveaux modèles de “mobile NFC” deviennent disponible pour le grand public, et ce depuis 2006 avec le Nokia 6163. De nombreuses initiatives, notamment Citizi en France permettent à des utilisateurs de vivre l’expérience NFC.

La technologie NFC permet la communication et l’échange d’information entre une puce et un lecteur. Cependant, le Bluetooth, les QR-Codes et le moins célèbre WifiDirect sont déjà déployés, alors pourquoi un système de plus ?

(Lire la suite…)

GWT et sécurité, se prémunir des CSRF

Préambule

Les applications Web enrichies, utilisant JavaScript pour mettre à jour tout ou partie d’une page web, sont officiellement nées en 2005 avec l’apparition du terme Ajax, et sont aujourd’hui communes. De ce concept sont ensuite nées les applications JavaScript « Single Page Interface », modèle dans lequel rentre l’application typique GWT. Le framework propose aujourd’hui un modèle de programmation au juste milieu entre les paradigmes du développement RDA (pour Rich Desktop Application) et du développement Web. Après compilation, une application GWT devient une application JavaScript tout à fait standard du point du vue du browser.

Les applications Ajax n’introduisent pas de nouvelles failles de sécurité. Techniquement, les risques et les techniques d’exploitation sont les mêmes. Si certaines failles sont affaiblies par le modèle, d’autres ont vu leur terrain de jeu évoluer.

Le but de cet article et d’un autre à venir est de rappeler les failles de sécurité qui concernent tout particulièrement la portion JavaScript – et donc GWT – de nos applications Web, puis de présenter les réponses qu’il convient de mettre en œuvre dans une application GWT pour contrecarrer les éventuelles attaques.

(Lire la suite…)

Initiation à la sécurité des Web Services

Avec l’expansion des services en lignes via le cloud ou tout simplement l’interconnexion des SI, le besoin d’exposer des services vers l’extérieur est croissant. Les WebServices sont une solution maintenant éprouvée depuis longtemps pour répondre à ce besoin.

Que l’on utilise SOAP ou REST un problème se pose toujours : comment faire pour sécuriser l’accès à mon SI alors que j’en ouvre une porte en exposant mon métier ?
Souvent utilisés au sein même d’un SI pour gérer des problématiques d’intégration ou d’hétérogénéité des technologies, les Web Services sont aussi de plus en plus souvent exposés sur le web ou à des partenaires.

Lorsque c’est possible, on voit souvent la mise en place d’un canal sécurisé type VPN entre les différents acteurs. Toutefois cela n’est pas toujours possible et cet article a pour but de vous présenter des notions de base liées à la sécurité des web services.

Ayant réalisé des missions, pour OCTO, aussi bien d’architecture que de développement autour ce sujet je vais tenter, via une série d’articles, de vous initier à ce domaine.
La majorité des WebServices de nos clients étant en SOAP je me concentrerais beaucoup plus sur ces derniers.
Cet article se voulant une initiation je ne suis pas rentré dans des détails très techniques, il a uniquement pour but d’attirer l’attention sur la vulnérabilité des protocoles de Web Services.

(Lire la suite…)

Sécuriser une application Flex BlazeDS avec le SSO d’Active Directory

Votre RSSI vous demande d’intégrer vos applications Flex/BlazeDS à Active Directory ? Vous pourriez le faire via le protocole LDAP, mais pourquoi ne pas offrir plus de confort à vos utilisateurs en leur évitant de taper une énième fois leur mot de passe ? Faites-vous aimer de vos utilisateurs en intégrant votre application au SSO natif d’Active Directory !

(Lire la suite…)

Comment sauver vos données, 3/3

La dernière fois nous avons vu comment réparer, sous certaines conditions, la FAT de votre partition.

Dans cette dernière partie nous allons voir quoi faire lors d’un crash physique de disque dur. Comme pour les articles précédents, c’est en anglais.

Comment sauver vos données, 2/3

Nous avons vu la dernière fois comment sauver grâce à testdisk une partition malencontreusement effacée.

Nous allons voir dans cet article comment récupérer, sous certaines conditions, la table d’allocation de fichier de votre partition.

Comme précédemment, l’article est en anglais ici.

Comment sauver vos données, 1/3

Cette série de 3 articles, basée sur une histoire vraie, va vous conter comment sauver (les données de) votre disque dur quand celui-ci vous annonce sa décision de ne plus fonctionner, soit de part sa vieillesse, soit par erreurs de votre part.

Vous retrouverez les protagonistes suivant :

  • Dans le rôle des méchants : sfdisk, pvcreate et la fainéantise
  • Dans le rôle des gentils : testdisk, photorec, dd, ddrescue et la matière grise.

En avant pour le premier, en anglais, qui traite de la suppression de partitions.

Petit-déjeuner « Infocentre de sécurité » le 16 novembre

Souriez, vous êtes filmé …

OCTO organise le mardi 16 novembre à 9h un petit-déjeuner gratuit de formation sur le sujet « Infocentre de sécurité » avec le témoignage de Natixis.
Pour vous inscrire il vous suffit de consulter notre site internet.

HTML5, offline et sécurité

Un article récent publié sur InfoQ abordait la sécurité de HTML5 dans sa globalité, et notamment sur des attaques concernant les nouvelles fonctionnalités de navigation hors-ligne de HTML5.

Quelles sont donc ces fonctionnalités et qu’en est-il vraiment des risques associés?

(Lire la suite…)