Erwan Brouder

Le cyber-rating: pourquoi et comment ?

Les récentes cyberattaques ont sensibilisé les organisations aux menaces Cyber et à l’importance d’évaluer régulièrement leur probabilité d’occurrence ainsi que leurs impacts. En effet, en 2017 les ransomwares Wannacry et NotPetya ont mis en exergue la dimension massive et internationale des attaques, la diversité des victimes touchées, l’ampleur de la propagation, mais aussi les dommages…

En savoir plus

[CVE-2020-29041] Vulnérabilité de divulgation de code source identifiée au sein de l’application Web-Sesame de TIL TECHNOLOGIES

Introduction Quelques mois auparavant, BSSI a effectué un test d’intrusion interne chez l’un de ses clients. Dans ce périmètre figurait une application web attachée à un équipement appelé MICRO-SESAME dont l’éditeur est TIL TECHNOLOGIES (société française). Cet équipement permet la supervision unifiée de toutes les informations et commandes électroniques du bâtiment. Plus précisément, il est…

En savoir plus

[CVE-2020-29041] Source code vulnerability disclosure discovered in the Web-Sesame application of TIL TECHNOLOGIES

Introduction A few months ago, BSSI performed an internal penetration test against its client’s perimeter. It appeared that this perimeter included a web application linked to a system device called MICRO-SESAME whose editor is TIL TECHNOLOGIES (French company). This device allows centralized monitoring of all building data and electronic functions. More precisely, it is composed…

En savoir plus

[CVE-2020-28929] [CVE-2020-28930] [CVE-2020-28931] : Multiples vulnérabilités au sein d’EPSON EPS TSE Server 8

Introduction Il y a quelques mois, BSSI a effectué un test d’intrusion dont le produit EPSON EPS TSE Server 8 figurait dans le périmètre du client. Cet article décrit trois vulnérabilités découvertes par l’équipe au cours de ces tests. Elles affectent l’interface d’administration EPS TSE Server 8 (version 21.0.11). L’interface d’administration Web EPS TSE Server…

En savoir plus

[CVE-2020-28929] [CVE-2020-28930] [CVE-2020-28931]: Multiple vulnerabilities within EPSON EPS TSE Server 8

Introduction A few months ago, BSSI performed a penetration test against a client’s EPSON EPS TSE Server 8 device. This article describes three vulnerabilities discovered by the BSSI audit team during this test. They affect the EPS TSE Server 8 (version 21.0.11) administrative interface. The EPS TSE Server 8 Web-based administrative interface is used to…

En savoir plus

[CVE-2020-24246] Leaking source file using the web admin interface of Peplink Balance

Version française : https://blog.bssi.fr/cve-2020-24246-divulgation-de-fichiers-sources-via-linterface-dadministration-web-peplink-balance Introduction A few months ago, BSSI performed a penetration test on a perimeter that includes the web admin interface of Peplink Balance. This article describes a vulnerability discovered by the BSSI auditing team, allowing an unauthenticated attacker to download certain source files from the web admin interface. In these files, it…

En savoir plus

[CVE-2020-24246] Divulgation de fichiers sources via l’interface d’administration web Peplink Balance

English version: https://blog.bssi.fr/cve-2020-24246-leaking-source-file-using-the-web-admin-interface-of-peplink-balance Introduction Il y a quelques mois, BSSI a effectué un test d’intrusion dont l’interface d’administration Web des produits Peplink Balance figurait dans le périmètre du client. Cet article décrit une vulnérabilité découverte par l’équipe d’audit de BSSI, permettant à un attaquant non authentifié de télécharger certains fichiers sources de l’interface. Dans ces…

En savoir plus

Quelle sécurité pour le déconfinement ?

Une crise sanitaire inédite, une sécurité dégradée pour répondre aux besoins opérationnels…. La crise sanitaire que nous vivons a obligé les entreprises et leurs salariés à s’adapter : tant sur les processus et l’organisation que sur les capacités de production. D’un point de vue IT, le confinement aura eu pour mérite de tester les capacités d’adapter…

En savoir plus