Sécurité

Retour sur le SSTIC 2016

Publié le : Auteur: llaise Laisser un commentaire
Logo_sstic

Sodifrance était de nouveau présent au SSTIC cette année ! Encore une belle édition, et ce ne sera sans doute pas la dernière 😉 Profitons-en pour faire un retour rapide sur certaines présentations. Conférence d’ouverture – Brad Spengler / grsecurity Brad Spengler est l’auteur de grsecurity, un patch permettant d’ajouter des fonctionnalités de sécurité au kernel Linux. Après une brève présentation des nouveautés de grsecurity, l’orateur s’est attardé sur les problématiques touchant la communauté, avec notamment un mot sur les vulns « hype » qui influent sur les choix et priorités de développement et/ou de correction. Egalement, Brad considère que trop de « white papers » ou de présentations sont faites, sans pour autant que le contenu ne soit utile à la communauté. Il évoque aussi la problématique des CVE, reprochant qu’aujourd’hui tout soit « CVE-able », que l’application soit critique ou non pour un système, et bien qu’elle n’affecte parfois qu’un nombre réduit d’utilisateurs. Enfin, Brad a donnéLire la suite…

Evènements

Retour sur le Google Hash Code 2016

Publié le : Auteur: pcrouzet Laisser un commentaire
Logo du Google Hash Code 2016

Le 11 février dernier avait lieu le Google Hash Code. Un événement international couvrant l’Europe, le Moyen-orient et l’Afrique et réunissant plus de 1000 équipes de 2 à 4 personnes autour d’une même problématique de développement. Objectif pour chaque équipe : soumettre au moins une solution à un problème posé en moins de quatre heures. Chaque solution était ensuite analysée et les scores en résultant permettaient de classer les équipes en compétition. Le Groupe Sodifrance a présenté plusieurs équipes dans ses agences de Rennes, Nantes et Angers.Lire la suite…

Sécurité

Analyse du dump 000webhost : le nouveau rockyou ?

Publié le : Auteur: llaise Laisser un commentaire
dictionary-attack

000webhosting, hébergeur web gratuit, a subi une attaque en octobre 2015. Ce sont près de 15 millions de comptes qui ont fuité, avec en prime les mots de passes … qui étaient bien entendu stockés en clair. Pour casser des hashs, il est important d’avoir des dictionnaires diversifiés, complets et … réalistes. N’ayant pas trouvé de comparatif entre les dumps de 000webhost et de rockyou (32 millions de comptes, en 2009), nous allons procéder à une analyse des mots de passe de 000webhost, avec comme témoin le légendaire rockyou. Analyse quantitative $ wc -l 000webhost.com_password_only rockyou.txt 15265402 000webhost.com_password_only 14344392 rockyou.txt 29609794 total Le dump de 000webhost contient un peu plus de 15 millions de mots de passe, contre 14 millions (uniques) pour rockyou. C’est donc un bon début. Mais combien sont uniques ? $ sort -u 000webhost.com_password_only| wc -l 10615940 Nous avons donc un peu plus de 10 millions de mots deLire la suite…

Technologies

Déployer automatiquement vos applications avec Apache Karaf

Publié le : Auteur: Jean-Yves BESSON Laisser un commentaire
karaf-logo_lg

Lors des phases de développement par itération il est parfois long et pénible de redéployer les binaires produits à chaque compilation vers les environnements de tests ou de recette. Dans cet article je vous propose découvrir le framework Apache Karaf qui est une alternative intéressante à des solutions plus lourdes (type Jenkins, Ansible, Docker, etc…) pour déployer vos applications depuis vos repository Maven en mode ‘devops’. Découverte, installation et prise en main Apache Karaf est ce que l’on appelle un ‘conteneur d’applications’, c’est-à-dire une application dont le but est d’embarquer et de gérer le cycle de vie d’autre applications. Il peut gérer des jars classiques mais également des jars répondants à la spécification OSGI, appelés ‘bundle’ qui contiennent les informations permettant de démarrer ou arrêter les services applicatifs et de gérer les dépendances. Une fois téléchargé depuis le site officiel et démarré on accède à la console de Karaf quiLire la suite…

Technologies

Apache Camel : Réalisez facilement vos applications orientées messages

Publié le : Auteur: Jean-Yves BESSON Laisser un commentaire
camel-box-small

Lorsque le nombre d’applications interagissant sur un même ESB augmente, le travail de son développeur devient de plus en plus complexe, d’une part parce que les technologies utilisées peuvent devenir de plus en plus hétérogènes et d’autre part parce que le nombre de contraintes métier va croissant. Le framework Apache Camel apporte une réponse complète et efficace à cette problématique, sous forme d’une puissante toolbox qui peut considérablement réduire le travail d’intégration de vos applications sur le bus d’entreprise. Je vous propose d’en découvrir les possibilités au travers de la réalisation d’une petite application Java/Spring illustrant son fonctionnement. Présentation Crée en 2007 et actuellement en version 2.15.2, ce framework écrit en Java, très léger et déjà très mature se fixe deux objectifs principaux : Fournir les composants nécessaires à l’interaction avec les différentes sources du bus de données. Il en existe aujourd’hui plus d’une centaine (MQ, HTTP, SQL, File, etc…) etLire la suite…

Technologies

AngularJS : Le tutoriel pour bien démarrer

Publié le : Auteur: Vincent Lemordant Laisser un commentaire
technologies

AngularJS, développé par Google depuis 2009, s’impose de plus en plus comme une référence dans le domaine des frameworks JavaScript. Une présentation détaillée est disponible sur ce blog : cliquez ici. Avec AngularJS, la navigation, la récupération des données et leur traitement ont lieu côté client. Le serveur n’a plus qu’à valider et envoyer les données, ce qui fournit à l’utilisateur une navigation plus fluide. Cette déportation de la logique permet de développer aisément des Single Page Application, ces applications web à la mode, accessibles via une page web unique. AngularJS apporte également de nombreux concepts importants :Lire la suite…

Technologies

Implémenter une authentification par formulaire avec OWIN et ASP.Net MVC 5

Publié le : Auteur: pcrouzet Laisser un commentaire
asp-net-mvc-5

Depuis un moment déjà Microsoft porte ses efforts sur la modularité, la portabilité et la performance de la plateforme ASP.Net. C’est dans ce contexte qu’a été créé le standard OWIN. Le framework ASP.Net MVC 5 implémente ce standard pour ses fonctionnalités de sécurité. L’authentification par formulaire, très populaire sur la plateforme ne fait pas exception.Lire la suite…

Sécurité

La vérité sur les attaques « internet » récentes

Publié le : Auteur: htroalic Laisser un commentaire
securite

Passée l’effervescence des semaines passées suite notamment à l’attaque sur TV5, il nous a paru intéressant de faire un article sur « les attaques internet » et leur réalité effective. Faire la différence entre la menace réelle et la part de « fantasme » inhérente à ce genre d’attaques souvent relayée et amplifiée par des médias en mal de sensation. Pour illustrer notre propos nous reviendrons aussi sur la série d’attaques subit par des sites internet français début janvier 2015.Lire la suite…