NFC ou Near Field Communication est terme que l’on entend prononcer de plus en plus. Tous les jours, de nouveaux modèles de “mobile NFC” deviennent disponible pour le grand public, et ce depuis 2006 avec le Nokia 6163. De nombreuses initiatives, notamment Citizi en France permettent à des utilisateurs de vivre l’expérience NFC.

La technologie NFC permet la communication et l’échange d’information entre une puce et un lecteur. Cependant, le Bluetooth, les QR-Codes et le moins célèbre WifiDirect sont déjà déployés, alors pourquoi un système de plus ?

(Lire la suite…)

Préambule

Les applications Web enrichies, utilisant JavaScript pour mettre à jour tout ou partie d’une page web, sont officiellement nées en 2005 avec l’apparition du terme Ajax, et sont aujourd’hui communes. De ce concept sont ensuite nées les applications JavaScript « Single Page Interface », modèle dans lequel rentre l’application typique GWT. Le framework propose aujourd’hui un modèle de programmation au juste milieu entre les paradigmes du développement RDA (pour Rich Desktop Application) et du développement Web. Après compilation, une application GWT devient une application JavaScript tout à fait standard du point du vue du browser.

Les applications Ajax n’introduisent pas de nouvelles failles de sécurité. Techniquement, les risques et les techniques d’exploitation sont les mêmes. Si certaines failles sont affaiblies par le modèle, d’autres ont vu leur terrain de jeu évoluer.

Le but de cet article et d’un autre à venir est de rappeler les failles de sécurité qui concernent tout particulièrement la portion JavaScript – et donc GWT – de nos applications Web, puis de présenter les réponses qu’il convient de mettre en œuvre dans une application GWT pour contrecarrer les éventuelles attaques.

(Lire la suite…)

Avec l’expansion des services en lignes via le cloud ou tout simplement l’interconnexion des SI, le besoin d’exposer des services vers l’extérieur est croissant. Les WebServices sont une solution maintenant éprouvée depuis longtemps pour répondre à ce besoin.

Que l’on utilise SOAP ou REST un problème se pose toujours : comment faire pour sécuriser l’accès à mon SI alors que j’en ouvre une porte en exposant mon métier ?
Souvent utilisés au sein même d’un SI pour gérer des problématiques d’intégration ou d’hétérogénéité des technologies, les Web Services sont aussi de plus en plus souvent exposés sur le web ou à des partenaires.

Lorsque c’est possible, on voit souvent la mise en place d’un canal sécurisé type VPN entre les différents acteurs. Toutefois cela n’est pas toujours possible et cet article a pour but de vous présenter des notions de base liées à la sécurité des web services.

Ayant réalisé des missions, pour OCTO, aussi bien d’architecture que de développement autour ce sujet je vais tenter, via une série d’articles, de vous initier à ce domaine.
La majorité des WebServices de nos clients étant en SOAP je me concentrerais beaucoup plus sur ces derniers.
Cet article se voulant une initiation je ne suis pas rentré dans des détails très techniques, il a uniquement pour but d’attirer l’attention sur la vulnérabilité des protocoles de Web Services.

(Lire la suite…)

Votre RSSI vous demande d’intégrer vos applications Flex/BlazeDS à Active Directory ? Vous pourriez le faire via le protocole LDAP, mais pourquoi ne pas offrir plus de confort à vos utilisateurs en leur évitant de taper une énième fois leur mot de passe ? Faites-vous aimer de vos utilisateurs en intégrant votre application au SSO natif d’Active Directory !

(Lire la suite…)

La dernière fois nous avons vu comment réparer, sous certaines conditions, la FAT de votre partition.

Dans cette dernière partie nous allons voir quoi faire lors d’un crash physique de disque dur. Comme pour les articles précédents, c’est en anglais.

Nous avons vu la dernière fois comment sauver grâce à testdisk une partition malencontreusement effacée.

Nous allons voir dans cet article comment récupérer, sous certaines conditions, la table d’allocation de fichier de votre partition.

Comme précédemment, l’article est en anglais ici.

Cette série de 3 articles, basée sur une histoire vraie, va vous conter comment sauver (les données de) votre disque dur quand celui-ci vous annonce sa décision de ne plus fonctionner, soit de part sa vieillesse, soit par erreurs de votre part.

Vous retrouverez les protagonistes suivant :

• Dans le rôle des méchants : sfdisk, pvcreate et la fainéantise
• Dans le rôle des gentils : testdisk, photorec, dd, ddrescue et la matière grise.

En avant pour le premier, en anglais, qui traite de la suppression de partitions.

Un article récent publié sur InfoQ abordait la sécurité de HTML5 dans sa globalité, et notamment sur des attaques concernant les nouvelles fonctionnalités de navigation hors-ligne de HTML5.

Quelles sont donc ces fonctionnalités et qu’en est-il vraiment des risques associés?

(Lire la suite…)

Les architectures d’exécution « modernes » comme Java et .Net ont apporté des gains indéniables comme la standardisation de l’infrastructure, portabilité, sécurité, performances dans certains cas, l’outillage pour les développeurs …

Dans ces environnements, on peut obtenir facilement le code source de l’application à partir d’une application packagée (JAR/WAR/EAR ou EXE/DLL). Il suffit d’utiliser un « décompilateur », par exemple jad, JD ou Jode dans le monde Java, et .Net Reflector pour .Net. Il n’existe pas de solution équivalente dans le cas de code natif (par exemple produit par un compilateur C/C++).

(Lire la suite…)