Le blog des experts Digitemis

Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

La cybersécurité est devenue une préoccupation majeure pour le secteur financier, confronté à une digitalisation croissante de ses activités. Alors que la Banque Centrale Européenne (BCE) intensifie ses efforts pour renforcer la résilience face aux cybermenaces, cet article explore le contexte actuel, les initiatives de la BCE et les recommandations de Digitemis pour faire face à l’intensification des menaces sur le secteur.

Dans un contexte où les cyberattaques via les fournisseurs deviennent monnaie courante, la formalisation d’un Plan d’Assurance Sécurité (PAS) se révèle bénéfique pour les donneurs d’ordre. La supply chain, en tant que vecteur d’attaque majeur, offre aux cybercriminels une voie pour infiltrer les réseaux d’entreprises, voler des données sensibles, ou perturber les opérations. Aligné avec une approche axée sur la conformité ou basée sur les risques, il est vivement recommandé d’évaluer la maturité en cybersécurité et gestion des données personnelles de vos fournisseurs. Ainsi, dans cet article Digitemis vous explique le rôle clé du PAS dans vos relations fournisseurs.

Le stockage des données sensibles dans des ordinateurs distants offre aux entreprises de nombreux avantages qui s’avèrent très tentants, à condition de bien gérer la sécurisation des données sur le Cloud. Cet article vous guide dans votre choix : fournisseurs de services cloud, politique de gouvernance cloud, types de chiffrement, etc.

La résilience en cybersécurité est cruciale pour toutes les entreprises, quel que soit sa taille ou son secteur d’activité. Cela englobe la capacité à anticiper, prévenir, et récupérer de diverses menaces informatiques. Digitemis vous aide à évaluer votre résilience.

Un ransomware, ou rançongiciel en français, est un logiciel informatique malveillant, prenant en otage les données. Le ransomware chiffre et bloque les fichiers contenus sur votre ordinateur. Ensuite, il demande une rançon en échange d’une clé permettant de les déchiffrer. Digitemis vous donne les clés pour y faire face.

La norme ISO 22301 a été créée en 2012 par l’Organisation Internationale de Normalisation (ISO) pour aider les entreprises à minimiser les risques liés à une situation de crise. DIGITEMIS vous informe sur ce dispositif.

Digitemis vous propose un comparatif Tests d’intrusion automatisés VS pentesters humains pour que vous sachiez quelle solution choisir selon le profil de votre entreprise. En effet, avec le passage au tout numérique, les entreprises sont de plus en plus sensibles à la sécurité de leurs réseaux et de leurs données.