Korben - Site d'actualité geek et tech

Interview de Juan Branco, l’avocat de Wikileaks

3

Thinkerview a interviewé Juan Branco, l'un des avocats de Wikileaks et je dois dire que c'était passionnant. Je la partage avec vous si vous ne l'avez pas encore vu.

Notez que Juan a apporter quelques corrections dans un commentaires concernant 2 points où il a fait erreur.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Reportage – Retour sur la Radware Hacker’s Challenge

0

Le 20 juin au Karé à Boulogne-Billancourt à Paris, c'est déroulé la Radware Hackers Challenge, en co-prod avec Cisco.

L'évènement s'adressait aux professionnels de la sécurité informatique mais aussi aux hackers indé ou en école, qui souhaitaient se tester en live et découvrir de nouvelles méthodes et techniques de défense en sécurité informatique.

La demo réalisée par les participants, au cours du challenge, consistait à attaquer une infrastructure informatique spécialement conçue pour l’occasion et durant un temps limité selon différents protocoles et level de sécurité.

Comme pour le CES, j'ai embarqué Jerome de Nowtech dans l'aventure, pour m'aider à restranscrire le mieux possible l'évènement. Mes compétences s'améliorent mais je ne suis encore qu'un simple Padawan en prod vidéo.

Je tiens à remercier tous les participants hackers d'avoir accepter la présence de la caméra et d'avoir fait preuve d'un bel esprit de partage avec les visiteurs et non-initiés et je donne rendez-vous à certains à la Nuit du Hack ;)


"Parce qu'après tout un petit secret ça se partage pas"

- Damien Bancal, 20 juin 2017



D'ailleurs les amis, si vous voulez tester vos connaissances avant de débarquer dans l'antre de NDH, je vous invite à tester Root Me.

Et encore bravo aux 3 big boss du jour, SaxX, NotFound et i0n3l

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Concours – Apprendre à coder avec Scratch

1

En attendant que le code devienne une matière coeff 9 au BAC, si vous êtes une maman ou un papa codeur, un éducateur ou à la recherche d'un cadeau pour la nièce ou le neveu fan d'ordi, je vous propose de découvrir Scratch et d'en gagner, pourquoi pas, l'un des 3 exemplaires mis en jeu.

Scratch est un environnement de programmation simple et gratuit permettant d'initier les 8-12 ans à l'informatique.


D'approche très visuelle, fonctionnant par assemblage de blocs de couleur, Scratch existe en version française, sur Internet ou téléchargeable, pour PC, Mac et Linux. Pour apprendre à coder avec Scratch, ce coffret ludique et pédagogique comprend 85 cartes illustrées ainsi qu'un petit livret d'explications. Chaque carte d'activité propose au recto de réaliser une action simple, et fournit au verso la solution pas à pas. L'enfant sera ainsi amené à créer une foule de projets amusants, comme des animations, des histoires interactives, des jeux et des mélodies. Un coffret à découvrir en classe, en atelier, à la bibliothèque, au musée ou à la maison.

  • Le recto de chaque carte présente l'activité à réaliser.
  • Le verso explique comment y arriver.
  • Pour jouer:

    Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

    Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

    Filmer, monter et publier une vidéo entièrement depuis un iPhone

    9

    J'en ai parlé dans un Appload rapidement la dernière fois, mais depuis quelques temps je me suis mis à réaliser mes vidéos YouTube entièrement de A à Z sur mon iPhone. (Mon Android étant un peu trop juste en mémoire pour faire de telles choses)

    Oui ça peut paraitre étrange dit comme ça mais ça fait gagner un max de temps. Vous voulez voir un exemple ? Et bien voici la dernière que j'ai réalisée.

    Pas dégueu comme rendu, n'est-ce pas ?

    Évidemment, niveau qualité de la vidéo, la Full HD de l'iPhone 6S Plus fait bien le job. Mais pour avoir un meilleur grip et éviter de trop bouger ou de mettre mes gros doigts devant l'objectif, j'ai opté pour ce Shoulder Pod qui permet aussi grâce au poids situé à sa base, de stabiliser *un peu* l'image.

