Bagel est un outil CLI cross-platform (Linux, macOS, Windows) qui analyse la posture sécurité des postes de travail des développeurs en détectant les configurations risquées (clés SSH sans passphrase, Git SSL désactivé, etc.) et les secrets exposés (tokens, credentials cloud) sans jamais exfiltrer leurs valeurs. Développé en Go par BoostSecurity.io, il génère un rapport JSON structuré avec des remédiations actionnables, comparable à Lynis mais adapté aux outils de dev (Git, npm, IDEs, etc.). Ce guide explique son installation, l’interprétation des findings (priorisés par sévérité), et son intégration en CI via le mode --strict. Idéal pour les équipes DevSecOps souhaitant automatiser la détection des risques sur les environnements locaux.
Le dépôt GitHub “How-To-Secure-A-Linux-Server” est un guide évolutif destiné aux administrateurs souhaitant renforcer la sécurité d’un serveur Linux à travers une approche de défense en profondeur couvrant plusieurs couches du système. Il explique notamment comment sécuriser l’accès distant via SSH (clés, configuration renforcée, authentification à deux facteurs), limiter les privilèges des utilisateurs et mettre en place des protections réseau comme un pare-feu UFW, ainsi que des outils de détection d’intrusion et de surveillance tels que Fail2Ban, PSAD ou des solutions d’audit et de contrôle d’intégrité des fichiers. L’objectif est de rassembler dans une seule ressource des pratiques courantes de durcissement et de surveillance pour réduire les risques d’intrusion, de vol de données ou d’utilisation abusive du serveur exposé à Internet.
Cet article transcrit un webinaire de Bearstech sur le "Linux Hardening", une approche pragmatique pour sécuriser les serveurs Linux. Il souligne que Linux n'est pas sécurisé par défaut et nécessite des mesures supplémentaires comme la configuration stricte des accès, la limitation des services, la sécurisation du réseau, et la gestion rigoureuse des logs et sauvegardes. Bearstech privilégie Debian pour sa stabilité et la qualité de ses mises à jour. L'article aborde aussi l'authentification SSH, la gestion des mots de passe, le blocage des tentatives de connexion, l'accès root, l'utilisation de bastions SSH, et l'importance des logs pour la traçabilité et la sécurité.
Cet article explique comment sécuriser une connexion SSH en utilisant des clés publiques/privées, en désactivant l'authentification par mot de passe et en installant fail2ban. Il détaille les étapes pour générer une paire de clés (préférentiellement avec l'algorithme ed25519), les copier sur le serveur, ajuster les permissions et configurer PuTTY pour Windows. Une manipulation simple mais efficace pour protéger son serveur contre les attaques par force brute.
Richard Dern décrit une solution créative pour bloquer les indésirables sur son site statique en combinant Caddy et OPNsense. Son architecture réseau, bien que traditionnelle, utilise un reverse-proxy Caddy sur OPNsense pour gérer les accès internet. Il a défini des comportements suspects (tentatives d'accès à des fichiers inexistants, requêtes POST inappropriées, scans de scripts d'administration) et mis en place un script Python qui analyse les logs de Caddy, ajoute les IPs suspectes à un alias de firewall sur OPNsense, et génère un flux RSS pour l'informer. Cette solution évite les stacks complexes comme ELK et les notifications en temps réel, tout en restant simple et efficace.
Ce tutoriel explique comment sécuriser l'envoi d'e-mails en utilisant les protocoles SPF, DKIM et DMARC. Il détaille les failles du protocole SMTP et comment ces trois mécanismes complémentaires, basés sur le DNS, permettent de vérifier l'identité des expéditeurs et de lutter contre le spam et le phishing. Le tutoriel aborde la configuration de chaque protocole, leurs limites et leurs synergies, avec des exemples de syntaxe pour les enregistrements DNS.
Un détecteur de monoxyde de carbone analyse en continu l’air ambiant afin d’y mesurer la concentration de ce gaz toxique, incolore et inodore, et déclenche une alarme lorsque le niveau dépasse un seuil dangereux. La plupart des appareils utilisent un capteur électrochimique : au contact du CO, une réaction chimique produit un courant électrique proportionnel à la concentration du gaz, que l’électronique interne interprète pour décider de l’alerte. D’autres technologies existent, comme des capteurs optiques ou à semi-conducteurs, mais toutes reposent sur le même principe : surveiller la présence de CO issu d’une combustion incomplète et avertir rapidement les occupants pour prévenir une intoxication.
