Comment réussir un entretien d’embauche

Salut à tous, c’est la rentrée et, chose promise chose due, je vous dois un article sur comment réussir un entretien d’embauche. Et je vous arrête tout de suite, je ne suis pas un pro des ressources humaines, mon boulot c’est l’informatique, hein. C’est juste que comme je change de taf bientôt, je vous partage les trucs et astuces qui qui ont bien marchés pour moi lors de mes entretiens sur la première moitié de 2019.

Réussir un entretien d'embauche
Lire la suite

De la sécurité des headers HTTP

Sécurité des headers HTTP

Salut à tous, on m’a conseillé de jeter un œil au site securityheaders.com récemment. Celui-ci permet de contrôler la sécurité des headers HTTP d’un site. Et en testant le site, non seulement je me suis rendu compte qu’il m’en manquait quelques-uns. Mais aussi que je ne vous ai jamais fait un point sur la sécurité des headers HTTP. C’est l’occasion !

Quelle sécurité des headers HTTP ?

Bon je ne vais pas vous faire un dessin. Si vous ne savez pas ce qu’est un header HTTP allez faire un tour sur le net (genre ici ou ). Ils ne concernent pas le site à proprement parler (HTML, PHP, JS, CSS) mais la couche précédente du modèle OSI (HTTP). Ces headers permettent au client (le navigateur) et au serveur (nginx) d’échanger des informations relatives à la gestion du site. Comme par exemple : l’authentification, le comportement du cache, les timeouts de connexions ou encore les cookies. Une partie de ces headers concernent directement la sécurité de votre site. On va les détailler une par un ci dessous.

Quels en-têtes pour la sécurité ?

X-Frame-Options

On va commencer par un simple : X-Frame-Options. Ce header serveur permet d’indiquer au navigateur si … Lire la suite

Comment stocker un mot de passe ?

Salut à tous, aujourd’hui on va continuer le cycle d’article sur les mots de passes, et plus particulièrement : comment stocker un mot de passe. Pour info, je me pompe sans honte sur cet article de sophos, qui est au top sur le sujet.

Comment on faisait ? ou plutôt comment ne pas stocker un mot de passe.

En clair !

La plus ancienne méthode de stockage consistait à stocker les mots de passe… en clair ! Elle pose quelques petits problèmes, assez évidents : en cas d’attaque réussie, en cas de réutilisation du mots de passe, etc. Cette méthode là, on ne la rencontre plus trop chez les professionnels. Mais parfois, on tombe encore sur un utilisateur qui garde un joli fichier Excel avec tout ses mots de passe dedans.

R1- Ne pas stocker les mots de passe en clair, donc.

Chiffré ?

Puisqu’on ne peut pas les stocker en clair, on va les chiffrer, non ? bein non plus, déjà cela signifie que les administrateurs accèdent encore au clair de vos mots de passe. En fait, en chiffrant votre base de mot de passe vous ne faites que transférer la sécurité sur le secret de la … Lire la suite

Défense contre les advanced persistent threat (ou la NSA vous explique comment leur compliquer la vie)

NSA

Coucou à tous, aujourd’hui je vous invite à jeter un œil à une présentation de la NSA lors de la conférence USENIX Enigma 2016 sur la défense contre les advanced persistent threat (APT). Dans la vidéo, en gros, ce monsieur vous explique que vous êtes très mauvais et comment faire mieux contre eux. Sachant que l’orateur est de la Tailored Access Operations à la NSA (c’est un méchant), on se doute bien qu’ils ne donnent pas toutes les infos pour les stopper, mais 90% des conseils qu’il donne sont valables contre les attaques classiques par malwares, pishing et autres CVE des mafieux, script-kiddies et combiné à vos utilisateurs idiots. 

Globalement le plan reprend tout ce qu’on vous dira dans une formation de PenTest ou de sécurité défensive. Mais ça fait des bons rappels et il y a quelques bonnes astuces tout au long de la présentation qui valent le détour. Bref, si vous avez 30 minutes à tuer c’est par ici et c’est plein de gros bon sens :

@+… Lire la suite