    Dans certains cas, il est pratique aussi de pouvoir poser tout ça sur un trépied. Comme l'ensemble Shoulder Pod + iPhone pèse son petit poids, j'ai acheté le mini trépied Joby.

    Notez que dans le Shoudler Pod, il y a un ressort (comme dans les flingues), ce qui met la puce à l'oreille des agents qui contrôlent les bagages au scan. Pensez donc bien à le sortir de votre sac et à la mettre dans une barquette pour que les mecs n'aient pas à fouiller partout.

    L'ensemble est parfait, mais comme toujours quand on fait des vidéos, l'important n'est pas la qualité de l'image, mais la qualité du son. Là niveau micro, il y a l'embarras du choix. J'ai pris un micro Shure MV88/A qui se connecte sur le port Lightning de l'iPhone. Avec son application dédiée, il permet de bien capter la voix de la personne qu'on filme, y compris dans un environnement bruyant, mais j'ai quand même 2/3 petits soucis avec. Si on le touche pendant qu'on enregistre, cela peut provoquer quelques petits grésillements. Il sort assez facilement du port Lightning donc on peut le perdre si on n'y fait pas attention.

    Et l'orientation du micro est telle qu'il n'est pas possible d'enregistrer le son à l'avant ET à l'arrière du téléphone. Je dois donc me rapprocher du micro pour qu'on m'entende lorsque je pose mes questions. Il est orienté pour une utilisation à plat, conçu pour de l'audio uniquement et pas vraiment pour une utilisation verticale en mode film.

    Pour les plans rapproché ou large, j'ai aussi opté pour ces lentilles. C'est du bricolage, mais ça fonctionne.

    Enfin, si j'ai besoin par exemple de me filmer hauteur d'homme (ou de prendre une photo), je vous recommande vivement ces stickers qui se collent au dos du téléphone pour pouvoir le coller partout. C'est super pratique ! Je l'ai même fait tomber dans la terre il y a quelques semaines. Je l'ai détaché du téléphone, je l'ai lavé au produit vaisselle et à l'eau chaude et il s'est remis à coller comme si de rien n'était. C'est vraiment conçu pour supporter du poids et j'adore ce truc.

    Pour les vacances, j'ai prévu aussi cette housse étanche pour mettre l'iPhone dans la flotte. On verra bien ce que ça donne.

    Après niveau logiciel, je filme avec l'application native de l'iPhone et il m'est arrivé d'avoir des plans horizontaux qui se sont enregistrés verticalement par faute d'inattention et de passages vertical/horizontal trop rapides (ce qui n'arrive plus avec le Shoulder Pod). Du coup, pour remettre tout ça dans le bon sens, j'utilise Rotate & Flip.

    Si je manque un peu de plans de coupe, j'utilise aussi Motion Stills qui me permet d'exporter des live photos (vous savez, les photos qui bougent pendant 3 sec) au format vidéo (ou GIF animé si ça vous chante) que je peux ensuite réimporter lors du montage que je réalise avec LumaFusion.

    Cet outil est payant, mais c'est un régal, car on peut faire grosso modo la même chose qu'avec Final Cut. iMovie pour iOS ne m'a pas donné satisfaction et Luma Fusion est capable de gérer plusieurs pistes vidéo et audio, de régler le son, de découper comme on veut ses séquences, de placer des transitions, des écrans titre...Etc. Tout pareil je vous dis. Ou pas loin.

    Pour mes besoins d'amateur éclairé, c'est largement suffisant.

    L'application Motiv que vous voyez sur l'image, c'est ce qui permet de régler le micro Shure. Ensuite, j'ai Pixelmator qui comme sous macOS est un formidable outil qui permet de faire de la retouche d'image. Je l'utilise pour créer mes vignettes YouTube.

