Articles

Le 29 janvier 2024 l’ANSSI a été alertée par le BSI que l’éditeur AnyDesk Software GmbH a été victime d’une fuite de données. Le code source des applications développées par l’éditeur ainsi que des certificats et clés privées pourraient avoir été dérobés.

L’éditeur est spécialisé dans …
Source de l’article sur CERT-FR

Réduire la consommation CPU due à la collecte des déchets

La consommation CPU peut être réduite grâce à des méthodes innovantes pour la collecte des déchets. Découvrez comment cela est possible !

## Les cinq stratégies efficaces pour optimiser la performance des applications et réduire les coûts d’hébergement

Tous les langages de programmation modernes tels que Golang, Node.js, Java, .NET, Python, etc. effectuent une collecte automatique des déchets afin de supprimer les objets non référencés de la mémoire. Bien que cette collecte automatique des déchets offre un certain confort aux développeurs, elle peut avoir un coût : une consommation excessive du processeur. Les cycles constants consacrés à la collecte des déchets entraînent deux effets secondaires :

  • Dégradation des performances de l’application : étant donné que les cycles du processeur sont constamment dirigés vers la collecte des déchets, les performances globales de l’application seront affectées.
  • Augmentation des coûts d’hébergement cloud : cela augmente vos coûts d’hébergement cloud. Dans le but de réduire les coûts d’hébergement cloud, Uber a récemment ajusté sa collecte des déchets pour réduire l’utilisation du processeur.
  • Dans cet article, nous nous penchons sur cinq stratégies efficaces qui peuvent aider à atténuer ce problème, permettant aux développeurs d’optimiser les performances de l’application et de limiter l’impact sur les dépenses d’hébergement.

    Pour optimiser les performances d’une application et réduire la consommation du processeur liée à la collecte des déchets, il existe plusieurs stratégies. La première consiste à utiliser un logiciel spécialisé pour gérer la mémoire. Ces outils surveillent la mémoire et libèrent les objets non référencés avant que le système ne le fasse automatiquement. Cela permet aux applications de fonctionner plus rapidement et plus efficacement.

    Une autre stratégie consiste à utiliser des outils pour profiler le code et identifier les objets qui sont stockés dans la mémoire et qui ne sont plus utilisés. Ces outils peuvent également aider à trouver des bogues qui peuvent entraîner une fuite de mémoire et à éliminer les objets non référencés.

    Enfin, il est possible d’utiliser des outils pour surveiller le comportement des applications et analyser leur utilisation de la mémoire. Ces outils peuvent aider à identifier les applications qui consomment beaucoup de mémoire et à prendre des mesures pour réduire leur consommation. Cela permet aux applications de fonctionner plus rapidement et plus efficacement.

    Source de l’article sur DZONE

    Ne Pas Utiliser de Credentiels dans une CI/CD Pipeline

    Les pipelines CI/CD sont des outils puissants, mais il est important de ne pas utiliser de credentiels sensibles pour éviter les risques de sécurité.

    Comment Donner un Accès Sécurisé à des Services Tiers Sans Utiliser de Clés Secrètes

    OpenID Connect (OIDC) is a protocol that allows users to authenticate themselves with an external identity provider, such as Auth0 or Okta. It works by exchanging an access token between the identity provider and the application. This token is cryptographically signed and contains a set of claims about the user, such as their name, email, and other attributes. The application can then use this token to authenticate the user and grant them access to resources.

    En tant qu’utilisateur qui construit et maintient des infrastructures cloud, j’ai toujours été méfiant du point de vue de la sécurité lorsque je donne un accès à des services tiers, tels que les plateformes CI/CD. Tous les fournisseurs de services prétendent prendre des précautions strictes et mettre en œuvre des processus infaillibles, mais les vulnérabilités sont toujours exploitées et les erreurs arrivent. Par conséquent, ma préférence est d’utiliser des outils qui peuvent être hébergés en interne. Cependant, je ne peux pas toujours avoir le choix si l’organisation est déjà engagée auprès d’un partenaire externe, tel que Bitbucket Pipelines ou GitHub Actions. Dans ce cas, pour appliquer un IaC Terraform ou déployer un groupe d’échelle automatique, il n’y a pas d’autre choix que de fournir à l’outil externe une clé secrète API, n’est-ce pas ? Faux ! Avec la prolifération de OpenID Connect, il est possible de donner aux plates-formes tierces un accès basé sur des jetons qui n’exige pas de clés secrètes.

    Le problème avec une clé secrète est qu’il y a toujours une chance qu’elle soit divulguée. Le risque augmente plus elle est partagée, ce qui se produit lorsque des employés quittent et que de nouveaux arrivent. L’un d’entre eux peut le divulguer intentionnellement ou ils peuvent être victimes d’une hameçonnage ou d’une violation. Lorsqu’une clé secrète est stockée dans un système externe, cela introduit un tout nouvel ensemble de vecteurs de fuite potentiels. Atténuer le risque implique de changer périodiquement les informations d’identification, ce qui est une tâche qui n’ajoute pas de valeur perceptible.

