L’édito de MISC n°88 : Le mot de passe, ce grand cadavre à la renverse

La publication de la base de comptes utilisateurs de Yahoo le 22 septembre dernier avec son demi-milliard d’identifiants est largement la plus grosse fuite de données rendue publique à ce jour et a de quoi donner le vertige. C’est peut-être le dernier clou dans le cercueil de cette société, ce géant du Web déchu qui pouvait se payer en 2000 des publicités en prime time à la télévision à une époque où elle était encore regardée par tous [1].

Mais au-delà de cette énième fuite d’information, ce qui, rétrospectivement, pourrait étonner un informaticien de la fin des années 1990 est que nous continuons, en 2016, à utiliser des mots de passe, voire dans le cas des banques des codes PIN, pour accéder à nos données les plus sensibles. Lire la suite

Quelles évolutions pour la sécurité du Web ?

MISC n°88MISC consacre son nouveau numéro aux évolutions de la sécurité du Web. Protocoles HTTP/2, HTTPS, Web Application Firewall et API JavaScript cryptographiques seront notamment au menu de ce dossier spécial. Parallèlement à cela, le magazine se penchera sur la sécurité des systèmes de transports intelligents, mais aussi sur la modélisation de la sécurité des objets connectés. Il sera question d’attaque sur le protocole TCP par canal auxiliaire, mais aussi de test d’intrusion sur du matériel utilisant le Bluetooth Low Energy… Retrouvez ce dernier numéro de l’année en kiosque et sur la boutique ! Lire la suite

La préface du guide Metasploit !

Une fois n’est pas coutume, l’intégralité de ce hors-série de MISC est dédié à l’un des outils de test d’intrusion les plus connus du monde de la sécurité des systèmes d’information : le projet Metasploit. Qu’il s’agisse d’attaquer de vieux services obsolètes ou d’exploiter une vulnérabilité dans une application web moderne, Metasploit a développé au fil du temps une grande habilité à intégrer et gérer une quantité de modules impressionnants aux possibilités très variées : exploitation en tout genre, maintien d’accès, scanneur, récupération d’informations, post-exploitation et bien d’autres choses encore tel un module d’exploitation automatique dédié aux navigateurs (browser_autopwn2). En témoigne l’excellent « Weekly Metasploit Wrapup » [1], le projet est également très actif et bénéficie d’une grande communauté d’utilisateurs et de contributeurs. Lire la suite