Publications de Didier Bernaudeau

Sécurité

Télétravail : les déconvenues du VPN

Cela fait des années que les entreprises préparent leur plan de continuité d’activité face à une pandémie. Cela a débuté en 2009 avec la Grippe A (H1N1) lorsque le gouvernement incitait les sociétés à mettre en place un Plan de Continuité d’Activité Pandémie.  Outre l’achat des équipements de protection (masque, blouse, …) pour le personnel, les entreprises doivent se préparer au télétravail en ouvrant leur réseau informatique vers l’extérieur. Si le VPN est la solution généralement retenue, le lancement du plan de continuité ne s’est…

Lire la suite
Sécurité

ReDoS (Regular expression Denial of Service)

Se protéger des attaques par déni de service, n’est plus un luxe ! La plupart des fournisseurs de CDN (Content Delivery Network) proposent une protection contre les attaques DDOS (Distributed Denial Of Service) protocolaires (du TCP au HTTP en passant par le TLS). L’attaquant doit trouver une alternative pour mener son attaque : le ReDoS !

Lire la suite
Sécurité

Avec Trivy, c’est trivial d’identifier les vulnérabilités de vos conteneurs

Les conteneurs sont une manière de plus en plus courante de packager et de déployer les applications. Un conteneur comprend tout ce qui est nécessaire au fonctionnement de l’application: le code source ou le binaire de l’application, les fichiers de configuration, l’environnement d'exécution (Java, Python, Nodejs, …) et les bibliothèques. Il serait difficile de suivre manuellement tous ces éléments. Et autant dire qu’il serait impossible de suivre les vulnérabilités associées. Mais heureusement, il est possible d'automatiser cette tâche fastidieuse avec des outils d’analyse des vulnérabilités.…

Lire la suite
Évènement

Compte rendu du Meetup OWASP Paris du 22/05/2019

La seconde édition du meetup OWASP Paris a eu lieu le mercredi 22 mai chez OCTO Technology. Ce meetup permet de réunir toutes personnes souhaitant concevoir et maintenir des logiciels plus sûrs. C'est un événement organisé par le Chapter France de l'OWASP. Il s’agit d’un meetup en mode "forum ouvert" découpé en 2 parties: lightning talk puis workshop. Lightning talk Le meetup a commencé par de courtes présentations proposées par les participants : Algorithme de chiffrement PBKDF2 OWASP Cheat Sheet (Github) Démonstration d'une attaque SSTI…

Lire la suite
Sécurité

Les “Security Champions” : votre première ligne de défense !

Tout au long du développement d'une application, l'équipe sera confrontée à de nombreuses problématiques de sécurité. Elle devra mettre en place les mesures de sécurité sans réellement avoir les connaissances nécessaires. Et dans le pire des cas, l’équipe n’aura même pas conscience des vulnérabilités de son application. La présence d’une équipe sécurité au sein de l’entreprise ne permet pas de couvrir l’ensemble des problématiques de sécurité. En effet, l’équipe sécurité n’est pas dimensionnée pour accompagner chaque équipe de développement et leurs processus sont rarement adaptés…

Lire la suite
Archi & techno

Bientôt la fin des mots de passe sur le Web ? (WebAuthn)

Les mots de passe sont négligés par les utilisateurs qui adoptent des comportements laxistes : même mot de passe sur tous les sites, faible entropie, mot de passe enregistré dans le navigateur … Du côté applicatif de nombreuses failles de sécurité exposent les mots de passe aux attaquants. Bref, il fallait trouver une alternative pour faciliter l'authentification des utilisateurs. Le but étant de renforcer la sécurité, réduire la surface d’exposition des secrets qui transitent sur le réseau. Pourquoi ne pas reprendre l’idée de l’authentification par…

Lire la suite