De retour du salon du Big Data à Paris sous le thème de la conquête spatiale. Au programme de cette édition 2017, la lutte contre la cybercriminalité, les datalakes, la gouvernance des données ainsi qu’un grand nombre de prestataires revendiquant tous les mêmes points forts pour leurs solutions. Je dois avouer que j’ai eu quelques difficultés à déterminer parmi tous les exposants ceux qui apportaient quelque chose de fondamentalement nouveau et de clairement distinctif de ses concurrents. Les solutions semblent converger.
Google : “We have broken SHA-1 in practice.”
L’annonce a fait l’effet d’une bombe. Google explique qu’avec l’aide de l’institut de recherche CWI aux Pays Bas (celui-là même qui a vu la naissance de Python), ils ont généré deux fichiers PDF contenant une image JPG légèrement différente et qui produisent la même clé SHA-1. L’utilisation de SHA-1 était déjà dépréciée depuis 2011. Mais la démonstration de Google a fini par convaincre d’autant plus les éditeurs de logiciels.
Dans cet article, nous vous proposons de revenir sur ce qu’est une fonction de hachage, avec quelques exemples. Nous verrons ensuite quelques limitations, puis une implémentation en Java, avant de conclure.
Des messages sur Twitter m’ont alerté ce week-end concernant une faille de sécurité sur le projet commons-collections de la fondation Apache. Cette information a particulièrement attiré mon attention : en tant que développeur Java, nous sommes directement concernés par ce type de faille. Il faut dire que cette librairie est utilisée dans de très nombreuses applications Java, […]
Dans cet article, nous parlerons de la conférence Barbus et barbares présentée par François le Droff et Romain Pelisse. Il s’agissait de débattre sur l’audit de sécurité d’une application web JHipster/Spring Boot en couvrant l’ensemble du cycle de vie du logiciel. Cette conférence permettait aux auditeurs de se rendre compte que la sécurité se jouait à tous les niveaux. Ce sujet a bénéficié d’une très bonne publicité suite au piratage de TV5 Monde survenu la même semaine. Autre fait d’actualité, le site GitHub a subi une attaque de déni de service fin mars, le rendant partiellement indisponible.
J’ai eu la chance de participer à Devoxx cette année, et voici mon compte-rendu des keynotes du jeudi matin.
Vous avez probablement entendu parler de Shell shock qui, outre l’association de troubles psychiques et physiques observés chez certains soldats de la Première Guerre Mondiale, désigne également la vulnérabilité CVE-2014-6271 touchant GNU bash. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
La sécurité est un sujet majeur qui ne peut être ignoré. Chaque application doit prendre ce paramètre en compte. Le nouveau livre blanc d’Ippon, “Building Secure Web Applications”, traite de ce sujet. Citant une à une les 10 principales vulnérabilités rencontrées, il apporte non seulement une explication mais décrit aussi comment s’en protéger, ou à […]
