Réalisation d'un poster de réseau expliquant la résolution DNS sous BIND. L'idée était d'offrir une vision ludique du réseau en utilisant des références culturelles connues.
Réalisation d'un poster de réseau expliquant la résolution DNS sous BIND. L'idée était d'offrir une vision ludique du réseau en utilisant des références culturelles connues.
Introduction à la ligne de commande sous Windows
Un atelier qui a été animé par MEFTAH Lakhdar et Sennadj Younes, dans la Section Sécurité dans le club CSE (Club Scientifique de l'ESI).
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...AZUG FR
Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises.
Active Directory est la solution d’annuaire la plus déployée dans les entreprises.
De plus en plus d’applications cloud (Microsoft ou non) s’appuient sur Azure Active Directory.
Maîtriser et sécuriser ses annuaires Active Directory et Azure Active Directory deviennent donc des enjeux stratégiques.
Lors de cette session, nous vous proposons de découvrir :
- Le top 5 des attaques les plus connues autour des technologies Active Directory / Azure Active Directory (NTLM Pass The Hash, Golden Ticket…) avec des démonstrations concrètes dans notre laboratoire.
- Les contres mesures à déployer pour sécuriser ses annuaires Active Directory et Azure Active Directory
- Les principaux outils pour détecter ou se prémunir contre ces attaques comme Microsoft LAPS, Microsoft Advanced Threat Analytics, Microsoft Azure Active Directory Identity Protection et Microsoft Azure Active Directory Privileged Identity Management.
préparation à la certification LPIC2 version 3.5 en français
Chapitre 8 : Topic 208 : Services Web
Configuration de Apache2 et Squid
Partie 3 : sécurisation d'un serveur web avec ssl
Topic 208.2 partie 2
Mise en place de l'https sur Apache2 via mod_ssl et openssl.
Supports créés par Noël Macé sous Licence Creative Commons BY-NC-SA.
Document de formation[FR] pour l'apprentissage de Archlinux et la protection de l'information. Intégration d'environnement de travail et de suite logicielle(calcul scientifique, virtualisation, gestion biblio, gestionnaire mot de passe, etc..) pour l'internet des objets avec l'Open Source Hardware (Arduino, RaspberryPi). Optimisation IDE sous langage de programmation en python.
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielCyber Security Alliance
Lors d’un projet amenant à la certification PCI--DSS, comment comprendre les exigences de la norme et comment les traduire en action concrete sur le terrain, afin de démontrer à l’auditeur que le SDLC est maîtrisé.
Des mesures techniques sont exigées, mais une grande importance est donnée à la maîtrise du processus de développement.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Switzerland)
Speaker: Christophe Nemeth
Introduction à la ligne de commande sous Windows
Un atelier qui a été animé par MEFTAH Lakhdar et Sennadj Younes, dans la Section Sécurité dans le club CSE (Club Scientifique de l'ESI).
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...AZUG FR
Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises.
Active Directory est la solution d’annuaire la plus déployée dans les entreprises.
De plus en plus d’applications cloud (Microsoft ou non) s’appuient sur Azure Active Directory.
Maîtriser et sécuriser ses annuaires Active Directory et Azure Active Directory deviennent donc des enjeux stratégiques.
Lors de cette session, nous vous proposons de découvrir :
- Le top 5 des attaques les plus connues autour des technologies Active Directory / Azure Active Directory (NTLM Pass The Hash, Golden Ticket…) avec des démonstrations concrètes dans notre laboratoire.
- Les contres mesures à déployer pour sécuriser ses annuaires Active Directory et Azure Active Directory
- Les principaux outils pour détecter ou se prémunir contre ces attaques comme Microsoft LAPS, Microsoft Advanced Threat Analytics, Microsoft Azure Active Directory Identity Protection et Microsoft Azure Active Directory Privileged Identity Management.
préparation à la certification LPIC2 version 3.5 en français
Chapitre 8 : Topic 208 : Services Web
Configuration de Apache2 et Squid
Partie 3 : sécurisation d'un serveur web avec ssl
Topic 208.2 partie 2
Mise en place de l'https sur Apache2 via mod_ssl et openssl.
