Vaadata’s Blog - Website and mobile app security

Solutions 1 février 2021

Comment renforcer la sécurité de vos applications web pour contrer les attaques les plus courantes ?

La plupart des applications web manipulent des données personnelles et/ou des données business ; autant dire des données sensibles. Mots de passe, adresses email, numéros de cartes bancaires, données santé et autres, sont au centre de la bataille qui oppose deux camps. D’un côté les entreprises, de petite, moyenne ou grande taille, qui cherchent à se défendre contre des intrusions dans leurs systèmes d’information, et de l’autre, des assaillants de plus en plus expérimentés, attirés par l’appât du gain et stimulés par les nombreuses brèches trop souvent ignorées par leurs futures victimes.

Solutions 26 janvier 2021

Sécurité du cloud : quels sont les risques et les bonnes pratiques ?

Vous connaissez cette semi-blague, « le cloud, c’est les ordinateurs de quelqu’un d’autre » ? Le cloud computing est souvent vu comme LA solution, si bien qu’on omet qu’il s’agit uniquement d’un outil, avec ses avantages et ses inconvénients.

Actualités 20 janvier 2021

Formation Développements sécurisés – Mars 2021

22, 23, 24 mars – à distance

3 jours (21h) – en français

Vous souhaitez vous former à la sécurité web ? A la fin de cette formation, vous saurez détecter les failles de sécurité les plus courantes des applications web et identifier les failles logiques.

Actualités 5 janvier 2021

Principales exigences légales actuelles de sécurité de l’IoT

La sécurité de l’IoT est une préoccupation croissante lors du développement d’objets connectés et pour leur mise sur le marché. Cependant, il y a actuellement un manque de clarté à propos des différentes réglementations et exigences à respecter, car de nombreux acteurs travaillent simultanément sur des certifications, lois et/ou standards. Pour vous aider à vous y retrouver, nous présentons très brièvement quelques principales exigences légales et standards en vigueur qui s’appliquent à l’IoT grand public.

Risques 9 décembre 2020

9 idées reçues sur la sécurité des applications web et mobiles

Les applications web comme les applications mobiles sont au centre de l’activité de la plupart des entreprises. Qu’elles soient déployées en production ou en cours de développement, il existe encore certaines idées reçues sur la sécurité de ces systèmes, alors qu’il s’agit d’un sujet crucial pour le bon déroulement des activités.

Voici les 9 idées reçues que nous avons le plus souvent rencontrées.

Solutions 3 novembre 2020

Test d’intrusion en boite noire, boite grise ou boite blanche ? 3 options pour un audit de sécurité

Lors d’un audit de sécurité, trois approches sont possibles. Elles correspondent à différents niveaux d’information et d’accès fournis aux pentesters.
Le choix de l’approche d’un test d’intrusion dépend de vos objectifs : quel niveau de profondeur voulez-vous ? Et souhaitez-vous tester la menace externe ou la menace interne ?

Risques 20 octobre 2020

Cybersécurité : quels risques si votre site web repose sur un CMS ?

WordPress, Joomla, Drupal, Shopify, Prestashop et bien d’autres encore, offrent de vraies possibilités pour réaliser des sites vitrines ou des e-shops à la fois ergonomiques et performants. Cependant, une image négative reste associée aux sites web reposant sur des CMS : ils seraient peu sécurisés et des cibles faciles pour des hackers malveillants.

Quels sont les risques de cyberattaques pour ces sites ? Quels éléments spécifiques des CMS sont à surveiller ?

Si vous êtes en charge d’une plateforme CMS, cet article vous aidera à identifier les risques principaux et vous donnera les points de vigilance pour renforcer le niveau de sécurité.

Risques 8 octobre 2020

Analyse d’un phishing : 8 ressorts psychologiques

Vous savez pourquoi le phishing est si redoutable ?

Parce qu’il mêle des compétences IT et des connaissances de la psychologie humaine. En effet, un mail de phishing s’appuie sur des ressorts psychologiques humains pour tout d’abord inciter à l’ouverture du mail et pour ensuite pousser au clic.

Les compétences techniques sont bien entendu nécessaires pour augmenter les probabilités de clics, par exemple pour usurper un expéditeur légitime, pour créer un clone d’interface, pour renvoyer vers des domaines malveillants, etc.

Mais aujourd’hui, nous nous intéressons aux leviers qui poussent à l’action lors d’un phishing. Nous avons repris huit leviers psychologiques couramment utilisés et nous les avons associés à différents sujets qui peuvent servir de prétextes pour un phishing.

Solutions 17 septembre 2020

Comment définir le scope d’un pentest ?

Définir le scope d’un pentest est une étape délicate. Quelle sera la cible du pentest ? Plus précisément, quels aspects fonctionnels et techniques faut-il tester en priorité ? De plus, quel degré de profondeur et quelle fréquence de pentest sont à recommander ?

Télécharger

Technique 8 septembre 2020

Un secret en dur dans Pancake mène à la prise de contrôle de comptes – Bulletin Vaadata

TL;DR

Pancake est un logiciel de facturation en ligne, de management de projets et de gestion du temps et des devis. Un secret codé en dur, partagé par l’ensemble des installations et utilisé pour signer le cookie de session nous a permis de falsifier un cookie de session valide pour n’importe quel compte pour toutes applications Pancake avant la version 4.13.29.