Vaadata Author | VAADATA - Ethical Hacking Services

Solutions 13 mars 2018

RGPD : mesures techniques de sécurité

Mis à jour 1. Déc 2020

Plus de 2 ans après l’entrée en vigueur du RGPD (le 25 mai 2018), des sanctions ont été prononcées par plusieurs organismes de protections des données. Ces sanctions ont des répercussions importantes, économiques mais surtout pour l’image des entreprises concernées, car elles sont communiquées publiquement.

Si les grands principes du RGPD sont généralement connus, les mesures techniques principales à mettre en place pour sécuriser un site ou un système d’information restent encore parfois floues. Pour y remédier, nous détaillons dans cet article tous les aspects de sécurité technique du RGPD.

Solutions 27 février 2018

Comment évaluer les risques d’une faille de sécurité ?

A la suite d’un audit de sécurité, des vulnérabilités vous ont été signalées. Faille critique, importante, moyenne : savez-vous comment cela est établi ? Nous vous détaillons notre méthodologie, basée sur celle de OWASP*, pour estimer la sévérité des risques d’une vulnérabilité.

Solutions 13 février 2018

Phishing : comment identifier les emails suspects ?

Le phishing a beaucoup évolué. Alors que l’email frauduleux était auparavant facilement repéré par ses nombreuses fautes d’orthographe et par les demandes ou menaces exagérées (versement immédiat d’argent, compte intégralement effacé, etc.), il reprend aujourd’hui les codes d’organismes de confiance. De plus, le phishing implique désormais des demandes personnalisées ou des interlocuteurs connus de la personne attaquée (responsables hiérarchiques par exemple), ce qui le rend plus difficile à détecter.

Le phishing consiste à interagir avec des emails piégés. Il s’agit de la méthode la plus couramment utilisée pour l’ingénierie sociale, une branche de la cyber-criminalité.
L’ingénierie sociale cible le comportement humain. Elle a pour but d’amener un utilisateur à dévoiler des informations confidentielles et à réaliser des actions néfastes pour soi-même ou pour un organisme auquel il appartient. Vous pouvez sensibiliser vos équipes à ce risque en réalisant un audit d’ingénierie sociale.

Nous verrons dans cet article comment déjouer les différents stratagèmes du phishing, qui peuvent échapper même aux utilisateurs avertis et vigilants.

Technique 15 septembre 2017

Enumérations d’utilisateurs sur les applications Web

Durant nos audits il nous arrive encore très souvent de rencontrer des énumérations utilisateurs qui pourraient avec les bonnes méthodes être facilement évitées. Dans cet article, nous traiterons des énumérations d’utilisateurs sur les formulaires de connexion, de réinitialisation de mot de passe et de création de compte. Cependant, les énumérations utilisateur peuvent se trouver sur d’autres fonctionnalités, telles que, par exemple, des formulaires de recherches ou des envois de messages.

Solutions 10 janvier 2017

Exploiter les google dorks pour renforcer sa sécurité

[Article mis à jour le 8 nov 2022]

Avez-vous utilisé des google dorks aujourd’hui ? Si vous avez tapé un mot entre guillemets ou bien associé deux termes avec AND, alors la réponse est oui.

Les google dorks sont des opérateurs de recherche avancés qui aident à mieux cibler les informations recherchées.

Ils permettent même de découvrir des vulnérabilités et de renforcer votre sécurité, voyons comment.

Technique 23 mars 2016

La sécurité des applications mobiles démystifiée – Episode #3

Cette série d’articles aborde les points les plus importants de la sécurité des applications mobiles, quelle que soit la plateforme (iOS, Android ou autre).
L’objectif est de démystifier les différents aspects de la sécurité mobile, avec des mots très simples.

Ce troisième épisode présente les failles liées aux échanges de données

Technique 3 mars 2016

La sécurité des applications mobiles démystifiée – Episode #2

Cette série d’articles aborde les points les plus importants de la sécurité des applications mobiles, quelle que soit la plateforme (iOS, Android ou autre).
L’objectif est de démystifier les différents aspects de la sécurité mobile, avec des mots très simples.

Ce second épisode présente les failles liées au stockage non sécurisé des données.

Technique 26 février 2016

La sécurité des applications mobiles démystifiée – Episode #1

Cette série d’articles aborde les points les plus importants de la sécurité des applications mobiles, quelque soit la plateforme (iOS, Android ou autre).
L’objectif est de démystifier les différents aspects de la sécurité mobile, avec des mots très simples.

Sujet numéro 1 cette semaine : Les contrôles côté serveur

Solutions 16 septembre 2015

Pourquoi externaliser ses tests d’intrusion ?

Vous effectuez des tests sur vos applications avant de les mettre en production ? Découvrez pourquoi faire conduire des tests d’intrusion externalisés peut renforcer considérablement votre niveau de sécurité et votre image vis à vis de vos clients.

Technique 26 août 2015

Protéger votre site : Bonnes pratiques de sécurité pour PHP #3

Mis à jour : 23 Déc 2020

Cet article ne remplace pas de bonnes connaissances en PHP, mais peut vous donner de réels bons conseils pour booster votre sécurité.
Il n’y aura ici rien à copier/coller directement dans vos fichiers PHP. Cependant, nous croyons que ces conseils et bonnes pratiques vous apporteront des bénéfices à long terme, en comprenant et en appliquant les différents points en fonction de vos besoins et de votre contexte.

Cet article est le troisième de notre série dédiée à la sécurité pour PHP.
Le premie r article vous donne des indications pour la configuration de PHP, les mises à jour, le filtrage des données, ainsi que l’organisation du code.
Le second article traite de la protection contre les attaques les plus courantes.

Nous allons maintenant traiter des risques liés aux cookies, uploads, CRSF ainsi que de la sécurité par l’obscurité.