Supports créés par Noël Macé sous Licence Creative Commons BY-NC-SA.
Document de formation[FR] pour l'apprentissage de Archlinux et la protection de l'information. Intégration d'environnement de travail et de suite logicielle(calcul scientifique, virtualisation, gestion biblio, gestionnaire mot de passe, etc..) pour l'internet des objets avec l'Open Source Hardware (Arduino, RaspberryPi). Optimisation IDE sous langage de programmation en python.
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielCyber Security Alliance
Lors d’un projet amenant à la certification PCI--DSS, comment comprendre les exigences de la norme et comment les traduire en action concrete sur le terrain, afin de démontrer à l’auditeur que le SDLC est maîtrisé.
Des mesures techniques sont exigées, mais une grande importance est donnée à la maîtrise du processus de développement.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Switzerland)
Speaker: Christophe Nemeth
Nuance - webinaire biométrie vocale du 15-01-2015Celine Kahouadji
Contenu du webinaire sur l'authentification par empreinte vocale (biométrie vocale) organisé par Nuance. Webinaire disponible à la demande ici: http://engage.nuance.fr/webinairebiometrie
plus d'informations? kahouadji.celine@nuance.com
Livre blanc sur l'authentification forte OTP - One Time PasswordPRONETIS
Fonctionnement de l’authentification « One Time Password » et son implémentation avec les solutions actuelles du marché telles que les solutions GEMALTO.
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
Présentation dans le cadre de l'Application Security Forum de Yverdon 2014.
La présentaiton indique comment se service de Sonar pour effectuer des analyses sécurité. Et présente aussi le projet OWASP SonarQube
De par l’envergure internationale du CERN, les utilisateurs, plusieurs milliers, sont répartis un peu partout dans le monde, accédant régulièrement à leurs comptes à distance. Depuis un cyber-café, un réseau WiFi non-sécurisé, un institut (ou une université) compromis, …
Pour les attaquants, les occasions de capturer les mots de passe sont nombreuses ! L’intérêt de mots de passe forts devient très limité si ceux-ci peuvent être capturés et réutilisés facilement par des tierces personnes.
L’authentification multi-facteurs permet justement de contrer ceci, en demandant plusieurs éléments aux utilisateurs : typiquement quelque chose qu’ils connaissent (eg. un mot de passe) et quelque chose qu’ils possèdent (eg. un jeton hardware). Même si cette méthode permet de renforcer considérablement l’authentification, la solution parfaite n’existe pas, et l’étude des différents cas d’utilisations qui devront être supportés est donc primordiale.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Remi Mollon
Uses the concept of asymmetry as a foundation for analyzing the security of various systems. Asymmetry in security is the property where mounting an attack is much more difficult for the attacker than the defender's effort required to maintain security. Platform design principles, including a study of sendmail vs. qmail architectures, are recommended for those who are designing their own systems. Given to a SJSU security class on May 1, 2006.
Introduction to architectures based on models, models and metamodels. model d...Vicente García Díaz
This document provides an introduction to model-driven architecture and model-driven engineering. It discusses the motivation for MDE, including reducing software complexity and improving productivity. The key concepts of MDE are models, metamodels, and model transformations to generate code and other artifacts. MDE aims to increase abstraction levels and automate software development processes. The document uses examples like state machines and database schemas to illustrate metamodels, modeling languages and model transformations.
Guide sur l'utilisation de l'outil (fichier Excel) d'AUDITSec basé sur la norme ISO 27002:2013. Ce guide est en lien avec le fichier (Excel) d'AUDITSec version mai 2014.
