Code of the Week #5: The Race to the Points

dans Code review
Welcome back to “Code of the Week,” where we delve into the subtle yet impactful vulnerabilities lurking in our codebases. This week, we’re exploring a common yet often overlooked issue in web applications. The code The challenge is to spot the bug in the following Flask application code. Assume this snippet is part of a larger application where users submit codes (more largely part of a gift) to receive points:

Continuer

Boîte à outils GRC : La gestion des changements

dans Conseil
Introduction Dans ce deuxième article de la série de la Boite à outils GRC, nous allons nous intéresser à un processus central pour une bonne gouvernance SSI, la gestion des changements. Ce processus est essentiel pour les entreprises afin de rester compétitives et résilientes face aux évolutions constantes du marché et des technologies. Pour le structurer, les organisations s’inspirent souvent de plusieurs référentiels et normes, chacun apportant ses propres définitions et approches des changements, qu’ils soient significatifs, majeurs, standards ou urgents.

Continuer

Cryptographie & Post-Quantique, faut-il avoir peur ?

dans Post-Quantique
Introduction Même si vous n’êtes pas cryptologues, il est fortement probable qui vous ayez entendu parlé de chiffrement post-quantique et de problèmes de confidentialité/intégrité liés à l’informatique quantique. Toutefois, il n’est peut-être pas encore clair de savoir dans quel context nous sommes actuellement et est-ce qu’il y a un ou des dangers immédiats, et de quel(s) danger(s) on parle ? Dans cet article, nous allons essayer de répondre à ces questions en traitant de :

Continuer

Création de shellcode : Reverse shell en assembleur x64

dans Assembleur, Shellcode
Shellcode reverse shell Linux x64 Dans ce post, je vais vous montrer comment fabriquer votre propre shellcode ! Ça peut sembler intimidant, mais ce n’est pas si compliqué que ça, je vous le promets ! Lexique : Le reverse shell Un reverse shell est une technique de sécurité informatique permettant à un attaquant de prendre le contrôle d’une machine distante en établissant une connexion sortante depuis la machine compromise vers un serveur contrôlé par l’attaquant.

Continuer

Boite à outils GRC

dans Introduction, Gouvernance, Risques, Conformités
Cet article est le premier d’une série qui vise à vous aider dans votre montée en maturité vis-à-vis de la sécurité de l’information au sein de votre organisation. Centrée sur les aspects « Gouvernance, Risques et Conformité », cette série parlera des différents standards de sécurité, des pistes pour s’y conformer ou encore des retours d’expérience au niveau des audits que nous avons vécus ou contraintes que nous avons rencontrées lors de nos missions d’accompagnement.

Continuer

SO-CON 2024

dans Review
Sommaire Introduction Aperçu de la SO-CON 2024 Intervenants et présentations marquantes Mon expérience à la SO-CON Conclusion Introduction La SO-CON est une conférence de sécurité informatique organisée par SpecterOps depuis plusieurs années. La conférence a pour but de regrouper des experts du domaine pour partager des connaissances et échanger autour de sujets à enjeux forts comme la sécurité des environnements Active Directory. C’est aussi l’occasion de découvrir de nouvelles approches, techniques et outils.

Continuer

Petit précis de la sécurité offensive

dans Lexique, Sécurité Offensive, Pentest, Red Team
Comprendre les différentes prestations en sécurité offensive Vulnérabilité scanning, tests d’intrusion, missions red team, missions purple team : ces termes apparaissent fréquemment dans les articles, sur LinkedIn, à la télévision ou à la radio. Mais connaissez-vous réellement la différence entre eux ? Il y a souvent des confusions, même parmi les professionnels. Ce guide vise à clarifier ces notions. Une diversité de prestations avec des objectifs et méthodes distincts Chacune de ces prestations se distingue par ses objectifs et ses méthodes de réalisation.

Continuer

Hackcyom est une entreprise de conseil en cybersécurité et secure cloud computing.

Hackcyom est une société d’expertise en sécurité de l’information financée par des fonds privés et indépendante, basée à Paris, en France. Grâce à notre expertise et à nos méthodologies, nous offrons des services de conseil, d’audit, d’ingénierie et d’innovation en cybersécurité hautement qualifiés. Nous sommes fiers de nous spécialiser dans des projets de sécurité de l’information très complexes nécessitant expertise et tact. L’une de nos spécialisations aide les opérateurs cloud à concevoir et sécuriser leurs services et infrastructures. En France, Hackcyom est le leader dans le domaine de niche du conseil sur la sécurité de l’information des clouds souverains (qualifiés ou candidats à la qualification SecNumCloud). Nous intervenons aussi sur le conseil sur d’autres qualification comme PAMS, PDIS, ISO27001, NIS2, DORA, etc. Hackcyom fournit également services d’audit, des tests d’intrusion, une analyse des risques (EBIOS Risk Manager), du conseil et de l’assistance en ingénierie sécurisée, du conseil SDLC, du conseil en gestion du chiffrement, etc. Hackcyom se prononce comme “axiome”, le terme mathématique parce que nous aimerions que nos clients travaillent et se concentrent sur leurs métiers en considérant leur sécurité de l’information acquise grâce à nous.


10 rue de la Paix, 75002 Paris