Au même titre que de nombreux amateurs de vin se réjouissent de leur nouveau Beaujolais, le monde de la sécurité logicielle attend avec impatience chaque nouvelle édition du Top 10 de l'OWASP, à savoir, le référentiel des dix risques de sécurité majeurs dans les applications web.

En effet, depuis un peu plus de deux années, le Top 10 de l'OWASP est passé d'un simple document de rappel pour les analystes en sécurité à un référentiel réputé et reconnu à l'échelle mondiale comme l'une des sélections les plus représentatives des risques de sécurité que l'on rencontre dans des applications web mal protégées contre les intrusions.

Cette édition 2010 se voit également beaucoup plus ambitieuse sur le plan de son adoption: il ne s'agit plus cette fois de la faire reconnaître au sein de la communauté mais de s'assurer que tout développeur web en prenne connaissance.

Après plus de trois mois de débats internes au sein de la fondation, les experts se sont finalement mis d'accord sur la sélection finale des dix risques et l'édition 2010 est dès aujourd'hui disponible en libre téléchargement sur le site officiel de l'OWASP.
lire la suite »

Ça y est, c'est décidé, vous allez déléguer la gestion complète de certaines activités logicielles (conception, développement, déploiement, support, hébergement, maintenance) à un partenaire afin d'économiser des coûts. Salaires des collaborateurs, de leurs vacances, gestion électronique des documents, applications métier, tout sera en ligne afin d'économiser des coûts à tous les niveaux: infrastructure, ressources humaines, opérations, et j'en passe.

C'est le Software as a Service, le SaaS (ou l'ASP pour ceux qui ont compris qu'on n'a rien inventé mais que ça excite le marketing d'avoir de nouveaux mots) c'est certainement estampillé cloud computing, c'est tendance, c'est génial et ça le fait lorsque vous en parlez à d'autres directeurs!

Pourtant, vos données ne sont désormais plus chez vous. Elles sont ailleurs.

Où sont-elles? Qui les protège? Comment sont-elles protégées? Quelles sont les garanties de sécurité dont vous disposez? Les avez-vous contractualisées?

Pour vous aider à gérer ces risques, vous trouverez ci-après une liste de points de contrôles à valider en amont de la conclusion d'un accord avec votre partenaire.
lire la suite »

La nouvelle édition du Top 25 Most Dangerous Programing errors, un référentiel des 25 erreurs de développement à la source des plus graves faiblesses de sécurité logicielle, est en ligne.
lire la suite »

Le DISA (Agence américaine chargée de la gestion des systèmes d'information de la défense) a déclassé un protocole complet destiné à standardiser les activités d'audit de sécurité sur les logiciels acquis ou développés au sein du département de la défense.
lire la suite »

Annoncé hier aux utilisateurs de la messagerie de Google GMail, le tout nouveau service de Google , Buzz, a déjà quelques dizaines de fans genevois.

Qu'en est-il?
lire la suite »

Je vous rapportais dans un précédent billet le récent piratage du service en ligne de micro-messagerie Twitter.

De nouvelles informations sur le mode opératoire utilisé par les pirates ont fait surface: l'attaque serait survenue directement auprès de l'autorité de contrôle des noms de domaines.
lire la suite »

Le service de micro-messages Twitter a été hier matin la cible d'une attaque informatique sur son site web. Pendant plus de deux heures, les utilisateurs accédant au site via l'adresse "http://twitter.com" ont été redirigés vers une page rédigée par les pirates. L'attaque est revendiquée par "The Iranian Cyber Army".
lire la suite »

Le magazine Wired a publié ce mois un article très complet sur l'intrusion informatique subie par l'entreprise Wal-Mart (l'un des plus importants spécialistes de la grande distribution au monde/ http://fr.wikipedia.org/wiki/Wal-Mart) en novembre 2006. Bien que rapidement révélée au grand jour par la presse, très peu de détails avaient transpiré des analyses relatives à cette intrusion.

Les journalistes du magazine technologique Wired ont pu accéder en exclusivité aux détails techniques de l'intrusion. Des analyses d'une telle profondeur, traduites en Français, ne sont pas légion. Pour l'exercice, tentons d'en extraire les grandes lignes...

^{(Pour les anglophones ou adeptes de la traduction automatique, l'article original est disponible là).}
lire la suite »

L'agence européenne pour la sécurité des réseaux et de l'information (ENISA) a communiqué une mise en garde à l'intention des citoyens européens, concernant la recrudescence des attaques de type skimming sur les automates à billets...
lire la suite »

Une faille de sécurité dans le service de réseautage social Facebook a été rendue publique cette nuit par les éditeurs du blog FBHive.

La faille, exploitée correctement, permettait d'accéder à la section "informations personnelles" de n'importe quel utilisateur du service, même si ce dernier avait préalablement marqué cette section comme confidentielle.

Bien que la faille de sécurité, en elle-même, ne soit pas d'envergure à bouleverser l'ordre du monde, j'ai trouvé particulièrement intéressante la chronologie qui lui est associée.
lire la suite »