MISP est une plateforme open source de partage et d'analyse d'informations sur les menaces cybernétiques. Elle permet de collecter, stocker, distribuer et partager des indicateurs de compromission et des informations sur les incidents de sécurité. MISP offre des fonctionnalités de visualisation, de corrélation automatisée, et d'exportation vers d'autres systèmes comme les SIEM. Elle repose sur des standards ouverts et des taxonomies structurées, facilitant ainsi le partage d'informations entre organisations et communautés. MISP est conçu pour être simple d'utilisation et favorise la collaboration pour une détection plus rapide et efficace des attaques.
Ce billet de blog présente une configuration impliquant trois outils : StepCA, Caddy et MISP, via le protocole ACME. L'auteur, ayant travaillé sur du CTI (Cyber Threat Intelligence), utilise MISP, une plateforme open source pour partager des informations sur les menaces. Il explique comment il a mis en place une PKI interne avec StepCA pour gérer les certificats TLS, et utilise Caddy comme reverse proxy pour le SSL offloading. Le lab comprend une root CA offline, une sub CA avec serveur ACME privé, un serveur DNS, et une VM avec Docker exécutant Caddy et MISP. L'article détaille également le rôle du CTI et de MISP dans la cybersécurité proactive.
Ce billet explique comment implémenter un audit de sécurité DAST (Dynamic Application Security Testing) automatisé avec OWASP ZAP, Symfony et Docker. L'auteur décrit l'architecture de l'intégration, qui repose sur trois composants clés : l'image Docker officielle de ZAP, l'Automation Framework pour configurer le scan via un fichier YAML, et l'orchestrateur Castor pour gérer l'interconnexion réseau. Le défi principal est de permettre au conteneur ZAP d'accéder à l'application locale, résolu en utilisant le flag --add-host pour mapper dynamiquement le domaine cible. L'automatisation est réalisée via l'Automation Framework de ZAP, permettant de définir le périmètre de l'audit et d'exclure des chemins spécifiques pour éviter les faux positifs. Le processus inclut un spider pour explorer l'application et des scans pour détecter les vulnérabilités.
Ce billet explique comment sécuriser une application Symfony avec une double authentification (2FA) robuste en utilisant le bundle SchebTwoFactorBundle. L'auteur décrit une architecture sécurisée où le secret TOTP est géré côté backend, avec une implémentation stricte utilisant des classes anonymes en lecture seule pour encapsuler la configuration TOTP. Il met en avant l'importance de ne pas réinventer la crypto et de déléguer la gestion de la 2FA à une bibliothèque éprouvée pour éviter les failles d'implémentation. L'article détaille également la configuration du bundle et les bonnes pratiques à adopter pour une sécurité optimale.
Ce guide pratique propose des bonnes pratiques pour sécuriser un serveur Apache2 sous Debian/Ubuntu. Il couvre des aspects essentiels comme masquer la version d'Apache et de l'OS, désactiver le listing des répertoires, configurer des en-têtes de sécurité, désactiver les méthodes HTTP inutiles, et utiliser Fail2Ban pour bloquer les attaques par force brute. Des exemples de configurations et des explications détaillées sont fournis pour chaque étape, avec une conclusion rappelant l'importance de maintenir les mises à jour régulières pour une sécurité continue.
L'article explique une technique de manipulation d'emails via des règles CSS et HTML. Un email apparemment innocent, envoyé à un manager (Nicolas), contient un message caché qui n'apparaît qu'après transfert. Lorsque Nicolas transfère l'email à Martin, le client de messagerie (Outlook) modifie la structure HTML, révélant le message caché. Cette technique, appelée "email Kobold", exploite les failles des clients mails anciens pour afficher des contenus malveillants. Microsoft a été informé en 2024 mais n'a pas corrigé le problème. L'article recommande la prudence avec les emails transférés et renvoie vers un article détaillé de Lutra Security.
L'article explore les risques liés à l'utilisation de contenus tiers (third parties) sur les sites web, notamment les points de défaillance uniques (SPOFs). Il explique comment ces dépendances externes peuvent ralentir un site bien optimisé et causer des interruptions de service, même pour les sites n'utilisant pas directement le fournisseur défaillant. L'auteur illustre ses propos avec des exemples concrets comme les boutons "J'aime" de Facebook en 2012, la fermeture de RawGit en 2018, et les récentes pannes de grands CDN. Il propose également des solutions pour tester et atténuer ces risques, en s'appuyant sur des données de l'HTTP Archive et du RUM Archive.
L'Arcep (Autorité de régulation des communications électroniques) a adopté de nouvelles règles pour lutter contre le spoofing téléphonique, une technique de fraude consistant à usurper un numéro de téléphone. Dès le 1er janvier 2026, les appels émis depuis l'étranger avec un numéro mobile français non authentifié seront affichés comme "numéro masqué". Cette mesure vise à réduire les escroqueries et les usurpations d'identité, mais présente certaines limites. Le blog explique également comment se protéger et les actions concrètes pour les entreprises.
Ce tutoriel explique comment signaler les IP malveillantes détectées par Cloudflare à AbuseIPDB en utilisant un script Python. L'auteur décrit comment récupérer les données du pare-feu Cloudflare via une API GraphQL, analyser les événements par adresse IP, vérifier leur statut sur AbuseIPDB et les signaler. Le script, d'environ 700 lignes, utilise GitHub Copilot et nécessite des tokens API pour Cloudflare et AbuseIPDB. Il permet de générer des rapports d'analyse et de dénoncer automatiquement les IP malveillantes.
