background preloader

Web - Sécurité

Facebook Twitter

SSL | TLS

OAuth. Vous avez entendu parler de HTTPS. Découvrez maintenant HTTPA : des services Web dans des environnements de confiance, avec Intel SGX, un outil qui fournit le chiffrement en mémoire. Le protocole HTTPS (Hypertext Transfer Protocol Secure) est actuellement le principal protocole pour les applications web.

Vous avez entendu parler de HTTPS. Découvrez maintenant HTTPA : des services Web dans des environnements de confiance, avec Intel SGX, un outil qui fournit le chiffrement en mémoire

Il peut fournir une connexion rapide et sécurisée avec un certain niveau de confidentialité et d'intégrité. Toutefois, HTTPS ne peut pas fournir de garanties de sécurité sur les données de la requête dans le calcul, de sorte que l'environnement informatique présente des risques et vulnérabilités. Deux employés d'Intel pensent que les services web peuvent être rendus plus sûrs non seulement en effectuant des calculs dans des environnements d'exécution de confiance à distance, ou TEE, mais aussi en vérifiant pour les clients que cela a été fait. Gordon King, ingénieur logiciel, et Hans Wang, chercheur aux Intel Labs, ont proposé un protocole pour rendre cela possible. Le modèle de menace est fragile et comporte de nombreuses exigences et mises en garde.

WebRTC Leak Test - Security Gladiators Tool. What Is WebRTC Leak?

WebRTC Leak Test - Security Gladiators Tool

Whenever you have to use an internet service to protect your privacy and guard your identity, you run the risk of WebRTC leak problems. Even VPN users sometimes have to deal with it. But what exactly does it mean if the security product or service you’re using has a WebRTC problem? The simplest way to understand a WebRTC leak is to think of it as any security vulnerability. Because of this vulnerability, your computer exposes your real IP address even though you may be using a service like a VPN or proxy. But what is WebRTC? WebRTC is an open-source project and stands for Web Real-Time Communication. Most of all, it eliminates the need to download lots of other add-ons and extensions to make these features work in your web browser.

Rançongiciels : face à l’ampleur de la menace, l’ANSSI et le ministère de la Justice publient un guide pour sensibiliser les entreprises et les collectivités. Les attaques par rançongiciels augmentent en nombre, en fréquence et en sophistication.

Rançongiciels : face à l’ampleur de la menace, l’ANSSI et le ministère de la Justice publient un guide pour sensibiliser les entreprises et les collectivités

Depuis le 1er janvier 2020, l’ANSSI a traité 1041 attaques par rançongiciels. Leurs conséquences sont de plus en plus dévastatrices, sur la continuité d’activité, voire la survie de l’organisation victime. « Les acteurs privés comme publics sont encore trop peu conscients du risque et de leur propre vulnérabilité » constate Guillaume Poupard, directeur général de l’ANSSI. « Il est urgent pour les entreprises et les collectivités de mettre en œuvre des mesures pour prévenir les attaques par rançongiciels et d’apprendre à bien réagir lorsqu’il est trop tard » explique François Deruty, sous-directeur Opérations de l’ANSSI.

Pour faire face à cette situation inédite et dans le cadre d’une dynamique gouvernementale, l’ANSSI, en partenariat avec la DACG, publie le guide Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ? Voici pourquoi les bugs dans les logiciels open source ont atteint un niveau record. L'adoption accrue des logiciels open source et les efforts plus ciblés pour trouver les bugs dangereux ont eu pour conséquence l'augmentation du nombre de vulnérabilités signalées, passant de 4 100 l'année dernière à 6 100 aujourd'hui.

Voici pourquoi les bugs dans les logiciels open source ont atteint un niveau record

Les bugs ont été recensés par la société de sécurité WhiteSource, dont le rapport montre que les vulnérabilités de sécurité des logiciels open source ont considérablement augmenté depuis 2009, où moins de 1 000 bugs avaient été signalés à l'époque. Un tournant majeur dans la sécurité des logiciels libres s'est produit en 2014, lorsque Google a révélé le bug OpenSSL Heartbleed, très répandu.

Cet événement a poussé l'industrie technologique à agir pour des projets open source mal financés qui sont essentiels à l'Internet mais qui manquent de ressources pour trouver et corriger les bugs. L'incident a donné naissance à la Linux Foundation's Core Infrastructure Initiative (CII), qui est soutenue par Amazon, Google, IBM, Intel, Microsoft, Cisco et d'autres. Décoder un script PHP malveillant, comment s’en protéger. The NSA back door to NIST.

Thomas C.

The NSA back door to NIST

Hales (University of Pittsburgh) (This article will be published in the Notices of the American Mathematical Society.) Use once. Planet Libre - Yunohost, Let's Encrypt, A+ au SSLLabs. Codebashing. In this interactive tutorial you will understand how SQL injection attacks are used to compromise the security of a web application, and how to write code more securely to protect against this type of attack. 1.

Codebashing

Converter - Un outil pour décoder du code obfusqué. Si vous vous êtes déjà fait infecter un site web, vous avez du remarquer que dans le source de vos pages ou de vos JavaScript, se trouvaient du code un peu étrange.

Converter - Un outil pour décoder du code obfusqué

Le plus souvent encodés ("obfusqué") pour éviter d'être compris, ces scripts sont parfois difficiles à retirer lorsqu'ils englobent des parties légitimes à votre site. On en trouve aussi dans certains thèmes "gratuits" (comprenez "offerts gratuitement, car vérolés") Toutefois rien n'est perdu, car avec Converter, une application pour Windows gratuite, vous allez pouvoir décoder ces codes malicieux pour mieux les analyser et les comprendre. Pour cela il suffit de coller le texte encodé dans Converter et de choisir l'une des options de conversion (Base64/ hex / dec / octal / UTF7 / UCS2 / Binaire / HTML avec caractère d'échappement / décalage de caractères / ROT 13 ou autre...etc.

Bref, un petit outil très pratique à avoir sous la main quand on fait un peu d'analyse de code. Vous pouvez télécharger Converter ici. The Mask : Kaspersky aurait démasqué une menace importante sur le Web. Kaspersky Lab a découvert une nouvelle cyber-menace appelée The Mask ou Careto.

The Mask : Kaspersky aurait démasqué une menace importante sur le Web

Il s’agirait en fait d’une arme sophistiquée visant à implanter secrètement des malware dans les systèmes IT de différentes organisations. Kaspersky Lab affirme que The Mask serait opérationnel depuis au moins 2007. Depuis lors, les pirates sont parvenus à infiltrer secrètement les systèmes de près de 380 organisations réparties dans 31 pays (Moyen-Orient, Afrique, Amérique, Europe) sur plus d’un millier d’adresses IP : ambassades, compagnies pétrolières, laboratoires de recherche… MyPermissions - Scan your permissions... Find out who gained access to your personal info. OWASP.