Le 29 janvier 2024 l’ANSSI a été alertée par le BSI que l’éditeur AnyDesk Software GmbH a été victime d’une fuite de données. Le code source des applications développées par l’éditeur ainsi que des certificats et clés privées pourraient avoir été dérobés.
L’éditeur est spécialisé dans …
Source de l’article sur CERT-FR
Apprenez à sécuriser votre CI/CD avec ce tutoriel OIDC ! Découvrez comment utiliser ce protocole pour protéger votre système de livraison continue.
The incident highlights the importance of testing security measures regularly. It’s not enough to just set up security measures and forget about them. Companies need to regularly test their security measures to make sure they are up-to-date and effective.
Commençons par une histoire : Avez-vous entendu parler de la violation de CircleCI ? Non, pas celle où ils ont accidentellement divulgué des informations d’identification de certains clients il y a quelques années. Cette fois, c’est un peu plus sérieux.
Il semble que des individus non autorisés ont pu accéder aux systèmes de CircleCI, compromettant les secrets stockés dans CircleCI. CircleCI a conseillé aux utilisateurs de faire tourner « tous les secrets » stockés dans CircleCI, y compris ceux stockés dans les variables d’environnement ou les contextes du projet.
L’incident met en évidence l’importance des tests de sécurité réguliers. Il ne suffit pas de mettre en place des mesures de sécurité et de les oublier. Les entreprises doivent régulièrement tester leurs mesures de sécurité pour s’assurer qu’elles sont à jour et efficaces.
GitHub est une plateforme très populaire pour le partage et le développement de logiciels. Mais que faut-il savoir si une clé SSH privée est dévoilée? Découvrons-le ensemble!
« Déclaration sur les fuites de secrets: GitHub a récemment découvert une exposition de clé privée SSH RSA »
GitHub a récemment annoncé sur son blog une exposition de clé privée SSH :
La semaine dernière, GitHub a découvert que la clé privée RSA SSH de GitHub.com était brièvement exposée dans un dépôt GitHub public.
La société a rassuré le public en expliquant que cette clé n’était utilisée que pour sécuriser les opérations Git via SSH à l’aide de RSA, ce qui signifie que aucun système interne, aucune donnée client ni aucune connexion TLS sécurisée n’était en danger. Ils ont réagi immédiatement en détectant l’incident et en changeant la clé :
GitHub a également annoncé qu’ils allaient mener des tests supplémentaires pour s’assurer que leur infrastructure est sûre et qu’il n’y a pas d’autres problèmes de sécurité. Ils ont déclaré qu’ils allaient travailler avec des experts externes pour vérifier leurs systèmes et leurs pratiques de sécurité.
GitHub a également déclaré qu’ils allaient mettre en place des mesures supplémentaires pour s’assurer que ce type d’incident ne se reproduise pas. Ils ont déclaré qu’ils allaient améliorer leurs processus de contrôle et de surveillance, et qu’ils allaient tester leurs systèmes plus fréquemment. Ils ont également annoncé qu’ils allaient former leurs employés à la sécurité et à la confidentialité des données.
Les développeurs doivent connaître les 15 meilleures pratiques de sécurité API pour protéger leurs applications et leurs données. Apprenez-en plus sur ces pratiques essentielles !
1. Utiliser une base de données sécurisée: Les bases de données sont un élément essentiel des API, et elles doivent être sécurisées pour éviter les attaques. Les développeurs doivent utiliser des bases de données sécurisées et configurer des contrôles d’accès pour limiter l’accès aux données sensibles.
2. Authentification forte: Les API doivent utiliser une authentification forte pour s’assurer que seuls les utilisateurs autorisés peuvent accéder aux données et aux fonctionnalités. Les développeurs doivent utiliser des méthodes d’authentification robustes, telles que l’authentification à deux facteurs, et mettre en place des contrôles d’accès pour limiter l’accès aux API.
3. Utiliser des mots de passe complexes: Les mots de passe complexes sont essentiels pour protéger les API contre les attaques par force brute. Les développeurs doivent exiger des mots de passe complexes et les renouveler régulièrement pour réduire le risque de compromission.
