Ce tutoriel explique comment sécuriser l'envoi d'e-mails en utilisant les protocoles SPF, DKIM et DMARC. Il détaille les failles du protocole SMTP et comment ces trois mécanismes complémentaires, basés sur le DNS, permettent de vérifier l'identité des expéditeurs et de lutter contre le spam et le phishing. Le tutoriel aborde la configuration de chaque protocole, leurs limites et leurs synergies, avec des exemples de syntaxe pour les enregistrements DNS.

Un détecteur de monoxyde de carbone analyse en continu l’air ambiant afin d’y mesurer la concentration de ce gaz toxique, incolore et inodore, et déclenche une alarme lorsque le niveau dépasse un seuil dangereux. La plupart des appareils utilisent un capteur électrochimique : au contact du CO, une réaction chimique produit un courant électrique proportionnel à la concentration du gaz, que l’électronique interne interprète pour décider de l’alerte. D’autres technologies existent, comme des capteurs optiques ou à semi-conducteurs, mais toutes reposent sur le même principe : surveiller la présence de CO issu d’une combustion incomplète et avertir rapidement les occupants pour prévenir une intoxication.

L’article explique qu’une application qui récupère des URLs fournies par des utilisateurs (pour des aperçus de liens, webhooks ou flux RSS) peut être vulnérable à des attaques de type SSRF, où un attaquant force le serveur à accéder à des ressources internes comme 127.0.0.1 ou l’endpoint de métadonnées AWS. Pour appliquer facilement le principe de programmation défensive avec Symfony, il suffit d’envelopper le client HTTP existant avec un décorateur comme NoPrivateNetworkHttpClient, qui bloque automatiquement les requêtes vers les réseaux privés sans modifier le reste du code. Cette approche illustre comment Symfony HttpClient permet d’ajouter des protections de sécurité simples et réutilisables grâce à son architecture basée sur des décorateurs.

PMG (Package Manager Guard) est un outil de sécurité open-source qui protège les développeurs contre les attaques de la chaîne d'approvisionnement via des paquets malveillants. Il agit comme une couche intermédiaire de sécurité autour des gestionnaires de paquets standards (npm, pip, etc.) en analysant les paquets pour détecter les logiciels malveillants avant leur installation, en les exécutant dans un bac à sable pour empêcher les modifications du système, et en auditant chaque événement d'installation. Facile à installer et à configurer, PMG fonctionne en arrière-plan et bloque immédiatement les paquets malveillants détectés. Il offre des fonctionnalités telles que la protection contre les paquets malveillants, le bac à sable, l'analyse des dépendances et la journalisation des événements.

L'auteur de ce blog, utilisant Hugo pour son site statique, partage son parcours pour améliorer la sécurité de son blog en configurant les en-têtes HTTP grâce à l'outil Mozilla HTTP Observatory. Initialement noté F, il parvient à obtenir la note A+ en implémentant plusieurs en-têtes de sécurité tels que Strict-Transport-Security, Content-Security-Policy, X-Content-Type-Options, Referrer-Policy et X-Frame-Options. Il détaille les étapes, les défis rencontrés, notamment avec la configuration de nginx, et les solutions apportées pour sécuriser efficacement son site.

Ce guide explique comment sécuriser un serveur personnel Linux sur un MiniPC en installant Fail2ban avant de l'ouvrir à Internet. Fail2ban protège contre les attaques par force brute en bannissant les adresses IP après un nombre défini de tentatives de connexion échouées. Le tutoriel détaille l'installation de Fail2ban, l'ouverture du serveur sur Internet, et l'installation de Docker pour déployer des services comme Adguard. Il souligne l'importance de la sécurité même pour les serveurs personnels, souvent ciblés par des robots malveillants.

