De retour du salon du Big Data à Paris sous le thème de la conquête spatiale.  Au programme de cette édition 2017, la lutte contre la cybercriminalité, les datalakes, la gouvernance des données ainsi qu’un grand nombre de prestataires revendiquant tous les mêmes points forts pour leurs solutions. Je dois avouer que j’ai eu quelques difficultés à déterminer parmi tous les exposants ceux qui apportaient quelque chose de fondamentalement nouveau et de clairement distinctif de ses concurrents. Les solutions semblent converger.

Google : “We have broken SHA-1 in practice.”

L’annonce a fait l’effet d’une bombe. Google explique qu’avec l’aide de l’institut de recherche CWI aux Pays Bas (celui-là même qui a vu la naissance de Python), ils ont généré deux fichiers PDF contenant une image JPG légèrement différente et qui produisent la même clé SHA-1. L’utilisation de SHA-1 était déjà dépréciée depuis 2011. Mais la démonstration de Google a fini par convaincre d’autant plus les éditeurs de logiciels.

Dans cet article, nous vous proposons de revenir sur ce qu’est une fonction de hachage, avec quelques exemples. Nous verrons ensuite quelques limitations, puis une implémentation en Java, avant de conclure.

Des messages sur Twitter m’ont alerté ce week-end concernant une faille de sécurité sur le projet commons-collections de la fondation Apache. Cette information a particulièrement attiré mon attention : en tant que développeur Java, nous sommes directement concernés par ce type de faille. Il faut dire que cette librairie est utilisée dans de très nombreuses applications Java, […]

Dans cet article, nous parlerons de la conférence Barbus et barbares présentée par François le Droff et Romain Pelisse. Il s’agissait de débattre sur l’audit de sécurité d’une application web JHipster/Spring Boot en couvrant l’ensemble du cycle de vie du logiciel. Cette conférence permettait aux auditeurs de se rendre compte que la sécurité se jouait à tous les niveaux. Ce sujet a bénéficié d’une très bonne publicité suite au piratage de TV5 Monde survenu la même semaine. Autre fait d’actualité, le site GitHub a subi une attaque de déni de service fin mars, le rendant partiellement indisponible.

La sécurité est un sujet majeur qui ne peut être ignoré. Chaque application doit prendre ce paramètre en compte. Le nouveau livre blanc d’Ippon, “Building Secure Web Applications”, traite de ce sujet. Citant une à une les 10 principales vulnérabilités rencontrées, il apporte non seulement une explication mais décrit aussi comment s’en protéger, ou à […]