Le MFA bombing (ou MFA fatigue) : voilà une attaque particulière dont on a beaucoup entendu parler suite au hack de la société Uber. Si la méthode est encore peu répandue, il est important de comprendre comment elle fonctionne, et comment l’éviter, tant du côté utilisateur que développeur d’application.
Continue readingDans un article de blog posté il y a quelques jours, les équipes sécurité de Microsoft expliquent une attaque qu’ils ont détectée, mise au point par des hackers, et qui cherchait à compromettre l’identité de certains utilisateurs parmi leurs clients. Ils détaillent alors comment, au travers du produit Microsoft 365 Defender, la détection et la résolution de ce type d’attaque peut être effectuée.
Continue reading
La principale faille de sécurité en informatique d’une entreprise, c’est et ça a toujours été « l’humain », utilisé souvent par le biais du phishing comme dans cette attaque relevée par Microsoft. Et l’un des aspects informatiques les plus simples à exploiter chez l’humain, ce sont ses mots de passe (voir le rapport annuel de NordPass). Cela fait des années que les entreprises telles que Microsoft ou Google cherchent à proposer un monde sans mot de passe. C’est en ce sens que la FIDO Alliance a été mise en place. Et ensemble, ils ont construit la norme WebAuthn.
Continue reading
L’authentification, la gestion d’identité, et le contrôle d’accès en général : ça a l’air si simple ! Une adresse email, un mot de passe, et ça marche !
Oui … mais non. Quand on commence à gérer ce genre de problématique, on voit rapidement qu’il y a beaucoup de choses à prendre en compte. Comment stocke-t-on les mots de passe correctement ? L’intègre au système du client est-elle possible ? Comment gérer les droits des utilisateurs ?
Afin de répondre à toutes ces questions, je vous propose de faire un petit tour d’horizon au travers d’une petite série d’articles, afin de voir ces différents aspects le mieux possible, et faire quelques démonstrations. Mais d’abord, une revue rapide des concepts fondamentaux de l’authentification !
Continue readingLe DevSecOps : voilà un acronyme pas simple à définir, basé sur un autre pas toujours maitrisé, à savoir le DevOps. On va tenter de clarifier tout ça !
Pour répondre rapidement à la question par une définition courte, le DevSecOps est un terme qui vise à regrouper de multiples concepts, compétences et méthodologie autour d’un but commun : la gestion du cycle de vie d’une application. A savoir mettre en place ce qui est nécessaire pour qu’une entreprise soit capable de faire vivre son logiciel. Cela va de la création, à la maintenance, comme à sa potentielle « mort ». Exactement comme le cycle de vie d’un produit. Si le terme DevOps a évolué en DevSecOps, c’est qu’un élément crucial c’est intégré au centre de ce processus : la sécurité.
Mais profitons-en pour explorer les différents concepts de ce sujet fort passionnant !