En tant qu’informaticien enthousiaste, je comprends l’importance de la sécurité des API et je m’efforce d’appliquer ces meilleures pratiques pour protéger mes applications et mes données. La sécurité des API est essentielle pour protéger les données sensibles et les ressources des organisations, et je suis convaincu que ces pratiques peuvent aider à réduire le risque de compromission.
Implémenter un scanner d’images Docker peut aider à réduire les incidents de sécurité et à assurer une meilleure protection des données.
Est-ce que vous utilisez Docker pour déployer vos applications ? Si c’est le cas, vous n’êtes pas seul. L’utilisation de Docker a connu une croissance fulgurante ces dernières années. Bien qu’il offre de nombreux avantages, il introduit également de nouveaux risques de sécurité qui doivent être pris en compte.
Mais, pourquoi est-il si important de réduire les incidents de sécurité ? C’est simple : le coût d’une violation de sécurité peut être dévastateur. De la perte de confiance des clients aux pertes financières, les conséquences d’un incident de sécurité peuvent être graves. C’est pourquoi il est essentiel de prendre des mesures pour les empêcher de se produire en premier lieu.
Pourquoi est-il si important de réduire les incidents de sécurité ?
Avec l’essor de la technologie, le monde des applications informatiques a connu une croissance considérable. L’utilisation de Docker est devenue très populaire ces dernières années, et de nombreuses entreprises l’utilisent pour déployer leurs applications. Bien que cette technologie offre de nombreux avantages, elle introduit également de nouveaux risques de sécurité qui doivent être pris en compte.
La réduction des incidents de sécurité est très importante car les conséquences d’une violation peuvent être catastrophiques. En effet, une violation de sécurité peut entraîner une perte de confiance des clients, des pertes financières et d’autres conséquences négatives. C’est pourquoi il est essentiel de prendre des mesures pour prévenir ces incidents.
En tant que scientifique informatique enthousiaste, je recommande vivement l’utilisation de tests pour garantir la sécurité des applications Docker. Les tests peuvent être effectués à différents stades du développement logiciel, notamment lors de la conception, du codage et du déploiement. Les tests peuvent aider à détecter et à corriger les vulnérabilités potentielles avant qu’elles ne soient exploitées par des cybercriminels. Les tests peuvent également aider à vérifier que le code est conforme aux normes de sécurité et à identifier les failles de sécurité qui peuvent être corrigées avant le déploiement.
En outre, l’utilisation d’outils d’analyse de sécurité peut aider à détecter les vulnérabilités et à fournir des recommandations sur la façon de les corriger. Ces outils peuvent également aider à surveiller les activités des utilisateurs et à détecter les comportements suspects. Enfin, il est important de mettre en œuvre des stratégies de sécurité appropriées pour protéger les applications contre les attaques.
Pour résumer, il est essentiel de prendre des mesures pour réduire les incidents de sécurité liés à l’utilisation de Docker. L’utilisation de tests et d’outils d’analyse de sécurité peut aider à détecter et à corriger les vulnérabilités et à mettre en œuvre des stratégies de sécurité appropriées pour protéger les applications contre les attaques. En tant que scientifique informatique enthousiaste, je recommande vivement l’utilisation de tests pour garantir la sécurité des applications Docker.
Last time, we covered a scenario in which a threat actor found leaked RSA private keys used by a TLS wildcard certificate for “Poor Corp.” By chaining the leaked private key with DNS misconfigurations, the attacker was able to impersonate a Poor Corp subdomain and use it to create highly effective phishing emails.
In this series, we will dissect not just what an attacker can do to get access to credentials, but also what they would do after getting that initial access. We will walk through a different threat scenario in each part of the series and tell stories of malicious hackers that are either true, based on a true incident, or reasonably theoretical.
It is important to invest time and effort in understanding why a system performs the way it does and how we can improve it. Companies continue with practices that yield successful results but ignoring anti-patterns can be far worse than choosing rigid processes. In this article, we will explore anti-patterns in incident response and why you should unlearn those.
