Vaadata Author | VAADATA - Ethical Hacking Services

Technique 25 mai 2020

Comment stocker les mots de passe de manière sécurisée dans une base de données ?

Stocker les mots de passe de manière sécurisée est une préoccupation récurrente.
Mais quelles sont les principales méthodes, comment fonctionnent-elles, et que valent-elles face aux techniques actuelles de cassage de mots de passe ?
Nous vous expliquons dans cet article les principes essentiels d’un stockage sécurisé (hash, sel, poivre, itération) et mettrons en évidence leur importance pour résister aux méthodes de récupération des mots de passe. Enfin, nous vous parlerons d’une fonction de hashage fiable pour un stockage sécurisé.

Solutions 12 mai 2020

Test d’intrusion : approche, méthodologie, types de tests et prix

Enjeux de cybersécurité pour les entreprises en 2020

Test d’intrusion : approche, méthodologie, type des tests, prix

La tendance actuelle est au renforcement des exigences sécurité des clients, partenaires et investisseurs. Les audits de sécurité se sont démocratisés aux petites et moyennes entreprises, pour qui ils représentent un passage obligé afin de pouvoir collaborer sur des sujets IT avec des grandes entreprises. En effet, les grands-comptes intègrent quasi systématiquement des demandes de rapport d’audits de sécurité dans leurs processus d’achats. L’entrée en application du RGPD depuis 2 ans a aussi permis aux entreprises de prendre conscience des enjeux de sécurité des données, dans des secteurs d’activité où la prise en compte des risques était auparavant peu élevée. Les certifications en sécurité (ISO 27001, HDS, PCI-DSS, SOC2…) sont de plus en plus plébiscitées par les entreprises de petite et moyenne taille, afin de se différencier et de faire de la sécurité un axe de qualité.

Solutions 28 avril 2020

Faire un pentest pour moins de 1500€

Réaliser un pentest (test d’intrusion) a un coût. Quand on interroge des sociétés sur le budget qu’elles y ont consacré, on entend souvent « entre 10k€ et 20k€ », parfois un peu plus ou un peu moins. Cependant, il n’y a pas vraiment de prix standard pour ce type de prestation : tout dépend de la complexité fonctionnelle de la cible, du périmètre et du niveau de profondeur souhaité pour les tests.

Si l’objectif principal est de pouvoir montrer qu’un pentest a été réalisé il y a moins de 6 mois, il est possible de faire des concessions pour respecter un budget extrêmement limité.

Solutions 12 mars 2020

Comment connaitre sa surface d’attaque (et la réduire)

Abraham Lincoln (répétant un bucheron) aurait répondu à la question : que feriez-vous si vous aviez seulement six heures pour abattre un arbre ? Je passerai les quatre premières à affûter ma hache.

Qu’est-ce que cela nous dit ? Que la préparation est la clé.
Vous ne pouvez pas protéger ce que vous ne connaissez pas, c’est pourquoi connaitre sa surface d’attaque est le premier pas essentiel pour la protéger efficacement.

Solutions 25 février 2020

Doit-on réaliser un pentest sur un environnement de production ?

Une fois que vous avez décidé de faire un pentest (test d’intrusion), vous pouvez vous demander s’il doit cibler votre environnement de production.

Selon les risques, il peut être justifié de conduire l’audit de sécurité sur l’environnement de production, ou sur un environnement de test. Vous trouverez ci-dessous un résumé des avantages et des inconvénients de chacune de ces possibilités.

Solutions 5 février 2020

Livre blanc : Sécurité des technologies sans fil de l’IoT

25 pages pour connaître les vulnérabilités courantes et exploitables sur les technologies sans fil de l’IoT, ainsi que les moyens pour les contrer ou pour réduire les risques.

Télécharger

Technique 21 janvier 2020

Logging & Monitoring : définitions et bonnes pratiques

Le top 10 OWASP 2017 introduit comme risque l’insuffisance de logging et de monitoring. En effet, les problèmes inhérents à cette pratique sont souvent sous-évalués et mal compris. Mais pourquoi une tâche simple en apparence est finalement un point crucial de la sécurité des systèmes d’information ?

Technique 10 décembre 2019

Certificate et Public Key Pinning

Introduction au certificat électronique

Un certificat électronique est un fichier de données permettant :

la non-répudiation et l’intégrité des données,
d’identifier et d’authentifier une personne ou une organisation,
et de chiffrer des communications.

Un certificat électronique comprend plusieurs informations, dont :

une clé publique
des informations d’identification
une durée de validité
un émetteur qui signe le certificat

Ce dernier point est crucial pour vérifier la confiance d’un certificat. Pour cela, quand un certificat est récupéré, une chaine de confiance est construite jusqu’à une autorité de certification.

Pour expliquer le fonctionnement de la chaine de confiance, introduisons quelques notions :

Technique 25 novembre 2019

Comment optimiser son utilisation de Metasploit

Le framework Metasploit est un outil open source, permettant la recherche, l’analyse et l’exploitation de vulnérabilités informatiques. Il dispose de nombreux modules et outils qui peuvent être très utiles dans le cadre de tests d’intrusions, que ce soit sur des applications Web ou sur le système informatique d’une entreprise.
Alors qu’il est utilisé de manière assez basique, par exemple pour lancer un simple module d’exploitation sur une cible, ce framework dispose d’options et d’outils qui lui permettent de devenir un allié de poids lors d’un pentest. Nous allons donc voir ici comment utiliser le framework Metasploit de manière optimisée.

Solutions 5 novembre 2019

Faut-il faire une démo de sa solution aux pentesters avant un test d’intrusion ?

Faut-il faire une demo de son produit aux pentesters

Avant de démarrer un test d’intrusion (pentest), faut-il présenter votre produit ou votre solution aux pentesters (spécialistes en charge des audits de sécurité) ? Tout dépend de votre situation et de vos objectifs !