La vulnérabilité CVE-2015-4843 est une vulnérabilité de type dépassement d’entier qui affecte plus de cinquante versions de Java 1.6, 1.7 et 1.8. Elle permet de s’échapper de la sandbox Java pour exécuter du code arbitraire avec les droits du processus de la machine virtuelle et est donc classée en tant que vulnérabilité « critique » par Oracle. Lire la suite
Dans mon dernier édito [1] relativement optimiste quant à l’amélioration de la sécurité, j’abordais en creux certains domaines pour lesquels il demeurait une marge importante de progression. L’un d’eux me tient particulièrement à cœur, œuvrant dans la sphère de l’éducation nationale depuis une bonne quinzaine d’années, c’est celui de l’enseignement et la formation à la sécurité des systèmes d’information. Lire la suite
Retrouvez ci-dessous la liste des références qui accompagnent l’article « EDR : Endpoint Detection & Response », publié dans MISC n°99 : Lire la suite
Retrouvez ci-dessous la liste des références qui accompagnent l’article « Développer une application sécurisée avec Intel SGX », publié dans MISC n°99 : Lire la suite
MISC consacre son nouveau dossier à la sécurité des environnements d’exécution sécurisés. On y parlera notamment d’attaques contre la technologie TrustZone, de la création d’enclave d’exécution sécurisée à base de FPGA ou encore du développement d’une application sécurisée avec Intel SGX… Ce numéro sera également l’occasion d’évaluer les risques des attaques par canaux auxiliaires, de découvrir les défauts de configuration et vulnérabilités des CORS, d’en savoir plus sur les techniques de désanonymisation d’adresses IP sur les jeux de données publiques, d’exfiltrer des données de manière furtive à l’aide d’Empire, etc. Retrouvez-le dès à présent en kiosque, sur notre boutique ainsi que sur notre plateforme de lecture en ligne Connect. Lire la suite
Le mot de passe est et reste le moyen le plus répandu pour accéder au système d’information en entreprise. Mal comprises et peut-être mal définies, les politiques de mot de passe ne sont pas efficaces. Mais à qui la faute ? Peut-on changer la donne ? Lire la suite
Les vulnérabilités XSS restent généralement sous-évaluées, inconsidérées, alors qu’elles permettent des méfaits d’une grande criticité. Le présent article détaille comment obtenir un reverse-shell root à partir d’une simple XSS GET via un cas concret : la distribution firewall-routeur pfSense 2.3.2. Lire la suite
ELK, acronyme issu des trois composants principaux de la suite (Elasticsearch, Logstash, Kibana) est depuis longtemps maintenant une référence dans la collecte des logs et leur analyse. Les derniers ajouts sur la suite Elastic et notamment sur le Machine Learning posent une question : ELK ne serait-il pas en passe de devenir un SIEM incontournable ? Lire la suite
Bonne nouvelle si vous l’avez manqué, notre numéro spécial dédié à la recherche de vulnérabilités est à nouveau disponible chez votre marchand de journaux ! Pour rappel, ce hors-série vous permettra de découvrir une sélection de nouveaux outils pour auditer vos applications, à travers 4 grands domaines : l’analyse statique et dynamique, la cryptographie, l’IoT et le Web. Ce guide est également disponible sur notre boutique ainsi que sur notre plateforme de lecture en ligne Connect. Lire la suite
Pour rebondir sur la note d’optimisme de bon aloi de Pappy à propos des 15 ans du SSTIC [1], ne nous enfermons pas dans la posture du berger criant « au loup » en matière de sécurité des systèmes d’information, car globalement le niveau de protection des systèmes d’information n’a jamais été aussi élevé et il est en constante progression.
Au risque de passer pour un vieux con, quand je vois les jeunes s’écrier « la sécurité est un échec » parce que leur brosse à dents se connecte sur un serveur dont le certificat n’est pas certifié A+ chez SSL Lab, je mesure le chemin parcouru ces quinze dernières années. Vous n’imaginiez pas à quel point le niveau de sécurité aujourd’hui semblerait stratosphérique pour un informaticien du début des années 2000 faisant un saut de 15 ans dans le futur. Lire la suite