Alerting everyone each time an incident is detected is not the best of practices. Sometimes notifying everyone is easier or adds value. For example:
SCM est un industriel indépendant né de la cession de la filiale oil and gas du groupe américain TE Connectivity. Suite à cette transaction, l’entreprise sarthoise avait un an pour basculer vers son propre ERP. Elle a opté pour une offre cloud SAP S/4HANA aux fonctionnalités resserrées sur l’essentiel, afin de tenir des délais de mise en place particulièrement courts. Avec l’aide des équipes de delaware, SCM a atteint ses objectifs en à peine 6 mois.
Une société presque centenaire, qui retrouve son indépendance
Systèmes et Connectique du Mans – SCM – conçoit, produit, teste, livre et installe des connecteurs électriques de puissance et optiques adaptés à des environnements extrêmes de corrosion, température et pression. La société travaille principalement pour des acteurs du secteur pétrolier et gazier (elle équipe notamment des plates-formes d’extraction en mer), mais également des clients des secteurs de la défense, du transport ferroviaire et de l’aéronautique. Elle s’appuie sur un site industriel moderne de 14.400 m². SCM emploie aujourd’hui environ 140 personnes pour un chiffre d’affaires annuel de 20 millions d’euros.
L’histoire de SCM est intimement liée à celle de CKB (Carier Kheops Bac), entreprise reprise en 2012 par TE Connectivity. Lorsque le groupe américain annonce la délocalisation des activités de sa filiale, les salariés reprennent la main, avec le lancement de SCM en avril 2021. La filiale oil and gas de TE Connectivity utilisait l’ERP SAP ECC 6 du groupe. Suite à la cession d’actif, SCM disposait d’une année pour mettre en place son propre ERP.
Autre contrainte, la nécessité de basculer d’un système SAP conçu pour une multinationale et massivement customisé vers une solution plus simple, adaptée à une ETI française. Le tout dans un contexte de fin de vie programmée de SAP ECC.
Un projet mené à bien dans des délais records
Sur les conseils de SAP et de l’intégrateur delaware, SCM opte pour une migration vers une solution SAP cloud de dernière génération, au travers de l’offre RISE with SAP S/4HANA. Le projet démarre le 22 septembre 2021. Afin de limiter la conduite du changement, l’entreprise choisit de rester dans un premier temps en SAP GUI, comme le permet l’offre RISE with SAP S/4HANA. Les impacts du changement d’ERP sont ainsi minimisés. Un important travail de nettoyage des données a également été mené, afin de se concentrer sur les seules informations nécessaires au fonctionnement de la nouvelle structure.
Le démarrage du nouveau système a été effectif le 26 mars 2022, après seulement 6 mois de travaux. SCM a pu commencer à utiliser immédiatement son ERP SAP S/4HANA : émission des premières factures, enregistrement des réceptions de produits et des mouvements de stock, saisie des validations de qualité, etc. Aucun incident majeur n’a été remonté depuis ce lancement express de la solution SAP S/4HANA en mode cloud.
Satisfait de l’accompagnement proposé par delaware tout au long du projet, SCM a décidé de lui confier la tierce maintenance applicative de son ERP pour les 15 prochains mois. Dans un premier temps, la société s’appuiera sur cette TMA pour stabiliser son système d’information SAP et lui apporter quelques premières améliorations.
« Nous sommes passés d’un groupe international disposant de 90 sites dans le monde à une entreprise industrielle sarthoise d’un peu plus de 100 personnes. Il nous fallait un ERP adapté à ce nouveau contexte : une solution plus simple, capable d’aller à l’essentiel. Au cours du projet, nous avons pris le temps de déterminer quelles fonctionnalités nous étaient vraiment utiles et lesquelles étaient de l’ordre du confort (des sujets que nous étudierons ultérieurement) ce qui nous a permis de mettre en place notre nouvel ERP dans des délais particulièrement courts, » témoigne Frédéric Kleindienst, président de SCM.
