Sécurité

Sécurité

Sécurité dans les pods : Isolation et RuntimeClass

Kubernetes

Cet article s’appuie sur la notion d’extensions de Kubernetes déjà abordée ici, et détaillera plus particulièrement la Container Runtime Interfaces (CRI). Il s'adresse à une population familière avec Kubernetes. Vous le savez sans doute déjà : Kubernetes permet l’orchestration de milliers d’applications dispersées sur des dizaines de serveurs. Et lorsque vient la question de la sécurisation on doit en plus considérer un nombre croissant de niveaux : depuis la machine jusqu’à l’API exposée sur Internet, en passant par le cluster. Je vous propose une manière…

Lire la suite
Sécurité

Passbolt, une solution pour gérer les secrets au sein de votre équipe

Mot de passe

La question des mots de passe est un sujet sensible. Pour les mots de passe personnels, l’utilisation d’un gestionnaire de mots de passe est largement recommandée. En revanche, il est parfois nécessaire de partager certains secrets et mots de passe (clés d’API, comptes génériques, etc.) au sein d’une même équipe (qu'elle soit réduite ou non). La gestion de ces mots de passe en est souvent rendue plus compliquée. Cet article a pour objectif de présenter notre recherche d’un outil de gestion de mots de passe…

Lire la suite
Sécurité

Sécuriser un écosystème WebSocket sur AWS

Les API exposent un ensemble de services qui vont être utilisés par des applications. Quel que soit le type d’API, il faut prendre en compte la sécurité de celle-ci et contrôler l’accès à ses services. Dans le cadre du paradigme Serverless, le contrôle d’accès doit idéalement reposer sur des services managés qui sont soit fournis par le cloud provider ou qui lui sont externes. Dans cet article, nous aborderons les architectures Serverless Réactives à travers la plateforme AWS, en particulier dans le contexte d'une application…

Lire la suite
Sécurité

ReDoS (Regular expression Denial of Service)

Se protéger des attaques par déni de service, n’est plus un luxe ! La plupart des fournisseurs de CDN (Content Delivery Network) proposent une protection contre les attaques DDOS (Distributed Denial Of Service) protocolaires (du TCP au HTTP en passant par le TLS). L’attaquant doit trouver une alternative pour mener son attaque : le ReDoS !

Lire la suite
Sécurité

La Duck Conf 2020 – Découvrez le programme complet !

La Duck Conf est la conférence des amoureux de l'architecture SI dispensée par nos experts. Cette troisième édition s’adresse aux architectes techniques, architectes de données et d’entreprise, aux TechLead et aux experts en tout genre qui souhaitent soulever le capot et aborder concrètement leurs problématiques projet… Unique à Paris, elle offre un tour d’horizon des meilleures pratiques d’architecture fondé sur l’expertise et l’expérience terrain de nos experts : DevOps, API Management, Kubernetes, Data Science, Agilité, AppSec, ESB, TDD... Un track / une journée Un line-up d’experts…

Lire la suite
Sécurité

Comment conserver les mots de passe de ses utilisateurs en 2019 ?

Mot de passe

Lorsque vous concevez une application, vous vous posez forcément la question de l’authentification et du contrôle d’accès. Pour ça, plusieurs méthodes sont disponibles et la première qui vient généralement à l’esprit est l’utilisation d’un couple identifiant / mot de passe. Dans la mesure du possible, on préfèrera utiliser une solution dédiée à l’authentification et au contrôle d’accès : en bref, utiliser une solution d’IAM pour gérer ces aspects à votre place. C’est généralement plus simple à maintenir et c’est surtout souvent meilleur pour l’expérience utilisateur. …

Lire la suite
Sécurité

Sécuriser une API REST : tout ce qu’il faut savoir

Exposer votre métier via des API, que ce soit pour le reste de votre entreprise ou pour le monde entier, est une belle idée. Vous avez passé du temps à en concevoir le design pour les rendre facile d’utilisation par les développeurs, et vous avez repensé l'architecture de votre SI pour leur offrir la place qu'elles méritent… Et vous vous heurtez à la crainte de vos collègues et de vos supérieurs : “Mais si j’expose mes applications sur le web, mes données ne seront pas…

Lire la suite
Sécurité

Avec Trivy, c’est trivial d’identifier les vulnérabilités de vos conteneurs

Les conteneurs sont une manière de plus en plus courante de packager et de déployer les applications. Un conteneur comprend tout ce qui est nécessaire au fonctionnement de l’application: le code source ou le binaire de l’application, les fichiers de configuration, l’environnement d'exécution (Java, Python, Nodejs, …) et les bibliothèques. Il serait difficile de suivre manuellement tous ces éléments. Et autant dire qu’il serait impossible de suivre les vulnérabilités associées. Mais heureusement, il est possible d'automatiser cette tâche fastidieuse avec des outils d’analyse des vulnérabilités.…

Lire la suite
Sécurité

Compte rendu du Meetup OWASP Paris du 22/05/2019

La seconde édition du meetup OWASP Paris a eu lieu le mercredi 22 mai chez OCTO Technology. Ce meetup permet de réunir toutes personnes souhaitant concevoir et maintenir des logiciels plus sûrs. C'est un événement organisé par le Chapter France de l'OWASP. Il s’agit d’un meetup en mode "forum ouvert" découpé en 2 parties: lightning talk puis workshop. Lightning talk Le meetup a commencé par de courtes présentations proposées par les participants : Algorithme de chiffrement PBKDF2 OWASP Cheat Sheet (Github) Démonstration d'une attaque SSTI…

Lire la suite