Ce tutoriel explique comment intégrer CrowdSec, une solution open source de cybersécurité, avec le reverse proxy Traefik pour détecter et bloquer les attaques web. Il détaille les étapes pour configurer Traefik afin de générer des logs d'accès, installer CrowdSec via Docker, et intégrer le bouncer CrowdSec à Traefik. Le guide aborde également la protection de l'hôte Docker et l'utilisation du module AppSec de CrowdSec comme WAF. Une ressource utile pour renforcer la sécurité des applications web.
Il s'agit du site référençant toutes les fuites de données connues... ça fait peur :
Ce guide pratique de l'OWASP Top 10, destiné aux développeurs web, détaille dix erreurs courantes et comment les éviter. Il aborde des sujets comme le contrôle d'accès brisé (A01), les échecs cryptographiques (A02), et les injections (A03), avec des exemples concrets et des solutions pour les prévenir dès l'écriture du code. Un outil précieux pour améliorer la sécurité des applications web.
Ce billet de blog explique comment sécuriser une fonctionnalité d'import de fichiers en corrigeant les failles SSRF (Server Side Request Forgery) et XXE (XML External Entity). L'auteur décrit comment une vulnérabilité a été découverte dans son application Writizzy, permettant à un utilisateur malveillant d'accéder à des fichiers sensibles du serveur via des requêtes internes ou des protocoles non sécurisés. Des solutions sont proposées pour vérifier les protocoles utilisés et bloquer les accès aux URLs privées ou locales.
Le protocole ARP — souvent invisible mais absolument essentiel — joue le rôle de “traducteur” entre les adresses IP (utilisées par les protocoles réseau) et les adresses MAC (adresses physiques des interfaces réseau). Dans cet article, IT-Connect explique comment ARP fonctionne dans un réseau local : requêtes, réponses, cache ARP, et montre pourquoi sans lui aucun paquet Ethernet ne pourrait atteindre sa destination. Vous y découvrirez aussi les commandes utiles pour gérer le cache, ainsi que les risques de sécurité liés à des attaques comme l’ARP-spoofing, et les bonnes pratiques pour s’en prémunir.
Ce guide compare SSHGuard et Fail2ban pour la protection SSH sur Debian/Ubuntu. SSHGuard, écrit en C, est plus léger (1-2 Mo) et utilise un parseur lexical natif, tandis que Fail2ban, en Python, consomme plus de ressources (9 Mo à 2.5 Go) et repose sur des expressions régulières. SSHGuard est idéal pour les serveurs avec ressources limitées et une protection SSH prioritaire, tandis que Fail2ban convient pour protéger plusieurs services avec des règles personnalisées. Le guide explique aussi l'installation, la configuration de base et le système de scoring de SSHGuard.
L'article explique comment utiliser des modèles de langage locaux (LLM) pour des tests de sécurité informatique, en insistant sur l'importance d'avoir une autorisation écrite. Il décrit l'installation d'Ollama pour exécuter des LLM localement, puis l'utilisation de Cybersecurity AI (CAI), un framework open source pour des analyses offensives et défensives. L'auteur partage son expérience avec une configuration spécifique et des commandes pour sélectionner un LLM et un profil d'agent, comme le "Red Team Agent" pour des tests de pénétration.
Warpgate est un bastion open source écrit en Rust, conçu pour implémenter une approche Zero Trust en sécurisant l’accès à vos infrastructures (SSH, HTTP/HTTPS, MySQL, PostgreSQL). Contrairement à des solutions comme Teleport ou Boundary, il ne nécessite aucun agent sur les machines cibles et s’installe en quelques minutes. Ses atouts : traçabilité totale des sessions, intégration avec OpenID Connect, et simplicité de déploiement (y compris sur Kubernetes). Cependant, il présente des limites : pas de haute disponibilité native (sessions perdues en cas de crash), protocoles limités (pas de RDP/VNC/Kubernetes), et une API non documentée. Malgré ces compromis, Warpgate séduit par sa transparence, sa robustesse, et son modèle open source sans lock-in. Idéal pour les équipes cherchant une solution légère et auditable, à condition d’accepter ses contraintes.
L'article présente un outil qui vérifie la sécurité d'un paquet npm avant de l'installer : NPQ. Cet outil fonctionne avec les autres gestionnaires de paquet (via une variable d'environnement)
Il s'agit d'une alternative à Adguard ou Pi-hole, un intercepteur DNS pour bloquer les requêtes vers les domaines indésirables.
Ce guide pratique détaille 5 étapes essentielles pour sécuriser un serveur Ubuntu : création d’un utilisateur dédié avec droits sudo, configuration de l’authentification SSH par clé (et désactivation de l’accès root et des mots de passe), verrouillage du compte root, personnalisation du hostname et du message d’accueil (MOTD). Il explique aussi comment désactiver les messages système indésirables et propose des bonnes pratiques supplémentaires comme l’utilisation d’un firewall (ufw), l’installation de fail2ban, et la surveillance des logs. L’objectif est de réduire les risques d’intrusion en adoptant une configuration robuste dès l’installation. Idéal pour les administrateurs système souhaitant renforcer la sécurité de base de leur serveur.