Sécurité

Sécurité

Comment conserver les mots de passe de ses utilisateurs en 2019 ?

Mot de passe

Lorsque vous concevez une application, vous vous posez forcément la question de l’authentification et du contrôle d’accès. Pour ça, plusieurs méthodes sont disponibles et la première qui vient généralement à l’esprit est l’utilisation d’un couple identifiant / mot de passe. Dans la mesure du possible, on préfèrera utiliser une solution dédiée à l’authentification et au contrôle d’accès : en bref, utiliser une solution d’IAM pour gérer ces aspects à votre place. C’est généralement plus simple à maintenir et c’est surtout souvent meilleur pour l’expérience utilisateur. …

Lire la suite
Sécurité

Sécuriser une API REST : tout ce qu’il faut savoir

Exposer votre métier via des API, que ce soit pour le reste de votre entreprise ou pour le monde entier, est une belle idée. Vous avez passé du temps à en concevoir le design pour les rendre facile d’utilisation par les développeurs, et vous avez repensé l'architecture de votre SI pour leur offrir la place qu'elles méritent… Et vous vous heurtez à la crainte de vos collègues et de vos supérieurs : “Mais si j’expose mes applications sur le web, mes données ne seront pas…

Lire la suite
Sécurité

Avec Trivy, c’est trivial d’identifier les vulnérabilités de vos conteneurs

Les conteneurs sont une manière de plus en plus courante de packager et de déployer les applications. Un conteneur comprend tout ce qui est nécessaire au fonctionnement de l’application: le code source ou le binaire de l’application, les fichiers de configuration, l’environnement d'exécution (Java, Python, Nodejs, …) et les bibliothèques. Il serait difficile de suivre manuellement tous ces éléments. Et autant dire qu’il serait impossible de suivre les vulnérabilités associées. Mais heureusement, il est possible d'automatiser cette tâche fastidieuse avec des outils d’analyse des vulnérabilités.…

Lire la suite
Sécurité

Compte rendu du Meetup OWASP Paris du 22/05/2019

La seconde édition du meetup OWASP Paris a eu lieu le mercredi 22 mai chez OCTO Technology. Ce meetup permet de réunir toutes personnes souhaitant concevoir et maintenir des logiciels plus sûrs. C'est un événement organisé par le Chapter France de l'OWASP. Il s’agit d’un meetup en mode "forum ouvert" découpé en 2 parties: lightning talk puis workshop. Lightning talk Le meetup a commencé par de courtes présentations proposées par les participants : Algorithme de chiffrement PBKDF2 OWASP Cheat Sheet (Github) Démonstration d'une attaque SSTI…

Lire la suite
Sécurité

Un an de RGPD @ OCTO

RGPD @ OCTO

Il y a un an, nous recevions tous une avalanche de mise à jour de nos CGV ou CGU. Il y a un an, le règlement général sur la protection des données (RGPD) entrait en vigueur et faisait la une. Il y a un an aussi, plusieurs d’entre nous découvraient ce qu’était une donnée personnelle : “Est-ce que je dois effacer de mon agenda tous les rendez-vous passés car ils contiennent le nom et les coordonnées des invités ?” “Les traitements exploratoires en datascience, c’est…

Lire la suite
Sécurité

Les “Security Champions” : votre première ligne de défense !

Tout au long du développement d'une application, l'équipe sera confrontée à de nombreuses problématiques de sécurité. Elle devra mettre en place les mesures de sécurité sans réellement avoir les connaissances nécessaires. Et dans le pire des cas, l’équipe n’aura même pas conscience des vulnérabilités de son application. La présence d’une équipe sécurité au sein de l’entreprise ne permet pas de couvrir l’ensemble des problématiques de sécurité. En effet, l’équipe sécurité n’est pas dimensionnée pour accompagner chaque équipe de développement et leurs processus sont rarement adaptés…

Lire la suite
Sécurité

Bientôt la fin des mots de passe sur le Web ? (WebAuthn)

Les mots de passe sont négligés par les utilisateurs qui adoptent des comportements laxistes : même mot de passe sur tous les sites, faible entropie, mot de passe enregistré dans le navigateur … Du côté applicatif de nombreuses failles de sécurité exposent les mots de passe aux attaquants. Bref, il fallait trouver une alternative pour faciliter l'authentification des utilisateurs. Le but étant de renforcer la sécurité, réduire la surface d’exposition des secrets qui transitent sur le réseau. Pourquoi ne pas reprendre l’idée de l’authentification par…

Lire la suite
Sécurité

Gardez les clés de votre infrastructure à l’abri avec Vault

Nous avons déjà présenté sur ce blog l’outil Vault de Hashicorp, son fonctionnement en mode PKI, son intégration avec AWS ou avec Kubernetes. Cette fois-ci nous allons nous intéresser à une autre fonction de Vault : Le contrôle des accès SSH aux serveurs de votre infrastructure. Cette fonctionnalité, et toutes ses déclinaisons, est fournie par le Secret Engine SSH.

Lire la suite
Sécurité

Déployer ses application dans Kubernetes avec des secrets Vault

Dans cet article, nous allons tenter d’alimenter une discussion que nous entendons régulièrement et qui commence comme ceci : « Et du coup, on peut baser les secrets Kubernetes sur du Hashicorp Vault ? Heu, non, pas vraiment, soit on utilise les secrets Kubernetes pour mettre ses données sensibles, soit on s’appuie sur Vault pour ça. Ah, d’accord, du coup, si je veux mettre mes données sensibles dans Vault, je ne dois plus utiliser les secrets Kubernetes ? C’est ça, il y a clairement double-emploi.…

Lire la suite