Category

Solutions

Category

Phishing : principes, scénarios d'attaques et bonnes pratiques sécurité

Le phishing est toujours aussi redoutable, car il mêle de plus en plus souvent des compétences techniques pointues et des connaissances clés de certains ressorts psychologiques humains. Ce faisant, les attaquants les plus chevronnés arrivent assez facilement à inciter leurs cibles à ouvrir un email malveillant avant de les pousser au clic.

Chez Vaadata, nous réalisons régulièrement des campagnes de phishing dans le cadre d’audits d’ingénierie sociale. Aujourd’hui, nous vous ouvrons les coulisses de notre métier afin de vous sensibiliser aux risques de phishing.

Test d’intrusion interne : objectifs, méthodologie, tests en boite noire et grise

Face à des attaques internes de plus en plus nombreuses, la sécurité des infrastructures réseaux est un enjeu central pour garantir la confidentialité et l’intégrité des données ainsi que la continuité des activités d’une organisation.

Il existe plusieurs moyens d’évaluer la sécurité d’un réseau interne. Dans cet article, nous vous présentons l’approche « offensive » qui reste, selon nous, la plus efficace : les tests d’intrusion interne (ou pentest interne). Nous y détaillons les principes et objectifs ainsi que des use cases de tests d’intrusion en boite noire et grise d’un réseau interne.

Test d’intrusion web : objectifs, méthodologie, tests en boite noire, grise et blanche

Face à des attaques de plus en plus nombreuses et élaborées, la sécurité des applications web est un enjeu majeur. En effet, la sécurité revêt aujourd’hui une importance capitale pour rassurer et fidéliser des clients, ou convertir des prospects.

Il existe plusieurs moyens d’évaluer la sécurité d’une application web. Dans cet article, nous vous présentons l’approche « offensive » qui reste, selon nous, la plus efficace : les tests d’intrusion web (ou pentest web). Nous y détaillons les principes et objectifs ainsi que des use cases de tests d’intrusion en boite noire, grise et blanche sur diverses cibles.

Top 10 OWASP #1 : sécurité et vulnérabilités du contrôle d'accès

L’OWASP (Open Web Application Security Project) est une communauté qui œuvre à l’amélioration de la sécurité des systèmes d’information.

Cette organisation produit de nombreuses ressources, notamment des guides et normes de sécurité des applications dont l’OWASP Top 10. Elle développe également des outils open source comme ZAP (un proxy d’interception, alternative à BURP), ou Amass (pour cartographier sa surface d’attaque).

En quoi consiste la pseudonymisation de données ?

Pseudonymisation des données : principes, techniques et bonnes pratiques

La pseudonymisation est une technique de protection des données, qui consiste à traiter des données de telle sorte qu’il ne soit pas possible de les attribuer à une personne spécifique sans avoir recours à des informations additionnelles. En effet, plus concrètement, il s’agit de remplacer les identificateurs personnels réels (noms, prénoms, emails, adresses, numéros de téléphone, etc.) avec des pseudonymes.

En quoi consiste l’élévation de privilèges ?

Élévation de privilèges sur systèmes Linux : techniques et bonnes pratiques sécurité

L’élévation de privilèges est un concept clé pour les attaquants qui cherchent à accéder à des informations sensibles ou à des fonctionnalités restreintes sur un système informatique. Généralement, cela consiste à exploiter des faiblesses de sécurité dans un système donné pour passer d’un niveau d’accès limité, avec des autorisations standards, à un niveau d’accès plus élevé, avec des droits plus importants.

Sur les systèmes Linux, il existe plusieurs techniques pour élever les privilèges d’un utilisateur. L’exploitation de faiblesses de configuration, les vulnérabilités présentes dans les programmes et la mauvaise gestion de droits en sont les principales.

Deserialisation_vulnerabilites_exploitation

Lorsqu’on développe un jeu, on peut avoir besoin de sauvegarder la partie d’un joueur dans un fichier pour ne pas perdre sa progression afin qu’il puisse revenir là où il en était. De la même manière, quand on développe un éditeur de texte en ligne, on peut vouloir préserver le contenu que l’utilisateur a écrit.

En effet, il y a beaucoup de cas où l’on souhaite sauvegarder l’état de notre application pour le rétablir dans le futur. Deux termes sont utilisés pour définir ce processus : la sérialisation et la désérialisation.

En quoi consiste le rate limiting ?

Rate limiting fonctionnement implementation

Lors de nos pentests sur des plateformes web, un des principaux vecteurs d’attaque que nous utilisons le plus souvent pour découvrir et exploiter des vulnérabilités est le manque de rate limiting (ou limitation de débit).

Partant de ce principe, nous estimons que toute application web se verra, tôt ou tard, confrontée à une attaque générant beaucoup de trafic. Celles-ci peuvent se présenter sous plusieurs formes, mais les principales sont les suivantes :

Attaques brute force : principes et bonnes pratiques sécurité

Le brute force est certainement l’une des techniques d’attaques les plus triviales. La principale raison : le facteur humain reste le maillon faible de la chaine cybersécurité. En effet, nul besoin de réaliser des attaques d’ingénierie sociale ou des attaques d’injection SQL sophistiquées pour voler des identifiants car les habitudes ont la vie dure : les mots de passe des utilisateurs restent faibles donc faciles à deviner. Avec les bons outils, même les attaquants les plus novices parviennent à compromettre les données et paralyser les systèmes de grandes entreprises.