Sécurité

Sécurité

Découverte du bastion Teleport

Dans cet article, nous allons jeter un coup d’œil à Teleport, dans sa version open source. Pour résumer, au risque d’être simplificateur, il s’agit d’une solution de bastion qui tente le délicat exercice de protéger une ferme de machines et de services, sans être trop intrusif à l’usage. Nous avions évoqué ce produit il y a quelques années, il est temps d’aller plus loin. L’objectif ici n’est pas de paraphraser le site de ce logiciel qui décrit tout son fonctionnement, son installation et sa configuration,…

Lire la suite
Sécurité

BD – Le HTTPS

Hello ! Aujourd'hui, la grande majorité des sites fiables ou très fréquentés sont en HTTPS. Vous les reconnaîtrez très souvent au petit cadenas devant l'URL. On vous a d'ailleurs peut-être déjà mis en garde : "N'effectue jamais un paiement sur un site où il n'y a pas le petit cadenas !" Même les navigateurs se mettent à nous alerter lorsque l'on va se connecter à un site en HTTP, ou "non sécurisé". Mais qu'est-ce qui fait la différence entre un site en HTTP et un…

Lire la suite
Sécurité

Télétravail : les déconvenues du VPN

Cela fait des années que les entreprises préparent leur plan de continuité d’activité face à une pandémie. Cela a débuté en 2009 avec la Grippe A (H1N1) lorsque le gouvernement incitait les sociétés à mettre en place un Plan de Continuité d’Activité Pandémie.  Outre l’achat des équipements de protection (masque, blouse, …) pour le personnel, les entreprises doivent se préparer au télétravail en ouvrant leur réseau informatique vers l’extérieur. Si le VPN est la solution généralement retenue, le lancement du plan de continuité ne s’est…

Lire la suite
Sécurité

Sécurité dans les pods : Isolation et RuntimeClass

Kubernetes

Cet article s’appuie sur la notion d’extensions de Kubernetes déjà abordée ici, et détaillera plus particulièrement la Container Runtime Interfaces (CRI). Il s'adresse à une population familière avec Kubernetes. Vous le savez sans doute déjà : Kubernetes permet l’orchestration de milliers d’applications dispersées sur des dizaines de serveurs. Et lorsque vient la question de la sécurisation on doit en plus considérer un nombre croissant de niveaux : depuis la machine jusqu’à l’API exposée sur Internet, en passant par le cluster. Je vous propose une manière…

Lire la suite
Sécurité

Passbolt, une solution pour gérer les secrets au sein de votre équipe

Mot de passe

La question des mots de passe est un sujet sensible. Pour les mots de passe personnels, l’utilisation d’un gestionnaire de mots de passe est largement recommandée. En revanche, il est parfois nécessaire de partager certains secrets et mots de passe (clés d’API, comptes génériques, etc.) au sein d’une même équipe (qu'elle soit réduite ou non). La gestion de ces mots de passe en est souvent rendue plus compliquée. Cet article a pour objectif de présenter notre recherche d’un outil de gestion de mots de passe…

Lire la suite
Sécurité

Sécuriser un écosystème WebSocket sur AWS

Les API exposent un ensemble de services qui vont être utilisés par des applications. Quel que soit le type d’API, il faut prendre en compte la sécurité de celle-ci et contrôler l’accès à ses services. Dans le cadre du paradigme Serverless, le contrôle d’accès doit idéalement reposer sur des services managés qui sont soit fournis par le cloud provider ou qui lui sont externes. Dans cet article, nous aborderons les architectures Serverless Réactives à travers la plateforme AWS, en particulier dans le contexte d'une application…

Lire la suite
Sécurité

ReDoS (Regular expression Denial of Service)

Se protéger des attaques par déni de service, n’est plus un luxe ! La plupart des fournisseurs de CDN (Content Delivery Network) proposent une protection contre les attaques DDOS (Distributed Denial Of Service) protocolaires (du TCP au HTTP en passant par le TLS). L’attaquant doit trouver une alternative pour mener son attaque : le ReDoS !

Lire la suite
Sécurité

La Duck Conf 2020 – Découvrez le programme complet !

La Duck Conf est la conférence des amoureux de l'architecture SI dispensée par nos experts. Cette troisième édition s’adresse aux architectes techniques, architectes de données et d’entreprise, aux TechLead et aux experts en tout genre qui souhaitent soulever le capot et aborder concrètement leurs problématiques projet… Unique à Paris, elle offre un tour d’horizon des meilleures pratiques d’architecture fondé sur l’expertise et l’expérience terrain de nos experts : DevOps, API Management, Kubernetes, Data Science, Agilité, AppSec, ESB, TDD... Un track / une journée Un line-up d’experts…

Lire la suite
Sécurité

Comment conserver les mots de passe de ses utilisateurs en 2019 ?

Mot de passe

Lorsque vous concevez une application, vous vous posez forcément la question de l’authentification et du contrôle d’accès. Pour ça, plusieurs méthodes sont disponibles et la première qui vient généralement à l’esprit est l’utilisation d’un couple identifiant / mot de passe. Dans la mesure du possible, on préfèrera utiliser une solution dédiée à l’authentification et au contrôle d’accès : en bref, utiliser une solution d’IAM pour gérer ces aspects à votre place. C’est généralement plus simple à maintenir et c’est surtout souvent meilleur pour l’expérience utilisateur. …

Lire la suite
Sécurité

Sécuriser une API REST : tout ce qu’il faut savoir

Exposer votre métier via des API, que ce soit pour le reste de votre entreprise ou pour le monde entier, est une belle idée. Vous avez passé du temps à en concevoir le design pour les rendre facile d’utilisation par les développeurs, et vous avez repensé l'architecture de votre SI pour leur offrir la place qu'elles méritent… Et vous vous heurtez à la crainte de vos collègues et de vos supérieurs : “Mais si j’expose mes applications sur le web, mes données ne seront pas…

Lire la suite