Archives par mot-clé : Sécurité

Sauvegardes via Internet, automatisées et auto-hébergées avec Backintime et Docker

Faire des sauvegardes régulières est crucial. Mais rares sont les personnes qui le font sérieusement. Il faut donc les automatiser et les rendre faciles d’utilisation.

Pour résister à un cambriolage, incendie ou autre gros pépin, le mieux est que cette sauvegarde soit externalisée. Dans ce cas, il est important que les données soient chiffrées, et que le flux réseau ne soit pas excessif.

Ca faisait longtemps que j’avais l’idée de faire des sauvegardes croisées et auto-hébergées : je stocke les sauvegardes d’un copain, et il stocke les miennes. Et je pourrais ainsi fournir une solution de sauvegarde simple et automatique à toutes les personnes pour qui j’ai installé Linux.

C’est BackInTime que j’ai choisi pour faire ça côté client, et Docker m’a permis de mieux sécuriser les choses côté serveur.

Continuer la lecture de Sauvegardes via Internet, automatisées et auto-hébergées avec Backintime et Docker

Orange accède aux mots de passe en clair dans Flexible Contact Center

Flexible Contact Center est un service de call-center en mode SaaS, commercialisé par Orange, à destination des entreprises.

Les mots de passe des comptes qui sont créés sur cette plateforme sont apparemment stockés en clair, puisqu’il leur arrive de les envoyer par email.

Continuer la lecture de Orange accède aux mots de passe en clair dans Flexible Contact Center

Divulgation responsable de failles de sécurité : le parcours du combattant

Signaler une faille de sécurité n’est pas si simple que ça. Il faut savoir qui contacter, et ne pas être pris pour un méchant pirate.

Voici mon expérience avec des failles découvertes dans les modem SFR/Numericable (voir l’article dédié).

En tout, 14 mois se sont écoulés entre la découverte et la fin des corrections, pour de multiples raisons.

Continuer la lecture de Divulgation responsable de failles de sécurité  : le parcours du combattant

Failles de sécurité sur les modems SFR/Numericable

Au départ, je cherchais à désactiver automatiquement le WiFi de mon modem la nuit. Comme il y a une interface web d’administration du modem, j’ai essayé de scripter les opérations sur cette interface.

C’est en développant ce script que j’ai découvert plusieurs failles de sécurité dans cette interface d’administration. Dans certaines conditions, cela permettait à n’importe qui sur Internet de voir et modifier tous les paramètres du modem. Les failles les plus critiques ont maintenant été corrigées par SFR/Numericable.
Continuer la lecture de Failles de sécurité sur les modems SFR/Numericable

Chiffrement interopérable en Java, PL/SQL, Javascript, et avec des progiciels

Besoin : être capable de chiffrer des données sensibles d’une entreprise, pour pouvoir les faire transiter entre plusieurs applications.

Périmètre : chiffrement d’une chaine de caractères, pas d’un fichier ou d’un filesystem.

Enjeu : être capable de raisonnablement sécuriser le contenu, tout en étant interopérable entre différentes technologies.

Schema Chiffrement

Continuer la lecture de Chiffrement interopérable en Java, PL/SQL, Javascript, et avec des progiciels

Sécuriser les mots de passe jdbc du server.xml d’un Tomcat

Par défaut, les dataSources déclarées dans Tomcat affichent le mot de passe jdbc en clair dans conf/server.xml.

Dans pas mal d’entreprises, le répertoire de tomcat est accessible en lecture à de nombreuses personnes. C’est très pratique pour diagnostiquer, mais pose un problème de sécurité en exposant ce mot de passe.

Voici quelques pistes d’amélioration que j’ai investiguées, en essayant de trouver un équilibre entre les besoins des développeurs et ceux de l’exploitation (oui, ça ressemble à de la démarche devops ;-) ).

Continuer la lecture de Sécuriser les mots de passe jdbc du server.xml d’un Tomcat

Quelques « anti-patterns » de sécurité informatique en entreprise

Voici des comportements que j’ai souvent vus en entreprise. Ils ont tous une logique certaine, mais cachent en général une négligence (et parfois méconnaissance) de la sécurité informatique.

Il faut dire que sécuriser, c’est des contraintes à court terme, pour (peut-être) réduire un risque à moyen terme. Donc ça va souvent à contre-courant.

Continuer la lecture de Quelques « anti-patterns » de sécurité informatique en entreprise