Sécurité

Bonne pratique

Apprendre la normalité ou détecter l’anormalité ?  – Compte-rendu du talk de Reynald Rivière à La Duck Conf 2022

Reynald est Senior Manager en Data Science chez OCTO et intervient sur des missions de création de services et produits basés sur l’IA et la data. Ayant travaillé sur la Data Science dans plusieurs secteurs d'activité, il nous présente aujourd’hui l’IA appliquée au domaine de la cybersécurité, en tentant de répondre à la question : Apprendre la normalité ou détecter l’anormalité avec l’IA ? 1. Un peu d'humilité pour démarrer cette session “Tous nos modèles sont faux… mais certains utiles” Georges Box, statisticien du siècle…

Lire la suite
Blockchain

Etude de cas d’utilisation de Zero Knowledge Proof (ZKP)

  INTRODUCTION Depuis 1976, date de l'implémentation de la cryptographie asymétrique par Whitfield Diffie et Martin Hellman, la cryptographie ne cesse d'évoluer et de se réinventer pour être toujours plus performante et impressionnante. Il faut dire que le fait de chiffrer une donnée avec une clé publique pour que seule la personne en possession de la clé privée associée puisse la déchiffrer, était une révolution par rapport à tous les moyens de chiffrement de l'époque. C'est dans ce contexte qu'en 1985 le Zero Knowledge Proof…

Lire la suite
Sécurité

Efficace et pas cher, c’est le SAST que je préfère !

Dans le domaine des outils de sécurité applicative, notamment depuis l’arrivée du "shift security left" et du DevOps, plusieurs acronymes reviennent régulièrement : SAST (Static Application Security Testing) ; DAST (Dynamic Application Security Testing) ; RASP (Run-time Application Security Protection) ; ou encore SCA (Software Composition Analysis). Parmi ces outils, certains s’exécutent directement sur le code source (SAST, SCA), tandis que d’autres nécessitent qu'il soit exécuté (DAST) ou même de s’intégrer au code de l’application (RASP). Nous allons nous intéresser tout particulièrement au SAST. Si…

Lire la suite
Archi & techno

Zero Trust Architecture : vers un SI où le périmètre n’importe plus

Depuis quelques années, un couple de mots ressort de plus en plus dans le monde de la sécurité. Cette combinaison de termes, c’est "Zero Trust". C’est un couple qui revient beaucoup, mais le concept est encore méconnu, mal compris et parfois déformé par un excès de marketing. Alors, c’est quoi Zero Trust ? Qu’est-ce que ça change à nos SI ? Au-delà du concept, comment peut-on le décliner ?

Lire la suite
Android

Détectez les pisteurs sur Android avec exodus-standalone

Des bibliothèques tierces appelées pisteurs sont souvent présentes dans les applications mobiles, parfois au dépit des législations en vigueur, de la sécurité de ces applications ou des droits des personnes les utilisant. Voyons ensemble ces problématiques plus en détails et comment s’en prémunir, en particulier sur Android. Qu’est-ce qu’un pisteur et quels problèmes posent-ils ? “Pisteur”, “traceur”, “traqueur”, plusieurs termes peuvent être utilisés pour parler de la même chose. Commençons par définir ce que nous allons appeler un pisteur dans le reste de cet article.…

Lire la suite
Sécurité

Passbolt, une solution pour gérer les secrets au sein de votre équipe

Mot de passe

La question des mots de passe est un sujet sensible. Pour les mots de passe personnels, l’utilisation d’un gestionnaire de mots de passe est largement recommandée. En revanche, il est parfois nécessaire de partager certains secrets et mots de passe (clés d’API, comptes génériques, etc.) au sein d’une même équipe (qu'elle soit réduite ou non). La gestion de ces mots de passe en est souvent rendue plus compliquée. Cet article a pour objectif de présenter notre recherche d’un outil de gestion de mots de passe…

Lire la suite
Sécurité

Comment conserver les mots de passe de ses utilisateurs en 2019 ?

Mot de passe

Lorsque vous concevez une application, vous vous posez forcément la question de l’authentification et du contrôle d’accès. Pour ça, plusieurs méthodes sont disponibles et la première qui vient généralement à l’esprit est l’utilisation d’un couple identifiant / mot de passe. Dans la mesure du possible, on préfèrera utiliser une solution dédiée à l’authentification et au contrôle d’accès : en bref, utiliser une solution d’IAM pour gérer ces aspects à votre place. C’est généralement plus simple à maintenir et c’est surtout souvent meilleur pour l’expérience utilisateur. …

Lire la suite
api

Sécuriser une API REST : tout ce qu’il faut savoir

Exposer votre métier via des API, que ce soit pour le reste de votre entreprise ou pour le monde entier, est une belle idée. Vous avez passé du temps à en concevoir le design pour les rendre facile d’utilisation par les développeurs, et vous avez repensé l'architecture de votre SI pour leur offrir la place qu'elles méritent… Et vous vous heurtez à la crainte de vos collègues et de vos supérieurs : “Mais si j’expose mes applications sur le web, mes données ne seront pas…

Lire la suite
Évènement

Retour sur le FOSDEM 2019

Nouvelle année, nouvelle édition du FOSDEM (Free and Open Source Developers’ European Meeting). Après une édition 2018 bien fournie le cru 2019 s'est également révélé de bonne qualité. Impossible de lister tout ce que nous avons pu voir sur ces deux jours... Comme l'an dernier nous reviendrons donc sur certaines tendances qui nous ont marqué.

Lire la suite
Archi & techno

Retour sur les APIDays 2018

La tribu WOAPI (Web Oriented Architecture & APIs) d'OCTO était présente en décembre à la conférence API Days Paris, peut-être LA conférence incontournable sur le sujet. Une conférence dense, de deux jours abordant de nombreux sujets transverses. Une première journée très technique et comme à son habitude, une deuxième journée qui revêt une approche plus sociétale. Elle nous permet de poser la question des développeurs, de l’open source et des API dans la société “en général”. Nous vous proposons dans cet article de revenir sur…

Lire la suite