« SCM est l’exemple d’une entreprise qui souhaite bénéficier de la force d’un ERP tel que celui de SAP sans y ajouter les contraintes. La nouvelle version S/4HANA Cloud de SAP est adaptée aux PME/ETI car elle allie une couverture fonctionnelle standard riche et une simplicité de gestion et d’utilisation de par son prisme SAAS. La binôme SAP – delaware permet de faire bénéficier à SCM d’un système reconnu partout dans le monde tout en y ajoutant la flexibilité et la réactivité attendues par une PME/ETI. C’est le modèle SAP tel que nous le définissons pour les 15 prochaines années à venir » déclare Lahcen Binoumar, Head of General Business, SAP France.
« Ce projet était un énorme challenge. Nous avons réussi à basculer vers l’ERP SAP S/4HANA en seulement 6 mois, alors qu’il faut habituellement entre 10 et 12 mois. Nous avons pu compter sur les équipes de delaware, qui nous ont accompagnés tout au long de ce projet, mais aussi sur nos équipes internes et nos utilisateurs, particulièrement matures sur l’environnement SAP. Afin de tenir les délais, nous avons opté pour un ERP resserré, que nous améliorerons par la suite, en lui ajoutant des fonctionnalités qui nous permettront de travailler encore plus confortablement, » détaille Mickaël Medard, directeur de programme, et supply chain Management, SCM
« Nous avons su mettre en place une solution de pointe, dans des délais particulièrement courts. Nous entretenons des relations étroites avec nos clients, afin de mieux comprendre leurs besoins et de leur apporter un service de qualité. La symbiose a ici été parfaite entre nos équipes, celles de SAP et de SCM. En optant pour l’offre RISE with SAP S/4HANA, la bascule vers le cloud a par ailleurs été grandement simplifiée, SAP devenant le point de contact unique pour la contractualisation, la mise à disposition et le maintien en conditions opérationnelles des infrastructures cloud, » résume Fatsah Nasri, chef de projet et Aymeric Fosset, Partner, delaware France.
The post delaware delaware accompagne SCM dans son adoption de l’ERP intelligent SAP S/4HANA en mode cloud appeared first on SAP France News.
The year’s winding down as everyone segues into a much-needed holiday R&R. But that doesn’t mean there aren’t some awesome new tools and resources for website design projects.
Check them out, and hit the ground running in January. Here’s what’s new for designers this holiday period. Enjoy!
Fancy Border Radius Generator is a fun tool that allows you to create exciting shapes for elements. Use the included templates or create your own border shapes and then export the CSS/HTML for a variety of uses.
Pulsetic answers the question: “Is your website down?” Get website downtime alerts by phone call, SMS, email, or Slack. Create beautiful status pages and incident management reports and keep visitors (and your team) updated.
Ffflux SVG Generator makes it easy to generate fluid and organic-feeling gradients. You can use the resulting graphics as backgrounds to elements on a page to give a colorful fluid look to page elements. Choose colors and styles, then save or copy your SVG for use.
Fable is a web-based motion design platform to help you tell moving stories. It’s designed to be easy enough for beginners to use but has tools that even the most experienced motion designers can appreciate. This is a premium tool, but you can try it free.
Modern Fluid Typography Editor takes the guesswork out of sizing and scale for type sizes on different screens. Set a few preferences and see ranges your type styles should fall in. This typography calculator is visual and easy to use.
Emoji to Scale is a fun look at emojis in a real-world relationship to each other. Make sure to also note the Pokemon to Scale project, which is just as much fun.
Page Flip Text Effect is a fun and straightforward PSD asset that adds a nice element to design projects. Everyone can use some fun, colorful animation, right?
Nanonets is a practical tool for automated table extraction. You can snag tables from PDFs, scanned files, and images. Then capture relevant data stored in tabular structures on any document and convert to JSON Excel, or CSV and download.
Browsers.page shows browser name and version, matched with a list of the browsers you support as a company or project. It’s a visual reminder to update if you are working with some browser lag. It’s a free tool and includes a frontend API.
