Introduction Le film de science-fiction, dont les objets ont une intelligence et une autonomie similaire à celles de l’être humain a une réalité aujourd’hui…ou presque, nous parlons ici d’objet connecté ou d’internet des objets (ou Internet Of Things « IoT » en anglais). Qu’est qu’un objet connecté Un objet connecté est un capteur d’information qui émet, mais…
Version française : https://blog.bssi.fr/cve-2020-24246-divulgation-de-fichiers-sources-via-linterface-dadministration-web-peplink-balance Introduction A few months ago, BSSI performed a penetration test on a perimeter that includes the web admin interface of Peplink Balance. This article describes a vulnerability discovered by the BSSI auditing team, allowing an unauthenticated attacker to download certain source files from the web admin interface. In these files, it…
English version: https://blog.bssi.fr/cve-2020-24246-leaking-source-file-using-the-web-admin-interface-of-peplink-balance Introduction Il y a quelques mois, BSSI a effectué un test d’intrusion dont l’interface d’administration Web des produits Peplink Balance figurait dans le périmètre du client. Cet article décrit une vulnérabilité découverte par l’équipe d’audit de BSSI, permettant à un attaquant non authentifié de télécharger certains fichiers sources de l’interface. Dans ces…
1. Introduction a. Les fuites de données La fuite de données est aujourd’hui l’un des risques majeurs contre lequel toute société devrait se prémunir. Le coût moyen d’une fuite de données peut s’élever à plusieurs millions d’euros (source IBM) quelle que soit la taille de l’organisation. Il n’est donc pas superflu de se prémunir contre…
De nos jours, de nombreuses entreprises proposent des applications mobiles afin de permettre aux utilisateurs d’utiliser leurs services via smartphone. Ces applications, téléchargeables via les différentes plateformes de téléchargements, augmentent la surface d’attaque des entreprises et peuvent être la cible d’attaques diverses et variées. Notamment, des attaquants peuvent avoir recours à de l’interception de requêtes…
BSides existe depuis désormais 10 ans et fait aujourd’hui des conférences partout dans le monde. En 2018 seulement, 47 évènements ont eu lieu. Cela est possible, car BSides n’est pas organisé par le même groupe, mais par des personnes issues de communautés différentes. En effet, BSides est un « Framework » d’organisation d’évènements en sécurité…
Who contains the containers Par Ioana Andrada & Emilien Cette conférence présentée par Ioana Andrada et Emilien Le Jamtel (CERT-EU) a pour objectif de montrer les dangers des technologies de conteneurisation lorsqu’elles ne sont pas maîtrisées par les administrateurs ou développeurs. Tout d’abord, ils ont commencé par rappeler l’extrême facilité de déployer des services à…
Sensor & Logic Attack Surface Of Driverless Vehicles Par ‘Zoz’ brooks Le chercheur en sécurité ‘zoz’, un habitué des conférences de sécurité, nous fait une introduction autour des voitures et autres véhicules autonomes en nous montrant à quel point ceux-ci prennent de l’importance. Entre autres, des législations, autorisations, financements et business arrivent ou sont déjà…
Smartphone apps: let’s talk about privacy Par Axelle Apvrille Axelle Apvrille a eu l’honneur de présenter la première conférence à la 15e édition de la Hack.lu. La présentatrice est chercheuse en sécurité et travaille chez Fortinet. Elle s’intéresse particulièrement aux logiciels malveillants mobiles et aux équipements intelligents. De plus en plus d’applications mobiles sont créées…
De nos jours, nombreux sont les messages douteux que nous recevons de différentes sources. Ces messages sont généralement envoyés par voie électronique, tels que des emails ou des SMS par ces fameux scammeurs. Ils nous incitent à cliquer sur un lien, afin de rentrer nos données personnelles, bancaires, payer une certaine somme, etc.. Ces escrocs…