Récap du jour 2 de Touraine Tech 2026 : Une journée riche en retours d’expérience techniques et humains. Florian Forestier a partagé une aventure de debugging bas niveau sur du matériel réseau obsolète, révélant comment une vieille version d’Ubuntu a permis de résoudre un bug kernel lié aux pilotes QLogic. Paul Pinault a exploré les failles de sécurité des ampoules connectées, soulignant les défis réglementaires (RED, Cyber Resilience Act) et les vulnérabilités matérielles. Antoine Caron et Mathieu Mure ont rappelé l’impact des images sur les performances web, avec des conseils pratiques pour optimiser leur chargement (AVIF, srcset, Git LFS). Matthias et Sylvain Gougouzian ont présenté un projet maker familial inspirant, mêlant apprentissage technique et communication intergénérationnelle. Enfin, Olivier Poncet a disséqué l’architecture ingénieuse d’Another World (1991), un jeu vidéo révolutionnaire conçu par une seule personne, mettant en lumière des optimisations matérielles et logicielles audacieuses. Une édition marquée par des échanges humains et techniques de qualité, avec une mention spéciale pour l’organisation et l’ambiance conviviale.

Testssl.sh est un outil open source pour auditer la configuration SSL/TLS des serveurs web. Il permet de vérifier les protocoles supportés, les suites de chiffrement, les vulnérabilités connues et les en-têtes de sécurité HTTP. Fonctionnant sous Linux, macOS, FreeBSD et Windows (via WSL), il est également disponible en image Docker. Ce tutoriel explique son installation, son utilisation et l'interprétation des rapports générés, offrant une solution complète pour sécuriser les échanges web.

MISP est une plateforme open source de partage et d'analyse d'informations sur les menaces cybernétiques. Elle permet de collecter, stocker, distribuer et partager des indicateurs de compromission et des informations sur les incidents de sécurité. MISP offre des fonctionnalités de visualisation, de corrélation automatisée, et d'exportation vers d'autres systèmes comme les SIEM. Elle repose sur des standards ouverts et des taxonomies structurées, facilitant ainsi le partage d'informations entre organisations et communautés. MISP est conçu pour être simple d'utilisation et favorise la collaboration pour une détection plus rapide et efficace des attaques.

Ce billet de blog présente une configuration impliquant trois outils : StepCA, Caddy et MISP, via le protocole ACME. L'auteur, ayant travaillé sur du CTI (Cyber Threat Intelligence), utilise MISP, une plateforme open source pour partager des informations sur les menaces. Il explique comment il a mis en place une PKI interne avec StepCA pour gérer les certificats TLS, et utilise Caddy comme reverse proxy pour le SSL offloading. Le lab comprend une root CA offline, une sub CA avec serveur ACME privé, un serveur DNS, et une VM avec Docker exécutant Caddy et MISP. L'article détaille également le rôle du CTI et de MISP dans la cybersécurité proactive.

Ce billet explique comment implémenter un audit de sécurité DAST (Dynamic Application Security Testing) automatisé avec OWASP ZAP, Symfony et Docker. L'auteur décrit l'architecture de l'intégration, qui repose sur trois composants clés : l'image Docker officielle de ZAP, l'Automation Framework pour configurer le scan via un fichier YAML, et l'orchestrateur Castor pour gérer l'interconnexion réseau. Le défi principal est de permettre au conteneur ZAP d'accéder à l'application locale, résolu en utilisant le flag --add-host pour mapper dynamiquement le domaine cible. L'automatisation est réalisée via l'Automation Framework de ZAP, permettant de définir le périmètre de l'audit et d'exclure des chemins spécifiques pour éviter les faux positifs. Le processus inclut un spider pour explorer l'application et des scans pour détecter les vulnérabilités.

Ce billet explique comment sécuriser une application Symfony avec une double authentification (2FA) robuste en utilisant le bundle SchebTwoFactorBundle. L'auteur décrit une architecture sécurisée où le secret TOTP est géré côté backend, avec une implémentation stricte utilisant des classes anonymes en lecture seule pour encapsuler la configuration TOTP. Il met en avant l'importance de ne pas réinventer la crypto et de déléguer la gestion de la 2FA à une bibliothèque éprouvée pour éviter les failles d'implémentation. L'article détaille également la configuration du bundle et les bonnes pratiques à adopter pour une sécurité optimale.

