[À lire] Des traceurs GPS bien trop indiscrets

 

Le suivi d’individus et de biens à forte valeur ajoutée est depuis plusieurs années réalisé par l’utilisation de traceurs GPS. Ces équipements ont pour fonction de transmettre les coordonnées de géolocalisation périodiquement à un serveur distant via un module radio mobile et une carte SIM. Il a été également constaté que certaines de ces balises intègrent un microphone fournissant un accès distant à une fonction d’espionnage. Considérant différents vecteurs d’attaque, nous nous sommes intéressés aux méthodes de compromission possibles démontrant un trop faible niveau de sécurité de ces solutions. Nous proposons dans cet article de décrire la méthodologie appliquée pour l’évaluation du niveau de sécurité de différentes balises GPS disponibles sur le marché. Plusieurs vulnérabilités sont décrites démontrant les risques liés à l’emploi de cette technologie pour le suivi des biens sensibles et des trajets de personnes importantes. Lire la suite

L’édito de MISC HS n°20 !

iOS ou Android ? Une mauvaise question…

Les idéaux se succèdent, on les dépasse, ils tombent en ruines, et puisqu’il n’y a pas d’autre vie, c’est sur ces ruines encore qu’il faut fonder un idéal dernier – Dostoievski

S’il y a bien quelque chose qui évolue dans le monde de la sécurité informatique, ce sont les affirmations indiquant que tel ou tel système est le plus sécurisé. Même si un système a été structurellement mieux développé du point de vue de la sécurité au départ et que sa surface d’attaque est faible, les attaques évoluent, et l’on ne cesse d’améliorer ce qui hier était considéré comme fragile. Une comparaison extrême serait le système d’exploitation à la fenêtre et celui n’ayant eu que 2 vulnérabilités exploitables à distance depuis un sacré paquet de temps (oui, Windows et OpenBSD). Comme toujours, on ne peut faire fi du modèle de menace ni de l’environnement et des acteurs dans lequel on retrouve un système. Lire la suite

Sécurisez vos systèmes Windows en environnement Active Directory !

Ce 20ème hors-série de MISC est dédié à la sécurité des systèmes Windows en environnement Active Directory avec leurs attaques et contre-mesures. Il vous permettra de vous initier aux techniques de sécurisation de votre Active Directory. Vous découvrirez également les attaques contre les mécanismes d’authentification de Windows et pourrez vous familiariser aux problèmes liés aux relations d’approbations et à la persistance au sein d’un annuaire Active Directory. Rendez-vous sans plus tarder chez votre marchand de journaux pour découvrir ce numéro, sur notre boutique en ligne (frais de ports offerts pour une livraison en France métro.) pour les versions papier et flipbook, et sur notre plateforme de documentation numérique Connect. Pensez à l’abonnement pour ne plus manquer aucun numéro ! Lire la suite

[À lire] Contrôle d’identité avec Passport

 

On ne plaisante pas avec un contrôle d’identité ! Il en va de même en sécurité applicative où l’authentification est une fonctionnalité primordiale à mettre en œuvre. Mais quand il faut s’y mettre, le développeur sera confronté à de nombreuses problématiques et se posera beaucoup de questions sans y trouver de réponses, faute d’avoir un expert en sécurité applicative à sa disposition. Tout au long de cet article, vous suivrez pas à pas le questionnement d’un développeur back end accompagné d’un expert sécurité pour l’aider dans son raisonnement. Lire la suite

[À lire] Les fondamentaux pour sécuriser une (application) MEAN ?

 

MEAN est un socle technique composé de MongoDB, Express, Angular et Node.js. Ces quatre composants ont un point commun : le JavaScript ! La connaissance de cet unique langage de programmation vous permet désormais de créer une application web dynamique et moderne. Ce socle technique est donc largement utilisé par les développeurs « full stack » et c’est ainsi que de nombreuses applications MEAN viennent s’installer progressivement dans les SI des entreprises. Mais voilà ! Ce socle technique est-il suffisant pour développer des applications sécurisées qui seront amenées à manipuler des données sensibles (carte bancaire, santé…) ? Lire la suite

[À lire] Intégrer la sécurité dans votre usine de développement JS

 

Développer une application qui répond aux besoins du client est compliqué. Développer une application répondant à l’ensemble des exigences non fonctionnelles est encore plus compliqué. Et développer une application industrialisée et sécurisée relève de l’exploit ! Mais, nous verrons dans cet article qu’à l’impossible nul n’est tenu… Lire la suite

[À lire] Vos entêtes HTTPS avec HELMET

 

HttpOnly, vous connaissez ? Non ? Et X-XSS-Protection ? Zut… Pourtant ces petits mots doux nous aident à rendre la vie de nos utilisateurs plus sûre. Cet article liste un ensemble d’en-têtes qui aident à réduire le risque d’exploitation de failles de sécurité. Pour chacune d’entre elles, un exemple d’implémentation avec Express.js est présenté. Lire la suite

Découvrez notre nouveau support de lecture !

Venez découvrir notre nouveau support numérique dédié aux particuliers : le flipbook, disponible à l’unité, mais aussi sous forme d’abonnement. Il vous suffira de vous connecter à votre espace en ligne pour lire, depuis n’importe quel appareil, vos magazines favoris depuis la liseuse HTML5 fournie.

Vous pourrez par ce biais effectuer des recherches dans nos publications, bénéficier d’un accès rapide aux articles de votre choix, profiter d’un aperçu global du magazine sous forme de vignettes, mais aussi et surtout copier-coller en un clic le code ou la console qui vous intéresse.

Le format flipbook est disponible pour tous nos numéros actuellement en kiosque et ce, jusqu’à 5 ans de numéros déjà parus. Si ce support vous a conquis, n’hésitez pas à découvrir nos offres d’abonnement seules ou couplées.

Pour tester gratuitement le flipbook, rendez-vous sur https://boutique.ed-diamond.com/numeros-deja-parus/1278-linux-pratique-104.html.