Les excuses cyber

les excuses cyber

Salut à tous,

Bon je continue avec des articles « bref », comme je suis complètement charette au taf en moment je trouve pas le temps de vous écrire des articles de fond. Du coup aujourd’hui, je vous partage un site que j’ai découvert la semaine dernière et qui référence toutes les excuses cyber à la con et qu’on rencontre régulièrement quand on travaille dans le milieu de la sécurité informatique.

Ce site c’est : cyber.excusesecu.fr.

Pour vous donner envie d’aller voir, je vous en sors quelques-unes bien marrantes :

  • “Les mots de passe sont aléatoires, mais pas au sens cryptographique du terme. On prend des mots de passe auxquels un attaquant ne penserait pas tout de suite.”
  • “Je souhaite supprimer les pare-feux, ces équipements ne sont pas agiles… mais les types de la sécu s’y opposent farouchement.”
  • “Vous avez compromis le domaine, mais à partir d’un poste de travail interne. L’attaquant, lui, n’a pas ce poste de travail.”
  • “Non malheureusement, les journaux sont inexploitables du fait de leur format binaire. L’éditeur de la solution ne dispose pas d’un logiciel qui permettrait d’en faire la conversion dans un format compréhensible.”

Il y en a quelques unes à … Lire la suite

Comment réussir un entretien d’embauche

Salut à tous, c’est la rentrée et, chose promise chose due, je vous dois un article sur comment réussir un entretien d’embauche. Et je vous arrête tout de suite, je ne suis pas un pro des ressources humaines, mon boulot c’est l’informatique, hein. C’est juste que comme je change de taf bientôt, je vous partage les trucs et astuces qui qui ont bien marchés pour moi lors de mes entretiens sur la première moitié de 2019.

Réussir un entretien d'embauche
Lire la suite

De la sécurité des headers HTTP

Sécurité des headers HTTP

Salut à tous, on m’a conseillé de jeter un œil au site securityheaders.com récemment. Celui-ci permet de contrôler la sécurité des headers HTTP d’un site. Et en testant le site, non seulement je me suis rendu compte qu’il m’en manquait quelques-uns. Mais aussi que je ne vous ai jamais fait un point sur la sécurité des headers HTTP. C’est l’occasion !

Quelle sécurité des headers HTTP ?

Bon je ne vais pas vous faire un dessin. Si vous ne savez pas ce qu’est un header HTTP allez faire un tour sur le net (genre ici ou ). Ils ne concernent pas le site à proprement parler (HTML, PHP, JS, CSS) mais la couche précédente du modèle OSI (HTTP). Ces headers permettent au client (le navigateur) et au serveur (nginx) d’échanger des informations relatives à la gestion du site. Comme par exemple : l’authentification, le comportement du cache, les timeouts de connexions ou encore les cookies. Une partie de ces headers concernent directement la sécurité de votre site. On va les détailler une par un ci dessous.

Quels en-têtes pour la sécurité ?

X-Frame-Options

On va commencer par un simple : X-Frame-Options. Ce header serveur permet d’indiquer au navigateur si … Lire la suite

Comment stocker un mot de passe ?

Salut à tous, aujourd’hui on va continuer le cycle d’article sur les mots de passes, et plus particulièrement : comment stocker un mot de passe. Pour info, je me pompe sans honte sur cet article de sophos, qui est au top sur le sujet.

Comment on faisait ? ou plutôt comment ne pas stocker un mot de passe.

En clair !

La plus ancienne méthode de stockage consistait à stocker les mots de passe… en clair ! Elle pose quelques petits problèmes, assez évidents : en cas d’attaque réussie, en cas de réutilisation du mots de passe, etc. Cette méthode là, on ne la rencontre plus trop chez les professionnels. Mais parfois, on tombe encore sur un utilisateur qui garde un joli fichier Excel avec tout ses mots de passe dedans.

R1- Ne pas stocker les mots de passe en clair, donc.

Chiffré ?

Puisqu’on ne peut pas les stocker en clair, on va les chiffrer, non ? bein non plus, déjà cela signifie que les administrateurs accèdent encore au clair de vos mots de passe. En fait, en chiffrant votre base de mot de passe vous ne faites que transférer la sécurité sur le secret de la … Lire la suite