Ce guide pratique propose des bonnes pratiques pour sécuriser un serveur Apache2 sous Debian/Ubuntu. Il couvre des aspects essentiels comme masquer la version d'Apache et de l'OS, désactiver le listing des répertoires, configurer des en-têtes de sécurité, désactiver les méthodes HTTP inutiles, et utiliser Fail2Ban pour bloquer les attaques par force brute. Des exemples de configurations et des explications détaillées sont fournis pour chaque étape, avec une conclusion rappelant l'importance de maintenir les mises à jour régulières pour une sécurité continue.

L'article explique une technique de manipulation d'emails via des règles CSS et HTML. Un email apparemment innocent, envoyé à un manager (Nicolas), contient un message caché qui n'apparaît qu'après transfert. Lorsque Nicolas transfère l'email à Martin, le client de messagerie (Outlook) modifie la structure HTML, révélant le message caché. Cette technique, appelée "email Kobold", exploite les failles des clients mails anciens pour afficher des contenus malveillants. Microsoft a été informé en 2024 mais n'a pas corrigé le problème. L'article recommande la prudence avec les emails transférés et renvoie vers un article détaillé de Lutra Security.

L'article explore les risques liés à l'utilisation de contenus tiers (third parties) sur les sites web, notamment les points de défaillance uniques (SPOFs). Il explique comment ces dépendances externes peuvent ralentir un site bien optimisé et causer des interruptions de service, même pour les sites n'utilisant pas directement le fournisseur défaillant. L'auteur illustre ses propos avec des exemples concrets comme les boutons "J'aime" de Facebook en 2012, la fermeture de RawGit en 2018, et les récentes pannes de grands CDN. Il propose également des solutions pour tester et atténuer ces risques, en s'appuyant sur des données de l'HTTP Archive et du RUM Archive.

L'Arcep (Autorité de régulation des communications électroniques) a adopté de nouvelles règles pour lutter contre le spoofing téléphonique, une technique de fraude consistant à usurper un numéro de téléphone. Dès le 1er janvier 2026, les appels émis depuis l'étranger avec un numéro mobile français non authentifié seront affichés comme "numéro masqué". Cette mesure vise à réduire les escroqueries et les usurpations d'identité, mais présente certaines limites. Le blog explique également comment se protéger et les actions concrètes pour les entreprises.

Ce tutoriel explique comment signaler les IP malveillantes détectées par Cloudflare à AbuseIPDB en utilisant un script Python. L'auteur décrit comment récupérer les données du pare-feu Cloudflare via une API GraphQL, analyser les événements par adresse IP, vérifier leur statut sur AbuseIPDB et les signaler. Le script, d'environ 700 lignes, utilise GitHub Copilot et nécessite des tokens API pour Cloudflare et AbuseIPDB. Il permet de générer des rapports d'analyse et de dénoncer automatiquement les IP malveillantes.

Ce tutoriel explique comment intégrer CrowdSec, une solution open source de cybersécurité, avec le reverse proxy Traefik pour détecter et bloquer les attaques web. Il détaille les étapes pour configurer Traefik afin de générer des logs d'accès, installer CrowdSec via Docker, et intégrer le bouncer CrowdSec à Traefik. Le guide aborde également la protection de l'hôte Docker et l'utilisation du module AppSec de CrowdSec comme WAF. Une ressource utile pour renforcer la sécurité des applications web.

Il s'agit du site référençant toutes les fuites de données connues... ça fait peur :

Ce guide pratique de l'OWASP Top 10, destiné aux développeurs web, détaille dix erreurs courantes et comment les éviter. Il aborde des sujets comme le contrôle d'accès brisé (A01), les échecs cryptographiques (A02), et les injections (A03), avec des exemples concrets et des solutions pour les prévenir dès l'écriture du code. Un outil précieux pour améliorer la sécurité des applications web.