L’article explique qu’une application qui récupère des URLs fournies par des utilisateurs (pour des aperçus de liens, webhooks ou flux RSS) peut être vulnérable à des attaques de type SSRF, où un attaquant force le serveur à accéder à des ressources internes comme 127.0.0.1 ou l’endpoint de métadonnées AWS. Pour appliquer facilement le principe de programmation défensive avec Symfony, il suffit d’envelopper le client HTTP existant avec un décorateur comme NoPrivateNetworkHttpClient, qui bloque automatiquement les requêtes vers les réseaux privés sans modifier le reste du code. Cette approche illustre comment Symfony HttpClient permet d’ajouter des protections de sécurité simples et réutilisables grâce à son architecture basée sur des décorateurs.
PMG (Package Manager Guard) est un outil de sécurité open-source qui protège les développeurs contre les attaques de la chaîne d'approvisionnement via des paquets malveillants. Il agit comme une couche intermédiaire de sécurité autour des gestionnaires de paquets standards (npm, pip, etc.) en analysant les paquets pour détecter les logiciels malveillants avant leur installation, en les exécutant dans un bac à sable pour empêcher les modifications du système, et en auditant chaque événement d'installation. Facile à installer et à configurer, PMG fonctionne en arrière-plan et bloque immédiatement les paquets malveillants détectés. Il offre des fonctionnalités telles que la protection contre les paquets malveillants, le bac à sable, l'analyse des dépendances et la journalisation des événements.
L'auteur de ce blog, utilisant Hugo pour son site statique, partage son parcours pour améliorer la sécurité de son blog en configurant les en-têtes HTTP grâce à l'outil Mozilla HTTP Observatory. Initialement noté F, il parvient à obtenir la note A+ en implémentant plusieurs en-têtes de sécurité tels que Strict-Transport-Security, Content-Security-Policy, X-Content-Type-Options, Referrer-Policy et X-Frame-Options. Il détaille les étapes, les défis rencontrés, notamment avec la configuration de nginx, et les solutions apportées pour sécuriser efficacement son site.
Ce guide explique comment sécuriser un serveur personnel Linux sur un MiniPC en installant Fail2ban avant de l'ouvrir à Internet. Fail2ban protège contre les attaques par force brute en bannissant les adresses IP après un nombre défini de tentatives de connexion échouées. Le tutoriel détaille l'installation de Fail2ban, l'ouverture du serveur sur Internet, et l'installation de Docker pour déployer des services comme Adguard. Il souligne l'importance de la sécurité même pour les serveurs personnels, souvent ciblés par des robots malveillants.
Récap du jour 2 de Touraine Tech 2026 : Une journée riche en retours d’expérience techniques et humains. Florian Forestier a partagé une aventure de debugging bas niveau sur du matériel réseau obsolète, révélant comment une vieille version d’Ubuntu a permis de résoudre un bug kernel lié aux pilotes QLogic. Paul Pinault a exploré les failles de sécurité des ampoules connectées, soulignant les défis réglementaires (RED, Cyber Resilience Act) et les vulnérabilités matérielles. Antoine Caron et Mathieu Mure ont rappelé l’impact des images sur les performances web, avec des conseils pratiques pour optimiser leur chargement (AVIF, srcset, Git LFS). Matthias et Sylvain Gougouzian ont présenté un projet maker familial inspirant, mêlant apprentissage technique et communication intergénérationnelle. Enfin, Olivier Poncet a disséqué l’architecture ingénieuse d’Another World (1991), un jeu vidéo révolutionnaire conçu par une seule personne, mettant en lumière des optimisations matérielles et logicielles audacieuses. Une édition marquée par des échanges humains et techniques de qualité, avec une mention spéciale pour l’organisation et l’ambiance conviviale.
Testssl.sh est un outil open source pour auditer la configuration SSL/TLS des serveurs web. Il permet de vérifier les protocoles supportés, les suites de chiffrement, les vulnérabilités connues et les en-têtes de sécurité HTTP. Fonctionnant sous Linux, macOS, FreeBSD et Windows (via WSL), il est également disponible en image Docker. Ce tutoriel explique son installation, son utilisation et l'interprétation des rapports générés, offrant une solution complète pour sécuriser les échanges web.