    OpenID Connect (OIDC) est un protocole qui permet aux utilisateurs de s’authentifier auprès d’un fournisseur d’identité externe, tel qu’Auth0 ou Okta. Il fonctionne en échangeant un jeton d’accès entre le fournisseur d’identité et l’application. Ce jeton est signé de manière cryptographique et contient un ensemble de revendications sur l’utilisateur, telles que son nom, son adresse électronique et d’autres attributs. L’application peut ensuite utiliser ce jeton pour authentifier l’utilisateur et lui donner accès aux ressources.

    Les jetons OIDC sont une alternative intéressante aux clés secrètes pour donner aux plates-formes tierces un accès limité aux ressources cloud. Les jetons sont générés par le fournisseur d’identité et peuvent être limités à une durée de vie spécifique et à un ensemble de revendications spécifiques. De plus, ils peuvent être révoqués à tout moment par le fournisseur d’identité si nécessaire. Les jetons OIDC sont donc une solution plus sûre et plus flexible pour donner aux plates-formes tierces un accè

    Source de l’article sur DZONE

    Protéger les données utilisateur dans Microsoft 365 : Guide pas-à-pas.

    Protéger les données des utilisateurs est essentiel pour Microsoft 365. Découvrez comment le faire étape par étape grâce à ce guide pas-à-pas !

    ## Comprendre le paysage des menaces

    Malware: Malware is malicious software designed to damage or gain unauthorized access to a system. It can be spread through email, websites, and other sources.

    Phishing: Phishing is a type of social engineering attack in which attackers attempt to gain access to sensitive information by sending emails or other messages that appear to be from a legitimate source.

    Data Leakage: Data leakage occurs when confidential information is unintentionally shared with unauthorized parties. This can happen through email, file sharing, or other means.

    Data Theft: Data theft is the intentional theft of data by an individual or group. This can be done through malicious software, physical theft of devices, or other means.

    Introduction

    En tant que scientifique informatique enthousiaste, je sais que la sécurité des données est une préoccupation majeure pour les organisations qui utilisent Microsoft 365. Avec la sophistication croissante des menaces cybernétiques, il est essentiel d’être conscient des risques potentiels pour vos comptes utilisateurs et vos données. Dans cet article, nous fournirons un guide étape par étape pour vous aider à protéger votre environnement Microsoft 365 contre la perte de données. Nous couvrirons le paysage des menaces, les fonctionnalités de sécurité Microsoft 365, les meilleures pratiques pour sécuriser les comptes utilisateurs et les solutions de sauvegarde de données pour Microsoft 365. Avec les informations et les recommandations fournies dans ce guide, vous serez bien équipé pour protéger les précieuses données de votre organisation et assurer la continuité des activités.

    Comprendre le paysage des menaces

    Les menaces cybernétiques sont en constante augmentation et il est important de comprendre le paysage des menaces afin de mieux protéger votre environnement Microsoft 365. Les types de perte de données les plus courants auxquels les organisations sont confrontées dans un environnement Microsoft 365 sont les suivants :

    Malware : le malware est un logiciel malveillant conçu pour endommager ou obtenir un accès non autorisé à un système. Il peut être diffusé par e-mail, sites web et autres sources.

    Phishing : le phishing est une forme d’attaque d’ingénierie sociale dans laquelle des attaquants tentent d’accéder à des informations sensibles en envoyant des e-mails ou d’autres messages qui semblent provenir d’une source légitime.

    Fuite de données : la fuite de données se produit lorsque des informations confidentielles sont partagées involontairement avec des parties non autorisées. Cela peut se produire par e-mail, partage de fichiers ou d’autres moyens.

    Vol de données : le vol de données est le vol intentionnel de données par un individu ou un groupe. Cela peut être fait par un logiciel malveillant, un vol physique de dispositifs ou d’autres moyens.

    Fonctionnalités de sécurité Microsoft 365 et meilleures pratiques

    Microsoft 365 propose une gamme de fonctionnalités de sécurité pour protéger vos comptes utilisateurs et vos données. Ces fonctionnalités comprennent l’authentification multifacteur, la protection contre le hameçonnage, la surveillance des activités suspectes, la protection contre les logiciels malveillants et le chiffrement des données. En outre, il existe certaines meilleures pratiques que vous pouvez adopter pour renforcer la sécurité de votre environnement Microsoft 365. Ces pratiques comprennent l’utilisation d’un mot de passe fort et unique pour chaque compte

    Source de l’article sur DZONE

    [Mise à jour du 25/05/2018 : ajout de bulletins Microsoft (cf. section Documentation)]

    [Mise à jour du 22/05/2018 : publications de nouvelles variantes]

    [Mise à jour du 23/02/2018 : annonce d’Intel sur la sortie des mises à jour …
    Source de l’article sur CERT-FR

    Après avoir téléphoné à sa Mutuelle, un internaute reçois oralement ses identifiants de connexion privés … sans aucun contrôle de l’entreprise. Le lecteur de ZATAZ a saisi la CNIL. Merci pour les identifiants de connexion !

    Cet article Plainte auprès de la CNIL après avoir reçu des identifiants de connexion par téléphone est apparu en premier sur ZATAZ.

    Source : https://www.zataz.com/plainte-aupres-de-cnil-apres-recu-identifiants-de-connexion-telephone/