    Puis pour terminer, j'utilise l'application YouTube classique pour uploader ma vidéo en 4G et l'application Youtube Creator Studio pour gérer les à côté comme mettre la vignette, le titre de la vidéo, la description, la visibilité...etc. ainsi que les stats et la gestion des commentaires.

    Voilà, j'ai fait le tour. Grâce à ce matos et ces petits softs, je suis autonome en matière de production vidéo et je continue de voyager léger.

    Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

    Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin
    Hacking Éthique : Un Cours Complet pour s'initier à la sécurité informatique

    Apprenez la sécurité informatique pour vous protéger des cyberattaques - déjà + de 5000 inscrits

    Vous découvrirez les "malwares" (trojan, keyloggers, backdoors...etc) les plus populaires et vous apprendrez à vous en défendre à l'aide de divers outils et méthodes.Vous apprendrez les concepts de base en Cryptographie et en Stéganographie. Vous aurez des notions de SSL/TLS, PGP, etc…Et tout ça en créant votre propre laboratoire de test pour pratiquer sans casser.Préparez-vous au métier de « responsable de la sécurité des systèmes d’information », de « consultant en sécurité informatique », ou à des certifications comme CEH (Certified Ethical Hacker)

    Le cours est proposé aux lecteurs du blog à 10€ au lieu de 160€

    Que faire quand on n’arrive pas à tomber sur le portail captif d’une borne wifi publique ?

    21

    Quand on se connecte à un réseau public wifi, il arrive parfois qu'on ait du mal à obtenir le fameux "portail captif"' où on nous demande en général notre adresse email, avant de nous laisser librement surfer. En effet, sur certaines bornes wifi, le truc est tellement mal configuré que si vous entrez l'URL de votre moteur de recherche préférée ou de Facebook et bien vous n'obtiendrez rien.

    Plantage ? Non, c'est juste que le portail captif n'accepte pas les connexions en HTTPS... Et comme la plupart des sites utilisent SSL/TLS, HSTS...etc., et bien ça ne passe pas.

    Alors dans ce cas, il y a 2 solutions pour vous assurer des vacances pépères. Moi à titre perso, ce que je fais surtout, c'est de me placer directement sur le routeur en entrant dans mon navigateur des IP comme 192.168.0.1 ou 192.168.1.1 ou 10.0.0.1 ... En général ça passe et on est renvoyé vers le portail captif où on peut alors rentrer ses infos pour se connecter.

    Mais l'autre solution consiste à se placer sur un site sans SSL/TLS. Si vous en avez un en tête, testez-le, sinon utilisez le site http://neverssl.com.

    Sur ce site, pas d'authentification forte, pas de HTTP2, pas de HSTS, pas de chiffrement. Juste du bon vieux HTTP comme on en fait plus. À partir de ce point d'entrée, vous serez alors redirigé vers le portail captif et ensuite vous pourrez surfer sur tous vos sites préférés (avec HTTPS, je vous rassure) comme bon vous semble.

    N'oubliez pas quand même, les bornes wifi publiques, c'est comme le sexe non protégé. Quand on ne sait pas trop sur quoi on se "branche", il vaut mieux utiliser une protection type VPN.

    source

    Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

    Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

    Développement sécurisé – Apprendre à maitriser le risque

    1

    Article rédigé dans le cadre de la Hacker's Challenge et sponsorisé par Radware

    À l'origine des failles de sécurité, il y a le plus souvent, une erreur humaine. Et les développeurs sont (à quelques rares exceptions prêtes ) des humains.

    Pourtant il existe quelques principes de base notamment recommandée par l'OWASP qui permettent de produire du code à minima sécurisé. Mais peu de développeurs prennent le temps d'intégrer et d'appliquer ces principes.

    C'est d'ailleurs pour ça que le bug bounty et bountyfactory.io ont le vent en poupe, car au-delà d'aider les boites à mieux se sécuriser, il permet aussi aux développeurs de monter en compétences en se frottant à une véritable communauté d'experts en sécurité.

