MISC N°
Numéro
139

Sécurité du framework Laravel : Comment une simple clé peut-elle compromettre la sécurité de vos applications ?

Temporalité
Mai/Juin 2025
Image v3
Sécurité du framework Laravel
Article mis en avant

Exploitation du chiffrement du framework PHP Laravel

Résumé

Que vous soyez un développeur web chevronné ou un pentester expérimenté ayant audité de nombreuses applications Laravel, vous vous êtes sûrement déjà interrogé sur l'utilité réelle de l'APP_KEY présente dans le fichier de configuration .env. Plongez dans cet article pour découvrir les risques liés à la fuite de ce secret trop souvent méconnu.

Lire la suite

Dans ce numéro...


Édito
Par Valadon Guillaume
Marque
MISC
Numéro
139
|
Mois de parution
mai 2025
| Valadon Guillaume
Depuis fin de 2022, la vague de l’IA générative, amorcée par l’arrivée de ChatGPT, déferle sur le monde et le monde de la sécurité n’y a pas échappé. Sans surprise, les aspects offensifs ont rapidement attiré l’attention, avec en premier lieu, la manipulation des réponses d’un modèle à l’aide de prompts malveillants, pour le pousser à ignorer ses mesures de sécurité et à divulguer des données sensibles.
> Lire l'extrait
Brèves MISC
Par Samhi Jordan
Brèves
Marque
MISC
Numéro
139
|
Mois de parution
mai 2025
| Samhi Jordan
Comment une vie bascule en quelques clics / Deux vulnérabilités critiques découvertes dans OpenSSH / PAAS : Phishing-as-a-service / Fuite de données chez TopSec : cybersécurité ou censure ?
> Lire l'extrait
Explorer la distribution de malwares via la navigation sur le Web
Par Bourgue Quentin
Malware
Marque
MISC
Numéro
139
|
Mois de parution
mai 2025
| Bourgue Quentin
Cet article présente un aperçu des techniques de distribution de malwares via la navigation sur le Web, détaillant différentes menaces associées et illustrant l’impact de ces intrusions initiales. L’article explore ensuite des méthodologies de recherche et de suivi des infrastructures de propagation de malwares, qui permettent l’identification et la détection de nouvelles campagnes d’attaques.
> Lire l'extrait
Analyse de malware assistée par Intelligence Artificielle
Par Apvrille Axelle
Malware IA Reverse engineering
Marque
MISC
Numéro
139
|
Mois de parution
mai 2025
| Apvrille Axelle
La rétro-ingénierie d’échantillons malveillants est chronophage. Et si on pouvait gagner du temps en faisant faire le travail à une Intelligence Artificielle ? Puis-je siroter un café pendant qu’elle fait mon travail ? Et, à plus long terme, dois-je chercher un nouvel emploi ?
> Lire l'extrait
Désossage d’API : l’exemple de Snapchat
Par Cabello-Sanchez Nicolas
Forensic
Marque
MISC
Numéro
139
|
Mois de parution
mai 2025
| Cabello-Sanchez Nicolas
Une API non documentée permet l’identification d’utilisateurs sur les réseaux sociaux. Les données partagées par les collaborateurs sur les réseaux au sein de l’entreprise peuvent devenir à la fois une source de renseignements et une source de prévention d’actes de malveillance. Connaître sa visibilité et les maladresses de collaborateurs sur les réseaux, c’est avant tout savoir combler les angles morts de la cybermalveillance et augmenter sa résilience cyber. Combien de contrats sont évoqués sur LinkedIn sans qu’ils soient publiquement connus du grand public ? Combien de sites industriels peuvent apparaître sur Snapchat laissant entrevoir des vulnérabilités éventuelles ? Plus il y a de réseaux utilisés par des collaborateurs, plus il y a de portes ouvertes pour les acteurs de la menace.
> Lire l'extrait
Renforcer la sécurité de vos connexions RDP avec une YubiKey
Par De Cock Jérémy
Sécurité système
Marque
MISC
Numéro
139
|
Mois de parution
mai 2025
| De Cock Jérémy
« Peut-on facilement sécuriser ses connexions RDP avec une authentification forte ? ». La réponse est oui ! Et en plus, c’est simple et ne demande pas beaucoup de ressources.
> Lire l'extrait
Retour d’expérience sur la conformité DORA
Par Gaulier Jean-Philippe
Sécurité organisationnelle Droit
Marque
MISC
Numéro
139
|
Mois de parution
mai 2025
| Gaulier Jean-Philippe
Le règlement européen DORA étant entré en vigueur le 17 janvier 2025, de nombreuses entreprises sont d’ores et déjà contraintes d’être conformes aux attentes du règlement dans le secteur de la finance et de l’assurance. Ainsi, si ces activités étaient déjà bien suivies en termes de conformité par les autorités telles que l’AMF (Autorité des Marchés Financiers) ou l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) qui délivrent les accréditations pour pouvoir travailler sur ces marchés et s’assurent du reporting obligatoire des entreprises, c’est aujourd’hui une quasi-découverte de la réalité du monde de la cybersécurité, a minima pour toutes les PME qui la composent, ainsi que pour leurs prestataires tiers. Avec une obligation de déclaration de la liste de leurs prestataires au mois d’avril 2025 et de déclaration des incidents majeurs auprès de chaque autorité référente depuis fin janvier c’est le branle-bas de combat pour de nombreux acteurs du métier. Jusqu’à présent, les responsables de conformité et les bureauticiens étaient les seuls en mesure d’accompagner ces métiers peu connus, mais il leur faut aujourd’hui de véritables professionnels de la cyber pour détricoter les attentes du règlement.
> Lire l'extrait
En quoi l’identification des risques façonne-t-elle le DevSecOps ?
Par Celhabe Eva, Lagier Aymeric
Sécurité organisationnelle Sécurité système
Marque
MISC
Numéro
139
|
Mois de parution
mai 2025
| Celhabe Eva, Lagier Aymeric
Selon le dernier rapport de l’ENISA [ENISA_2024], une adoption généralisée du DevSecOps contribue à limiter l’impact économique des violations de données grâce à l’intégration de mesures de réduction des risques dès la conception. Pour être efficace, cette approche doit s’adapter au contexte métier et aux menaces spécifiques identifiées. Ainsi, comment l’analyse de risques et le DevSecOps s’articulent-ils pour sécuriser les produits ?
> Lire l'extrait