MISP est une plateforme open source de partage et d'analyse d'informations sur les menaces cybernétiques. Elle permet de collecter, stocker, distribuer et partager des indicateurs de compromission et des informations sur les incidents de sécurité. MISP offre des fonctionnalités de visualisation, de corrélation automatisée, et d'exportation vers d'autres systèmes comme les SIEM. Elle repose sur des standards ouverts et des taxonomies structurées, facilitant ainsi le partage d'informations entre organisations et communautés. MISP est conçu pour être simple d'utilisation et favorise la collaboration pour une détection plus rapide et efficace des attaques.
Ce billet de blog présente une configuration impliquant trois outils : StepCA, Caddy et MISP, via le protocole ACME. L'auteur, ayant travaillé sur du CTI (Cyber Threat Intelligence), utilise MISP, une plateforme open source pour partager des informations sur les menaces. Il explique comment il a mis en place une PKI interne avec StepCA pour gérer les certificats TLS, et utilise Caddy comme reverse proxy pour le SSL offloading. Le lab comprend une root CA offline, une sub CA avec serveur ACME privé, un serveur DNS, et une VM avec Docker exécutant Caddy et MISP. L'article détaille également le rôle du CTI et de MISP dans la cybersécurité proactive.
Ce billet explique comment implémenter un audit de sécurité DAST (Dynamic Application Security Testing) automatisé avec OWASP ZAP, Symfony et Docker. L'auteur décrit l'architecture de l'intégration, qui repose sur trois composants clés : l'image Docker officielle de ZAP, l'Automation Framework pour configurer le scan via un fichier YAML, et l'orchestrateur Castor pour gérer l'interconnexion réseau. Le défi principal est de permettre au conteneur ZAP d'accéder à l'application locale, résolu en utilisant le flag --add-host pour mapper dynamiquement le domaine cible. L'automatisation est réalisée via l'Automation Framework de ZAP, permettant de définir le périmètre de l'audit et d'exclure des chemins spécifiques pour éviter les faux positifs. Le processus inclut un spider pour explorer l'application et des scans pour détecter les vulnérabilités.
Ce billet explique comment sécuriser une application Symfony avec une double authentification (2FA) robuste en utilisant le bundle SchebTwoFactorBundle. L'auteur décrit une architecture sécurisée où le secret TOTP est géré côté backend, avec une implémentation stricte utilisant des classes anonymes en lecture seule pour encapsuler la configuration TOTP. Il met en avant l'importance de ne pas réinventer la crypto et de déléguer la gestion de la 2FA à une bibliothèque éprouvée pour éviter les failles d'implémentation. L'article détaille également la configuration du bundle et les bonnes pratiques à adopter pour une sécurité optimale.
Ce guide pratique propose des bonnes pratiques pour sécuriser un serveur Apache2 sous Debian/Ubuntu. Il couvre des aspects essentiels comme masquer la version d'Apache et de l'OS, désactiver le listing des répertoires, configurer des en-têtes de sécurité, désactiver les méthodes HTTP inutiles, et utiliser Fail2Ban pour bloquer les attaques par force brute. Des exemples de configurations et des explications détaillées sont fournis pour chaque étape, avec une conclusion rappelant l'importance de maintenir les mises à jour régulières pour une sécurité continue.
L'article explique une technique de manipulation d'emails via des règles CSS et HTML. Un email apparemment innocent, envoyé à un manager (Nicolas), contient un message caché qui n'apparaît qu'après transfert. Lorsque Nicolas transfère l'email à Martin, le client de messagerie (Outlook) modifie la structure HTML, révélant le message caché. Cette technique, appelée "email Kobold", exploite les failles des clients mails anciens pour afficher des contenus malveillants. Microsoft a été informé en 2024 mais n'a pas corrigé le problème. L'article recommande la prudence avec les emails transférés et renvoie vers un article détaillé de Lutra Security.
L'article explore les risques liés à l'utilisation de contenus tiers (third parties) sur les sites web, notamment les points de défaillance uniques (SPOFs). Il explique comment ces dépendances externes peuvent ralentir un site bien optimisé et causer des interruptions de service, même pour les sites n'utilisant pas directement le fournisseur défaillant. L'auteur illustre ses propos avec des exemples concrets comme les boutons "J'aime" de Facebook en 2012, la fermeture de RawGit en 2018, et les récentes pannes de grands CDN. Il propose également des solutions pour tester et atténuer ces risques, en s'appuyant sur des données de l'HTTP Archive et du RUM Archive.