    Souvenez-vous, en 2013, Adobe subissait une fuite de données impactant 38 millions de personnes. Cela a abouti à un procès et Adobe a dû payer 1 million de dollars (c'est peu) répartis entre 500 000 personnes dans 15 états américains.

    Puis en 2015, Orange Business a vu fuiter plus de 9500 contacts pros (adresses postales, téléphones, noms de sociétés de responsables de comptes, responsables commerciaux, RSSI...etc.) à cause d'une erreur dans un formulaire, autorisant une injection SQL.

    L'année d'après, ce fut au tour de la branche bancaire de Tesco (chaine de magasins en Angleterre) se voir 9000 comptes clients se faire piller à cause d'une faille de sécurité. Ce piratage a d'ailleurs provoqué une sérieuse chute du titre boursier de la société.

    Plus récemment, vous vous souvenez peut-être aussi de DAO, cette plateforme reposant sur la blockchain Ethereum, qui utilise des smart contracts. Ce sont les lois qui régissent la plateforme et c'est le code qui fait la loi. Seulement, à cause d'une faille dans ce code, DAO a vu s'envoler dans la poche d'un gars plus malin que les autres, environ 56 millions de dollars. Ça doit piquer un peu.

    Tous ces exemples montrent que négliger la sécurité de son code applicatif peut avoir de lourdes conséquences. Les risques sont assez simples à visualiser : Perte de confiance des clients (fuite de données personnelles), remise en cause de la réputation globale de la société (chute en bourse) et dans certains cas, cela peut même aider la concurrence (perte de code sensible et autres secrets industriels).

    Évidemment, la société touchée perdra de l'argent et si la faille dans le code est vraiment énorme, j'image qu'on exigera des explications de la part des équipes de dev à l'origine de la négligence. Bref, c'est moche pour tout le monde.

    Le développement sécurisé, c'est donc tout simplement :

    N'accorder aucune confiance. Ni à vos utilisateurs, ni à vos admins systèmes, ni aux webservices externes que vous utilisez. Vous devez contrôler tout ce que vos utilisateurs et vos webservices vous communiquent, et vous ne devez pas vous reposer entièrement sur votre sysadmin en vous disant que "c'est bon, il a mis un firewall". Le WAF (Firewall applicatif) n'est pas votre maman et ne fera pas tout à votre place.

    Garder en tête que quelqu'un, quelque part vous veut du mal. Non, vous n'êtes pas sous le radar, même si vous êtes une startup qui débute, même si personne ne connait votre application...etc. Il existe tellement de bots, de scanners de vuln ou de gens qui testent des trucs que forcement à un moment, quelqu'un essayera de contourner vos sécurités.

    Devenir monomaniaque. Alors pas dans la vie privée bien sûr, mais quand il s'agit de code, vous devez adopter une vision pessimiste de la vie et réfléchir à la sécurité à chaque fois que vous pressez une touche de votre clavier.

    De plus, il y a pas mal de mythes à combattre. Comme je le disais, le WAF ne fera pas tout. Aussi, les outils de crypto ou les frameworks que vous choisissez sont très importants pour monter le niveau de sécurité de votre application, mais ils ne sont pas magiques. Ce seront vos bonnes pratiques qui feront la différence.

    Les pentests et autres audits sont importants, mais c'est par nature une intervention limitée en temps, et en ressources humaines donc vous ne pouvez pas non plus vous reposer uniquement là dessus pour sécuriser après coup votre code.

    Enfin, ne négligez pas vos applications mineures. Tout ce que vous développez doit être soumis à la même rigueur, car de petites choses non sensibles en apparence peuvent servir de passerelle pour attaquer quelque chose de plus important, ou qui sais, peut être qu'un jour, ce code fait à l'arrache sur un prototype sera repris par quelqu'un pour être déployé sur une application un poil plus cruciale pour le business de votre société.