Magazines précédents

Ingénierie sociale 2.0 : quand l’IA arme les cybercriminels
MISC N°138
Ingénierie sociale 2.0 : quand l’IA arme les cybercriminels
Intégrez les exigences du Cyber Resilience Act dans vos cycles DevSecOps
MISC N°137
Intégrez les exigences du Cyber Resilience Act dans vos cycles DevSecOps
Sécurité des outils d’administration à distance : quelles menaces & solutions ?
MISC N°136
Sécurité des outils d’administration à distance : quelles menaces & solutions ?
Sécurité des hyperviseurs : surfaces d’attaques et vulnérabilités
MISC N°135
Sécurité des hyperviseurs : surfaces d’attaques et vulnérabilités
Techniques de contournement des EDR
MISC N°134
Techniques de contournement des EDR
Déployer aisément AppLocker en liste de blocage
MISC N°133
Déployer aisément AppLocker en liste de blocage

Les derniers articles Premiums

Les derniers articles Premium

Bun.js : l’alternative à Node.js pour un développement plus rapide

Bun.js : l’alternative à Node.js pour un développement plus rapide

Magazine
Marque
Contenu Premium
Auteurs
Par
Blachowiak Thomas
Spécialité(s)
Code
Web
Résumé

Dans l’univers du développement backend, Node.js domine depuis plus de dix ans. Mais un nouveau concurrent fait de plus en plus parler de lui, il s’agit de Bun.js. Ce runtime se distingue par ses performances améliorées, sa grande simplicité et une expérience développeur repensée. Peut-il rivaliser avec Node.js et changer les standards du développement JavaScript ?

Ajouter à une liste de lecture
PostgreSQL au centre de votre SI avec PostgREST

PostgreSQL au centre de votre SI avec PostgREST

Magazine
Marque
Contenu Premium
Auteurs
Par
Auverlot Olivier
Spécialité(s)
Data / Big Data
Web
Résumé

Dans un système d’information, il devient de plus en plus important d’avoir la possibilité d’échanger des données entre applications. Ce passage au stade de l’interopérabilité est généralement confié à des services web autorisant la mise en œuvre d’un couplage faible entre composants. C’est justement ce que permet de faire PostgREST pour les bases de données PostgreSQL.

Ajouter à une liste de lecture
La place de l’Intelligence Artificielle dans les entreprises

La place de l’Intelligence Artificielle dans les entreprises

Magazine
Marque
Contenu Premium
Auteurs
Par
Blachowiak Thomas
Spécialité(s)
Société
IA
Résumé

L’intelligence artificielle est en train de redéfinir le paysage professionnel. De l’automatisation des tâches répétitives à la cybersécurité, en passant par l’analyse des données, l’IA s’immisce dans tous les aspects de l’entreprise moderne. Toutefois, cette révolution technologique soulève des questions éthiques et sociétales, notamment sur l’avenir des emplois. Cet article se penche sur l’évolution de l’IA, ses applications variées, et les enjeux qu’elle engendre dans le monde du travail.

Ajouter à une liste de lecture
Petit guide d’outils open source pour le télétravail

Petit guide d’outils open source pour le télétravail

Magazine
Marque
Contenu Premium
Auteurs
Par
Samhi Jordan
Spécialité(s)
Système
Résumé

Ah le Covid ! Si en cette période de nombreux cas resurgissent, ce n’est rien comparé aux vagues que nous avons connues en 2020 et 2021. Ce fléau a contraint une large partie de la population à faire ce que tout le monde connaît sous le nom de télétravail. Nous avons dû changer nos habitudes et avons dû apprendre à utiliser de nombreux outils collaboratifs, de visioconférence, etc., dont tout le monde n’était pas habitué. Dans cet article, nous passons en revue quelques outils open source utiles pour le travail à la maison. En effet, pour les adeptes du costume en haut et du pyjama en bas, la communauté open source s’est démenée pour proposer des alternatives aux outils propriétaires et payants.

Ajouter à une liste de lecture
Voir les 50 articles premium
Body