Changement d'email : exploitations et bonnes pratiques sécurité

Quelle que soit l’application web, il est courant de permettre aux utilisateurs de changer leur adresse email. Cette fonctionnalité est critique car elle impacte directement la gestion des comptes. De plus, l’adresse email sert souvent d’identifiant pour l’authentification. Il est donc essentiel de sécuriser cette fonctionnalité.

Nous pouvons distinguer différentes situations. Dans certains cas, l’application permet aux utilisateurs de changer leur propre adresse email. D’autres fois, un administrateur peut modifier les adresses email des utilisateurs. Parfois, les deux options sont possibles.

Prototype pollution : principes, exploitations et bonnes pratiques sécurité

Les failles de type « prototype pollution » sont spécifiques à Javascript. Elles peuvent être exploitées côté serveur et côté client. Ces failles permettent à des attaquants d’exécuter du code malveillant ou de voler des données.

Il est donc crucial de comprendre et de traiter ces vulnérabilités. Cet article détaille les principes des failles prototype pollution, les exploitations côté serveur et client, ainsi que les mesures à implémenter pour contrer les attaques.

Phishing : méthodologie, techniques courantes et outils

On ne peut pas parler d’ingénierie sociale sans évoquer le phishing. De même, l’email est incontournable quand il s’agit de phishing. Bien qu’il existe d’autres techniques d’ingénierie sociale, comme le vishing, et de multiples vecteurs de phishing, comme le SMS (smishing), l’email reste en effet l’outil préféré des attaquants.

Dans cet article, nous présenterons trois outils couramment utilisés pour réaliser des campagnes de phishing : Gophish, Evilginx et Evilgophish.

Vols de comptes : techniques et bonnes pratiques sécurité

Le vol de comptes est une pratique courante qui met en danger la sécurité des utilisateurs et de leurs données. L’impact pour les victimes dépend du type de compte ciblé. Il peut être mineur s’il s’agit d’un compte fidélité personnel, mais devient critique pour un compte administrateur d’entreprise.

Les attaques utilisent diverses techniques, souvent basées sur des campagnes de masse pour voler un maximum d’identifiants. Cependant, il existe aussi des vulnérabilités applicatives permettant des vols de comptes plus ciblés. La présence de ces failles représente un risque majeur pour les entreprises, surtout si un compte administrateur est compromis.

SAML : fonctionnement, vulnérabilités et bonnes pratiques sécurité

La gestion sécurisée des identités et des accès est devenue un enjeu crucial pour les organisations. Parmi les solutions disponibles, le Security Assertion Markup Language (SAML) s’est imposé comme un standard incontournable pour l’authentification unique (SSO).

Ce protocole basé sur XML permet aux utilisateurs de s’authentifier une seule fois et d’accéder à plusieurs applications sans avoir à se reconnecter; simplifiant ainsi l’expérience utilisateur. Cependant, en cas de mauvaise implémentation, des vulnérabilités critiques peuvent être exploitées.

Sécurité IoT : focus sur les principaux vecteurs d'attaques

La sécurité de l’IoT est un enjeu clé pour les organisations. Dans tous les secteurs et domaines d’activité (santé, industrie, services, transport, énergie, etc.), l’IoT est synonyme de développement et de croissance.

Actuellement, on estime à plus de 15 milliards d’objets IoT en service à travers le monde. Ce nombre pourrait doubler d’ici 2030. Cependant, cette prolifération des objets connectés s’accompagne de nouveaux enjeux, notamment en termes de sécurité.

Audits de sécurité : objectifs, types d'audits et méthodologies

Avec la recrudescence des attaques, réaliser un audit de sécurité informatique n’a jamais été une aussi grande priorité pour les entreprises.

Selon l’ANSSI, les cyberattaques ont augmenté de 400% entre 2020 et 2023, avec 70% qui ont visé des entreprises. En outre, le coût moyen de ces attaques était situé entre 300 000 et 500 000€ pour une PME et d’environ 775 000€ pour les ETI.

Vulnérabilités LLM et Sécurité des IA génératives

Vous avez sûrement entendu parler de l’arrivée fracassante des LLM, à minima avec l’incontournable ChatGPT.

Le terme LLM (pour Large Language Model) désigne les modèles de traitement du langage. Ces modèles sont entrainés pour effectuer tous types de tâches linguistiques : traduction, génération de texte, réponse à des questions, etc.

Souvent, lorsque nous entendons parler de la sérialisation Java, nous trouvons des ressources ou des challenges qui parlent uniquement de générer et d’exécuter des payloads ysoserial.

Dans certaines situations, cela peut fonctionner. Cependant, dès qu’un client est conscient de cette possibilité, plutôt que de recourir à un format plus sûr, il préfère généralement utiliser à une bibliothèque comme notsoserial qui empêche la désérialisation des classes non autorisées.

Défaut d'identification et d'authentification : Top 10 OWASP #7

L’authentification et, par extension, l’identification d’un utilisateur sont des éléments centraux des applications web.

En effet, de ces deux mécanismes découlent la gestion des droits et des accès (par exemple entre un administrateur et un utilisateur standard), le cloisonnement des données entre différents comptes, la possibilité d’identifier différents utilisateurs, etc.

Attaques DoS : principes, types d'attaques, exploitations et bonnes pratiques sécurité

En 5 ans, le nombre d’attaques par déni de service (ou attaques DoS) a presque doublé. La résultante en est la paralysie de dizaines de millions de plateformes web et la perte de milliers voire de millions d’euros par les organisations victimes.

En effet, des entreprises comme Amazon ou GitHub ont déjà été impactées par ce type d’attaques. On peut également citer une des attaques les plus connues, MIRAI, qui a utilisé un botnet de près de cent mille machines détournées pour rendre indisponible les services de l’entreprise Dyn en 2016.