    Heureusement, pour vous guider, l'OWASP a fait un formidable travail de recensement et grosso modo, le top 10 des failles les plus courantes sont :

    • XSS - Cross site scripting
    • CSRF / XSRF - vulnérabilité des services d'authentification web. (Cross-Site Request Forgery)
    • SQLi
    • et Clickjacking

    Il y a évidemment beaucoup de bonnes pratiques donc je ne serai pas exhaustif, mais voici celles de base que vous devez respecter.

    1 - Testez la sécurité de votre site le plus tôt possible et le plus souvent.

    Dans la plupart des entreprises, les tests de sécurité se font hors process de développement. C'est un jeu d'aller-retour entre les développeurs et les pentesteurs. C'est bien, mais ce n'est pas ce qu'il y a de plus efficace.

    Tout comme vous faites probablement des tests qualité, vous devez aussi faire des tests de sécurité sur votre propre code. Vous pouvez faire ça manuellement à l'aide de scénarios de tests ou avec des scanners automatiques. Dans un cadre de développement continu, c'est très important d'avoir ce réflexe de tester en permanence la sécurité de votre code.

    2 - Les requêtes préparées

    Les injections SQL sont l'un des risques les plus importants et les plus répandus quand on parle d'application web. Elles sont faciles à exploiter, peuvent se faire manière automatique et peuvent mener à de l'usurpation de compte voire à de l'extraction de données. Cela produit des catastrophes avec des mots de passe, emails, messages privés...etc. qui se retrouvent dans les mains de cyber criminels.

    De plus, la base de données peut aussi être modifiée, voire totalement effacée.

    Pour éviter cela, vous devez faire ce qui s'appelle des requêtes préparées (ou requêtes paramétrables). Il s'agit de requêtes SQL comme les autres, à la différence prête que les paramètres contenus dans celles-ci ont des types et des tailles définies. Cela permet d'éviter d'y mettre n'importe quoi.

    La plupart des frameworks récents comme Rails, Django, NodeJS...etc. utilisent déjà de manière transparente les requêtes préparées, mais en tant que développeur vous devez rester prudent lorsque vous intégrez dans vos requêtes des contenus entrées par l'utilisateur.

    Voyez aussi avec vos admins car il est possible de configurer les bases de données pour qu'elles acceptent uniquement des requêtes paramétrées.

    3 - L'encodage des données

    L'autre risque "star" c'est la faille XSS. Celle-là, vous en avez aussi tous entendu parler.

    Dans le cadre d'une application dynamique, les développeurs réutilisent des données entrées par les utilisateurs pour ensuite les afficher dans les pages. Ces données doivent toujours être considérées comme dangereuses, car un attaquant pourrait y glisser un script de son cru, qui n'a rien à faire dans votre code et qui s'exécutera à chaque chargement de page.

    Pour contrer cela, il faut systématiquement encoder chaque input. Par exemple, même si c'est un classique, htmlentities est une fonction PHP qui convertit tous les caractères en entités HTML, ce qui les rend inoffensifs.

    4 - La validation des entrées

    Comme on vient de le voir, chaque donnée qui arrive de l'extérieur doit être considérée comme à risque. Cela vaut pour les URL POST ou GET, mais aussi pour les cookies, les uploads de fichiers, les données récupérées via des webservices et j'en passe.

    Pour éviter tout risque, il faut valider chacune de ces données. La solution la plus commune, ce sont les expressions régulières qui permettent par exemple de vérifier qu'une adresse email respecte bien le format xxx@domain.tld, ou encore qu'un code PIN contient bien uniquement 4 chiffres. Vous pouvez bien sûr écrire aussi vos propres méthodes de validation.

    5 - L'authentification

    L'authenfication, c'est le process qui consiste à valider que quelqu'un est bien celui qu'il dit être. La plupart du temps, ça se passe avec un login et un mot de passe.

    Mais pourquoi se contenter de ça ?

    Pour améliorer la sécurité de vos applications, vous pouvez mettre en place différentes choses.

