OpenID Connect : présentation du protocole et étude de l’attaque Broken End-User Authentication

 

L’emploi quotidien de nombreux services sur le Web rend l’utilisation de méthodes d’authentification unifiées très utile. La fédération d’identité avec OpenID Connect est une manière de mettre en œuvre cette authentification unique. Cependant, ce jeu à trois acteurs (utilisateur, fournisseur d’identité, fournisseur de service) ne fonctionne que si tout le monde a la même vision de la situation ! Lire la suite

L’édito de MISC n°102 !

La Blockchain ou les habits neufs de l’empereur

Je crois qu’aucune technologie ne m’a jamais laissé aussi circonspect que la Blockchain (ou chaîne de blocs). Une technologie dont tout le monde a entendu parler alors qu’elle est conceptuellement particulièrement complexe, que tout le monde veut utiliser alors que le champ d’application est particulièrement réduit et inadapté, ou tout du moins inefficace, pour la plupart des usages. Lire la suite

Gros plan sur le durcissement de la sécurité des systèmes GNU/Linux

MISC dédie son nouveau dossier au durcissement de la sécurité des systèmes GNU/Linux. Il y sera question notamment d’isolation de processus, de Qubes OS et des prochaines avancées en matière de sécurité de la distribution Debian. Parallèlement à ce dossier, vous découvrirez des techniques d’introspection pour l’analyse de code malveillant, comprendrez le mécanisme de sécurité HPKP et ses faiblesses et profiterez d’un guide de survie juridique en cas d’intrusion. Retrouvez MISC n°102 chez votre marchand de journaux, sur notre boutique et sur notre plateforme de documentation numérique Connect. Ce numéro vous attend également sur notre application mobile Diamond Kiosk pour Android et iOS. Pensez à l’abonnement pour ne manquer aucun numéro.  Lire la suite

L’édito de MISC HS n°19 !

Éthique et sécurité

En ce début d’année 2019, le prix d’un exploit pour un remote jailbreak d’iOS est désormais passé à la modique somme de 2 millions de dollars sur la plateforme Zerodium. Pour rappel et pour ceux qui ne suivent pas cette actualité, l’ancien prix était d’un 1.5 millions de dollars et l’on parle bien de vendre de manière exclusive un exploit 0day fonctionnel (non d’une vulnérabilité comme on peut l’entendre ici et là). Lire la suite

Comprenez les vulnérabilités de l’IoT !

Le nouveau hors-série de MISC est consacré aux vulnérabilités de l’Internet des Objets. Plusieurs pans y seront étudiés : l’automobile, la mémoire flash, la téléphonie mobile et le GPS. Il sera également question dans ce numéro spécial de détection d’intrusion grâce au Machine Learning, de la vulnérabilité Foreshadow sur les processeurs Intel ou encore du framework ATT&CK du MITRE pour l’analyse et la détection post-compromission. Rendez-vous sans plus tarder chez votre marchand de journaux, sur notre boutique ainsi que sur notre plateforme de documentation numérique Connect pour en savoir plus ! N’hésitez pas également à vous abonner pour ne pas manquer de numéro !  Lire la suite