La sécurité de tout système dépend à la fois de la sécurisation de ses différentes composantes et des interactions entre celles-ci. Ce constat est aussi valable pour le DNS (Domain Name System), maillon clé du fonctionnement de l’Internet, car la quasi-totalité des services en ligne utilise des noms de domaine à un moment ou à un autre.
Comprendre la sécurité web - Présentation effectuée à "Ubuntu Paris 1610" par Christophe Villeneuve.
La sécurité est une affaire de tous. Il est indispensable d'en prendre comprendre les concepts et de se protéger
Nommer les choses est difficile, les trouver encore plus, surtout dans une infrastructure comme Criteo constituée de plus de plus de 1500 types de services fonctionnant sur 30 000 nœuds répartis sur 8 DCs !
HashiCorp Consul et son système de découverte de services permet de mélanger conteneurs et machines physiques, de passer d'un système de machine dédiées à une architecture de services dynamiques, d'une topologie physique à une topologie virtuelle dynamique.
Nous verrons comment Criteo réparti la charge sur son infrastructure avec des mécanismes variés: HaProxy, F5 (matériels) ou des bibliothèques côté client (Client Side Load Balancing) et de basculer à terme vers du ServiceMesh - que nous expliquerons - en utilisant Consul.
Cette présentation est à destination de développeurs ou d'Ops qui pourrons découvrir une vision d'architecture au delà d'une simple présentation du produit.
Nous expliquerons également comment Criteo est devenu premier contributeur externe à Consul, et quelques unes de nombreuses optimisations que nous avons dû y apporter de manière à en faire un des fondements de notre infrastructure.
https://cfp.devoxx.fr/2019/talk/QAF-5196/Consul@Criteo:_Des_services_un_peu,_des_machines_beaucoup,_du_ServiceMesh_bientot
Le déni de service existe depuis des années. Cependant, cette attaque retrouve un nouveau souffle avec son évolution, le DDoS (Distributed Denial of Service). Plus difficile à contrer, cette attaque cause également beaucoup plus de dégâts.
Le 802.1X est un standard englobant l'identification et l'authentification des utilisateurs d'un réseau afin d'en contrôler l'autorisation d'accès. De plus en plus déployé, car les réseaux récemment rehaussés le supportent, cet ensemble de technologies comporte néanmoins plusieurs limites méconnues. Cette présentation vise, tout d'abord, à expliquer sommairement le 802.1X et à partager les défis et problèmes d'un tel déploiement. Ensuite, nous couvrirons certaines solutions rencontrées pour palier aux problèmes et nous verrons comment les contourner (et comment prévenir le contournement). Nous terminerons avec un regard vers les standards et technologies à l'horizon qui vont transformer la situation actuelle.
Formation complète ici:
Faisant suite à la troisième formation CEH, votre MVP Hamza KONDAH vous a préparé la quatrième et dernière partie afin d’approfondir vos connaissances au monde en matière de piratage éthique.
Avec cette formation CEH vous allez découvrir plus de 270 attaques techniques et plus de 140 labs, avec un accès à plus de 2200 outils de piratages.
Dans cette formation CEH, vous allez comprendre le concept des trojan, Metasploit, des virus, et de Ver.
Pendant cette formation CEH, Hamza vous apprendra les techniques de Hacking des réseaux sans fils, ainsi que ceux des périphériques mobile, l’évasion d’IDS, Firewall et Honeypot, sans oublier la sécurité au niveau du Cloud Computing, et les contremesures contre ce genre d’attaques. Nous finirons en suite notre formation par une introduction sur la cryptographie et les techniques de cryptanalyse.
.NET Microframework: du code, de l’électronique, de la robotiqueMicrosoft
Envie de se faire plaisir le soir ? Envie de faire vibrer des canards ? Envie de développer quelque chose de WAF et super Geek ? Alors, cette session est pour toi :-) .NET Microframework est une technologie open source permettant de réaliser des robots, des modules intelligents, le tout sans aucun OS. Cette session montra par des exemples concerts comment réaliser des automates et les piloter à travers des interfaces web. Exemple concret avec un arrosage automatique entièrement pilotable depuis l'autre bout du monde.