    Premièrement, de l'authentification multi facteur. Cela consiste à demander à un user plusieurs choses :

    • Quelque chose qu'il connait, par exemple un mot de passe.
    • Quelque chose qu'il possède, par exemple un code reçu par SMS ou généré par une application installée sur son téléphone
    • Et quelque chose de biométrique, comme une empreinte digitale

    À vous de faire les combinaisons qui vous plaisent. Même chose évidemment pour récupérer un mot de passe perdu. Par exemple un email + un code envoyé par SMS.

    Mais ce n'est pas tout. Afin d'assurer en termes de sécurité, il est aussi recommandé de hasher et saler les mots de passe contenus en base. Ainsi, en cas d'accès non autorisé à la base de données, l'attaquant ne pourra pas récupérer de mot de passe en clair.

    6 - Le contrôle les accès

    Évidemment, une fois loggé, votre utilisateur a accès à un certain nombre de données et de fonctions. Mais ce ne sont pas les mêmes selon son rôle. Un administrateur pourra par exemple supprimer des données alors qu'un utilisateur lambda ne le pourra pas.

    Pour éviter tout problème, il est recommandé de tout lui refuser par défaut, qu'il ait le moins de privilèges possible, puis d'ouvrir chaque fonction selon son rôle. Ainsi en cas d'ajout postérieur de fonctionnalités dans votre code, vous devrez spécifiquement autoriser l'accès aux groupes voulus.

    7 - La protection des données

    N'oubliez pas, la donnée, c'est l'or noir de notre siècle. C'est ce qui a de la valeur et c'est ce qui s'échange sur le marché noir. Ne pas protéger ses données et celles de ses clients, c'est s'exposer à la fois aux cyber criminels, mais aussi à des remontrances de la CNIL ou de la justice. Vous êtes tenus légalement de protéger les données de vos utilisateurs.

    Pour cela, il faut mettre en place :

    • Du chiffrement TLS (HTTPS) sur toutes les données qui transitent
    • Du chiffrement sur les données stockées (au moins les données sensibles) et pour cela, je vous recommande de vous reposer sur des bibliothèques de crypto ouvertes et libres.

    À vous aussi d'être vigilant en ne laissant pas trainer des données sensibles et non chiffrées dans des répertoires temporaires ou dans des logs.

    8 - L'activation des logs

    Vous loggez surement déjà tout un tas de choses dans vos applications pour débugger ou faire de l'analyse business. Et bien je vous invite aussi à le faire pour détecter d'éventuels intrusions ou abus sur vos systèmes applicatifs.

    Un journal qui contient l'ensemble des événements relatifs à votre application peut vous permettre à la fois d'anticiper une attaque ou de retracer une attaque après coup.

    9 - Les frameworks

    Comme je le disais en début d'article, la plupart des bibliothèques et frameworks récents implémentent déjà des fonctionnalités de sécurisation. Lisez la doc et utilisez-les ! Veillez aussi à les mettre à jour pour ne pas utiliser d'anciennes versions qui contiendraient des failles.

    10 - La gestion des erreurs

    Je sais, c'est comme écrire de la documentation, c'est pénible, mais mettre en place un système de gestion d'erreurs efficace est indispensable. Mais il faut bien le faire, pour ne pas qu'un attaquant puisse se servir d'éventuels messages d'erreurs pour apprendre plus sur votre application et en exploiter les faiblesses.

    De plus, un système de gestion d'erreur va vous apprendre beaucoup sur votre application, mais aussi sur ce qu'en font les utilisateurs. Ainsi vous allez pouvoir anticiper pas mal de risque et corriger vos bugs.

    Voilà pour les bonnes pratiques en termes de développement. Mais depuis tout à l'heure, je parle de votre code, mais pensez aussi à bien sécuriser votre poste de travail et à adopter les bonnes pratiques en matière de sécurité personnelle.

