Les applications mobiles sont de plus en plus utilisées dans tous les domaines d’activités : RH, finance, assurances, transports, etc. De fait, elles constituent des cibles de choix pour les attaquants.

Il existe plusieurs moyens d’évaluer la sécurité d’une application mobile. Dans cet article, nous vous présentons l’approche « offensive » qui reste, selon nous, la plus efficace : les tests d’intrusion mobile (ou pentest mobile). Nous y détaillons les principes, objectifs ainsi que la méthodologie et les éléments testés lors de tests d’intrusion d’application mobile.

La mauvaise configuration de sécurité est un problème préoccupant puisqu’il occupe la cinquième place du Top 10 de l’OWASP. En effet, nous rencontrons assez fréquemment de nombreuses vulnérabilités de ce type lors de nos tests d’intrusion d’application web. Par ailleurs, cette problématique sécurité toucherait un grand nombre d’applications web (90% selon l’OWASP).

Dans cet article, nous vous présentons ce type de failles à travers le prisme de l’OWASP Top 10, et ce via des scénarios d’attaques. Nous y détaillons également les bonnes pratiques et les mesures à mettre en œuvre pour s’en prémunir.

Les composants tiers sont omniprésents dans les applications web. En effet, librairies, frameworks et autres composants système sont de plus en plus utilisés car ils permettent de réduire les coûts et de faciliter les développements.

Cependant, comme tout système, ces composants tiers peuvent contenir des vulnérabilités exploitables lors d’attaques sur des applications web. De plus, les exploits découverts, et souvent rendus public, peuvent avoir un effet boule de neige et ainsi compromettre l’intégralité d’une application web, les serveurs, les systèmes de base de données, etc.

Le phishing est toujours aussi redoutable, car il mêle de plus en plus souvent des compétences techniques pointues et des connaissances clés de certains ressorts psychologiques humains. Ce faisant, les attaquants les plus chevronnés arrivent assez facilement à inciter leurs cibles à ouvrir un email malveillant avant de les pousser au clic.

Chez Vaadata, nous réalisons régulièrement des campagnes de phishing dans le cadre d’audits d’ingénierie sociale. Aujourd’hui, nous vous ouvrons les coulisses de notre métier afin de vous sensibiliser aux risques de phishing.

Face à des attaques internes de plus en plus nombreuses, la sécurité des infrastructures réseaux est un enjeu central pour garantir la confidentialité et l’intégrité des données ainsi que la continuité des activités d’une organisation.

Il existe plusieurs moyens d’évaluer la sécurité d’un réseau interne. Dans cet article, nous vous présentons l’approche « offensive » qui reste, selon nous, la plus efficace : les tests d’intrusion interne (ou pentest interne). Nous y détaillons les principes et objectifs ainsi que des use cases de tests d’intrusion en boite noire et grise d’un réseau interne.

Face à des attaques de plus en plus nombreuses et élaborées, la sécurité des applications web est un enjeu majeur. En effet, la sécurité revêt aujourd’hui une importance capitale pour rassurer et fidéliser des clients, ou convertir des prospects.

Il existe plusieurs moyens d’évaluer la sécurité d’une application web. Dans cet article, nous vous présentons l’approche « offensive » qui reste, selon nous, la plus efficace : les tests d’intrusion web (ou pentest web). Nous y détaillons les principes et objectifs ainsi que des use cases de tests d’intrusion en boite noire, grise et blanche sur diverses cibles.

Dans un précédent article, nous avions passé en revue la vulnérabilité la plus critique des applications web selon le Top 10 OWASP : le défaut de contrôle d’accès. Aujourd’hui, nous nous attaquons aux vulnérabilités et exploitations courantes liées au manque ou à l’absence de chiffrement dans les applications.

L’OWASP (Open Web Application Security Project) est une communauté qui œuvre à l’amélioration de la sécurité des systèmes d’information.

Cette organisation produit de nombreuses ressources, notamment des guides et normes de sécurité des applications dont l’OWASP Top 10. Elle développe également des outils open source comme ZAP (un proxy d’interception, alternative à BURP), ou Amass (pour cartographier sa surface d’attaque).

En quoi consiste la pseudonymisation de données ?

La pseudonymisation est une technique de protection des données, qui consiste à traiter des données de telle sorte qu’il ne soit pas possible de les attribuer à une personne spécifique sans avoir recours à des informations additionnelles. En effet, plus concrètement, il s’agit de remplacer les identificateurs personnels réels (noms, prénoms, emails, adresses, numéros de téléphone, etc.) avec des pseudonymes.

En quoi consiste l’élévation de privilèges ?

L’élévation de privilèges est un concept clé pour les attaquants qui cherchent à accéder à des informations sensibles ou à des fonctionnalités restreintes sur un système informatique. Généralement, cela consiste à exploiter des faiblesses de sécurité dans un système donné pour passer d’un niveau d’accès limité, avec des autorisations standards, à un niveau d’accès plus élevé, avec des droits plus importants.

Sur les systèmes Linux, il existe plusieurs techniques pour élever les privilèges d’un utilisateur. L’exploitation de faiblesses de configuration, les vulnérabilités présentes dans les programmes et la mauvaise gestion de droits en sont les principales.