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
De nos jours l’internet est devenue une source d’informations (business, réseaux sociaux…), avec des systèmes d’informations qui sont de plus en plus ouverts sur Internet. Ceux-ci présentent quelques failles de sécurité dont la mise en place des mesures sécuritaires devient une condition nécessaire, mais pas suffisante pour se protéger des risques présents sur la toile internet.
Comment interconnecter des réseaux ?
Comment permettre à des réseaux d’échanger des informations et limiter les risques liés à ces échanges ?
Nous avons mis en place un laboratoire de sécurité qui permet de faire des tests et détections d’intrusions. Le travail sait fait en deux parties.
D’abord la mise en place du laboratoire ensuite l’interconnexion avec des sites distants.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
16. DNS rebinding etc.(* Certains « trucs » non liés au protocole lui-même)
17. DNS Cache poisoning, uh ? 3. Quelle est l’IP de www.ndd.tld ? 2. J’lai pas dans mon cache, attends, j’demande… ? 1. Quelle est l’IP de www.ndd.tld ? 5. www.ndd.tld = 1.1.1.1 SERVEUR FAISANT AUTORITÉ SUR WWW.NDD.TLD RESOLVER 6. www.ndd.tld = 6.6.6.6 DORA L’EXPLORATRICE 4. Bob répond avant le serveur www.ndd.tld = 6.6.6.6 BOB LE BRICOLEUR (Il existe plusieurs types d’attaques permettant le DNS Cache Poisoning j’ai donc simplifié)
18. DNS Cache poisoning, uh ? 3. Quelle est l’IP de www.ndd.tld ? 2. J’lai pas dans mon cache, attends, j’demande… ? PWNED 1. Quelle est l’IP de www.ndd.tld ? 5. www.ndd.tld = 1.1.1.1 SERVEUR FAISANT AUTORITÉ SUR WWW.NDD.TLD RESOLVER 6. www.ndd.tld = 6.6.6.6 PWNED DORA L’EXPLORATRICE 4. Bob répond avant le serveur www.ndd.tld = 6.6.6.6 BOB LE BRICOLEUR (Il existe plusieurs types d’attaques permettant le DNS Cache Poisoning j’ai donc simplifié)
24. Signature électronique des enregistrements;; Réponse DNSSEC (avec dig) ;; ANSWER SECTION: icann.org. 600 IN A 192.0.32.7 icann.org. 600 IN RRSIG A 7 2 600 20101003060346 ( 2010092517251217997 icann.org. j6cO8Nxk3gqQM2ycu550M/8cZXiD0Z4ivtjMn2zcuN1M adY2/cZwuhZaAwkAxy8o+Fs18K+5W5YzDQZ4yxZKNtA8 sE8hBwOUcBv8mWAdlVqacpzWbwuELdv9Z2FEvJZ2TQuvJIxS8LRc6YlGV4J8ryYF6gOH4K1B8TM1V2+51mo= ) ;; Réponse DNS « standard » (avec dig) ;; ANSWER SECTION: icann.org. 600 IN A 192.0.32.7 (*sous réserve d’implémentation totale et correcte)
25. SERVER, le serveur DNS faisant autorité RESOLVER, le Résolver Signature de l’enregistre-ment avec une clé privée Envoi d’une question de type « A » Query « A » : what’s the IP for www.exemple.com ? Réception de la demande envoi de l’enregistrement Réception d’une réponse de type « A » avec DNSSEC Answer A : www.exemple.com = 192.0.32.7 Sign : AwEAAbJ41(…)qqdVirOiibKey : 6myTz9(…)GWONmNY Analyse de la signature grâce à la clé publique réceptionnée Signe Signe Signe Authenticité par récursivité des signatures xx.ndd.fr ndd.fr .fr . DS DS DS (* Le graphique a été (très/trop) simplifié)