    • N'ouvrez pas les pièces jointes email d'inconnus
    • N'utilisez pas de clés USB douteuses
    • N'installez pas des logiciels à la provenance douteuse
    • Faites vos mises à jour
    • Choisissez de bons mots de passe (et pas post-it)
    • Faites des sauvegardes
    • Ne tombez pas dans des attaques de phishing
    • Ne vous connectez pas à des réseaux wifi douteux
    • N'utilisez pas de compte Admin
    • Activez la double authentification partout où vous le pouvez
    • Utilisez les services mis en place par votre société, respectez les consignes de sécurité de votre RSSI et ne les contournez pas.
    • Evitez d'éparpiller des secrets industriels sur des clouds privés situés dans des pays étrangers si vous voyez ce que je veux dire.
    • Ne laissez pas trainer votre portable dans le train, gardez-le toujours à l'oeil.
    • Soyez vigilant dans la vie de tous les jours pour éviter les attaques de type social engineering. Quelqu'un qui veut vous emprunter votre téléphone, ou qui vous demande spontanément en ami sur Facebook c'est louche.

    Je sais aussi que ces êtres barbus qu'on appelle les administrateurs système sont étranges et souvent de mauvaise humeur, mais c'est bien de s'entendre et de travailler en synergie avec eux, car leur rôle est tout aussi important que le vôtre. Ils sont là pour veiller au bon fonctionnement, mais aussi à la sécurité de vos livrables, donc échangez avec eux et voyez ce que vous pouvez mettre en place ensemble pour sécuriser au maximum vos applications : Du HTTPS, de l'authentification double facteur...etc. Les sysadmins sont vos amis, apprenez à les connaitre et vous verrez, vous finirez par les aimer.

    Voilà, j'en ai terminé. Si vous arrivez à faire de tous ces principes, votre quotidien, bravo ! Mais gardez toujours en tête que l'erreur est humaine et qu'aucune application n'est à 100% sécurisée. C'est pourquoi il faut continuer à faire tester son code dans le cadre d'un audit avant une release, et sur la durée avec un bug Bounty. N'oubliez pas non plus qu'il existes des outils de protection comme ceux de Radware qui vous permettront de réagir rapidement et automatiquement à des attaques que vous n'auriez pas anticipé.

    Bon courage à tous !

    Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

    Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

  • DANS TON CHAT (BASHFR)

    AmAeLyS : le psy de mon coloc dit qu'il faut se prendre dans ses propres bras, se donner des câlins ... euh ... vous en pensez quoi ?
    winny : AmAeLyS> j'en pense que !! euh !! la branlette c'est pas plus efficace ?

    -- http://danstonchat.com/5560.html
  • Serveur NAS WD My Cloud Pro PR2100

    NAS 2 baies avec un cloud personnel

    Avec une capacité de stockage allant jusqu’à 16 To, le My Cloud Série Pro PR2100 offre à votre équipe la solution de stockage réseau idéale pour modifier, sauvegarder et partager des fichiers de travail à distance à l’aide d’une connexion Internet. Compatible Mac et PC, le My Cloud Série Pro PR2100 vous permet de protéger votre contenu quel que soit votre système d’exploitation.


    En Savoir +

  • RSS Emplois sécurité

  • Serveur NAS WD My Cloud EX2 Ultra

    Fonctions spécifiques pour sécuriser et synchroniser vos fichiers importants

    Le WD My Cloud EX2 Ultra est une solution de stockage WD à deux disques durs. Il est parfait pour stocker tous vos contenus multimédia et vos fichiers depuis un emplacement centralisé. Pour sécuriser vos données les disques seront en RAID 0, 1, indépendants ou en JBOD.


    En Savoir +

  • Site hébergé par
    Agarik Sponsor Korben
  • Selection de contenus

  • Glasswire – Pour garder un oeil

    sur votre activité réseau

    Si vous êtes curieux et que vous voulez savoir comment ça se passe niveau bande passante sur votre ordinateur Windows, voici un petit freeware qui va vous rendre bien service.
    Appelé Glasswire, cet outil propose des fonctionnalités de visualisation

    Une astuce pour rendre Windows 10 plus rapide

    Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin.
    Cliquez dans la zone de