UKO UI is a Figma dashboard and design system bundle packed with components and pages to build from. It’s free for personal use.
Floating UI is a low-level library for positioning “floating” elements like tooltips, popovers, dropdowns, menus, and more. Since these types of elements float on top of the UI without disrupting the flow of content, challenges arise when positioning them. It exposes primitives, which enable a floating element to be positioned next to a given reference element while appearing in view for the user.
Style-Dictionary-Play lets you experiment with a style dictionary in your browser with a live preview and mobile and desktop views. It’s an open-source tool and allows for URL project sharing, and you can use it without logging in or signing up.
Airplane Runbooks makes it easy to turn small amounts of code into complex internal workflows. Model onboarding flows, admin operations, cron-like schedules, and more and share with your team. It’s like Zapier but for first-party operations that touch prod data.
Shoelace is a forward-thinking library of web components that works with any framework. It’s fully customizable – and has a dark mode. It’s built with accessibility in mind, and the open-source tool is packed with components.
Coloring with Code is an excellent tutorial by the team at Codrops that will help you create beautiful, inspiring, and unique color palettes/combinations, all from the comfort of your favorite text editor. It’s practical and easy to follow along as you work through the steps on your own.
Stytch is a full-stack authentication and authorization platform whose APIs make it simple to seamlessly onboard, authenticate and engage users. Improve security and user experience by going passwordless with this premium tool.
Highlight keeps web apps stable. With pixel-perfect session replay, you’ll get complete visibility into issues and interactions that are slowing down users. You can start using this premium tool in minutes, and it works on every framework.
The post Exciting New Tools For Designers, Holidays 2021 first appeared on Webdesigner Depot.
This week, a significant portion of the Web fell over when on Tuesday, sites powered by Fastly were impacted by a massive outage that affected around 85% of the network.
The near-total collapse — which was quickly identified and remedied — took out sites including GitHub, Stack Overflow, PayPal, Shopify, Stripe, Reddit, Amazon, and CNN. Furthermore, it was all but impossible to express rage on Twitter because the server that handles the social network’s emojis was also affected.
This outage was broad and severe, and we’re truly sorry for the impact to our customers and everyone who relies on them.
– Nick Rockwell, Senior VP of Engineering and Infrastructure, Fastly Inc.
The incident occurred at around 10:00 UST (06:00 EST) and prompted mass “Error 503” messages. It was identified by Fastly in less than a minute and patched within an hour.
Initial analysis indicates that the whole episode was triggered by a single customer updating their settings (in a perfectly valid way) — you know those nightmares you have about clicking the wrong button and deleting the whole Web? Yeah, imagine being that person. The precise combination of settings triggered a bug in an update that had been missed in Fastly’s QA and had been sitting in production code since May 12th.
If you’ve ever visited a serious server center, you’ll know the kind of security they employ in defense of potential criminal attacks. The only center I’ve visited in person was inside a nuclear-proof bunker, involved multiple security checks, and I wasn’t even allowed into the really secure part. But it turns out, all the terrorists need to do to crash the global economy is open a CDN account and update their settings.
Fastly actually reacted far faster than previous CDN mass-outages by its competitors — one possible reason its share price soared this week. But it is still trapped in a cycle of competition in which fast and cheap are easily compared, and good is somewhat abstract…until it’s not.
Most of us feel like seasoned hands at the Web when the truth is we’re very early adopters. It will be a century or more before the Web is truly integrated into society. Still, we are building the foundations now, and future generations need those foundations to be robust. We need less focus on clawing back a few pennies, less focus on delivering sites 3 nanoseconds before a user opens their browser, and a greater focus on resilience.
Like everyone, I love eye-peelingly fast sites, and I’m more than happy to get a good deal, but personally, I don’t feel either of those things is worth waking up to an Error 503 on a site I’m responsible for.
Image via Unsplash.
The post Poll: Fast CDN, Cheap CDN, Good CDN, Pick Any One… first appeared on Webdesigner Depot.
