Sécurité

Sécurité

Bientôt la fin des mots de passe sur le Web ? (WebAuthn)

Les mots de passe sont négligés par les utilisateurs qui adoptent des comportements laxistes : même mot de passe sur tous les sites, faible entropie, mot de passe enregistré dans le navigateur … Du côté applicatif de nombreuses failles de sécurité exposent les mots de passe aux attaquants. Bref, il fallait trouver une alternative pour faciliter l'authentification des utilisateurs. Le but étant de renforcer la sécurité, réduire la surface d’exposition des secrets qui transitent sur le réseau. Pourquoi ne pas reprendre l’idée de l’authentification par…

Lire la suite
Sécurité

Gardez les clés de votre infrastructure à l’abri avec Vault

Nous avons déjà présenté sur ce blog l’outil Vault de Hashicorp, son fonctionnement en mode PKI, son intégration avec AWS ou avec Kubernetes. Cette fois-ci nous allons nous intéresser à une autre fonction de Vault : Le contrôle des accès SSH aux serveurs de votre infrastructure. Cette fonctionnalité, et toutes ses déclinaisons, est fournie par le Secret Engine SSH.

Lire la suite
Sécurité

Déployer ses application dans Kubernetes avec des secrets Vault

Dans cet article, nous allons tenter d’alimenter une discussion que nous entendons régulièrement et qui commence comme ceci : « Et du coup, on peut baser les secrets Kubernetes sur du Hashicorp Vault ? Heu, non, pas vraiment, soit on utilise les secrets Kubernetes pour mettre ses données sensibles, soit on s’appuie sur Vault pour ça. Ah, d’accord, du coup, si je veux mettre mes données sensibles dans Vault, je ne dois plus utiliser les secrets Kubernetes ? C’est ça, il y a clairement double-emploi.…

Lire la suite
Sécurité

Compte-rendu de la Matinale : DevSecOps League

Compte-rendu de la Matinale “DevSecOps League : sortez la sécurité de l’obscurantisme” 4 octobre 2018. Par Didier Bernaudeau Dans un contexte de plus en plus agile, la sécurité traditionnelle n’est plus efficace. En effet, lorsque la sécurité est traitée sous un aspect conformité, cela se résume à une liste interminable d’exigences de sécurité. Elles ne sont pas priorisées, parfois inutiles dans le contexte mais surtout, personne ne sait comment les implémenter style. Et en guise de recette sécurité, des tests d’intrusion sont menés tardivement et…

Lire la suite
Sécurité

Back to Basics : Le Bastion SSH

Le bastion SSH est un élément courant d’architecture. Souvent présenté comme améliorant la sécurité de votre infrastructure, cela n’est pas la seule raison pour laquelle vous pourriez avoir besoin d’un bastion, sans le savoir. Principes de base Pour se connecter au serveur, il est ici indispensable de passer d’abord par le bastion.  Un bastion SSH est une brique d’infrastructure qui permet à une connexion SSH de “rebondir” avant d’atteindre sa cible. Une connexion SSH permet d’ouvrir un Shell via un canal de communication sécurisé sur…

Lire la suite
Sécurité

Notre navigation sur internet est-elle sécurisée ?

De nos jours, le grand public est de plus en plus sensibilisé à la sécurité sur Iinternet. On ne compte plus le nombre de fois où la question de la confidentialité de nos échanges sur internet a fait les gros titres. L’événement le plus mémorable de ces dernières années reste, assurément, l’affaire Snowden, qui avait révélé au grand jour la surveillance de masse opérée par la NSA pour le compte des États-Unis. Cependant, il serait illusoire de penser que seuls les États surveillent les échanges…

Lire la suite
Sécurité

Cacher sa webcam avec du sparadrap : est-ce bien sérieux ?

Avez-vous déjà vu un ordinateur portable affublé d'un sparadrap ou d’une bande adhésive opaque pour masquer la webcam ? Si oui, sans doute avez-vous eu ce sentiment d'être témoin d'un excès de paranoïa.   Pourquoi autant de prévoyance ? Est-il si facile de prendre le contrôle de nos machines ? Découvrons ensemble comment un informaticien malveillant peut pénétrer dans un système, en prendre le contrôle, puis déclencher une capture vidéo avec la webcam.     Disclaimer : La prise de contrôle à distance d’un système…

Lire la suite
Sécurité

IoT et sécurité : une union impossible ?

S'il est une question qui ne cesse de prendre de l'ampleur dans le domaine de l'Internet des Objets, c'est bien celle-ci : L'IoT a-t-il un avenir malgré son manque inhérent de sécurité ? Les études montrent qu'en dépit du constat évident que cet écosystème est rempli de failles de sécurité qui peuvent mettre en péril leur fonctionnement, l'intérêt des entreprises pour l'IoT ne faiblit pas. En effet, dans une dynamique pragmatique, les organisations privilégient l'apport indéniable qu'apportent ces technologies sur leur business et leurs méthodes…

Lire la suite
Sécurité

Mon premier certificat

Mon premier certificat – Pour passer ton site en https, il te faut un certificat, et tu vas voir, ce n'est pas très compliqué. – Un certifiquoi ? – Un certificat. Les certificats permettent de chiffrer les messages et d'authentifier. — Et en français, ça veut dire quoi ? — Ça te permet d'authentifier, c'est à dire vérifier l'identité de la personne / entreprise. Dans ton cas, ça permettra aux utilisateurs de ton site de s'assurer que le site appartient bien à ton entreprise. La…

Lire la suite