Ikoula, membre du CISPE, se déclare conforme au Code de Conduite sur la protection des données

Depuis octobre 2016, Ikoula est membre du CISPE (Cloud Infrastructure Service Providers in Europe), association d’hébergeurs européens qui défend de bonnes pratiques dans le stockage et l’utilisation des données confiées par leur clients. Auprès de nos confrères européens et notamment français, nous nous sommes réunis pour faire entendre notre voix et proposer une niveau de standardisation européen.

C’était un premier pas, aujourd’hui le Code de conduite du CISPE est en vigueur, et permet aux différents membres de déclarer leur conformité à la GDPR (General Data Protection Regulation) norme qui entrera en vigueur en mai 2018.

Une entreprise déclarée conforme au Code de conduite peut être identifiée grâce au logo suivant :

declared_cispe


[News sécurité] Faille injection de contenu dans les sites WordPress 4.7.0/4.7.1

Le 1er février 2017 une faille de sécurité permettant de modifier le contenu d’une page WordPress a été découverte.

Comment fonctionne-t-elle ?

En exploitant une vulnérabilité de l’API REST un utilisateur non authentifié peut obtenir des droits supplémentaires et ainsi modifier le contenu de n’importe quelle page d’un site WordPress.

Comment vérifier si je suis impacté ?

L’API REST WordPress a été implémentée à la version 4.7.0


Faille de sécurité PHPMailer - Exécution de code à distance CVE-2016-10033/CVE-2016-10045

Une vulnérabilité concernant le script PHPMailer a récemment été découverte et permet à une personne non-authentifiée d'exécuter du code à distance.

Qu'est-ce que PHPMailer ?

Ce script PHP sert à la mise en place d'envoi automatique de mail par les administrateurs de sites web.

Étude déploiement et utilisation des certificats Let’s Encrypt

Ikoula a travaillé sur l’utilisation de la solution Let’s encrypt dans un contexte bien précis pour un de nos clients :
Infrastructure HAProxy en haute disponibilité pouvant disposer de certificats SSL provenant d’un fournisseur de certificats (type Geotrust, Thawte, …) et de l’acquisition / renouvellement de SSL Let’s Encrypt.

En quelques mots, Let’s Encrypt est une solution permettant d’obtenir des certificats SSL gratuitement et disposant d’une durée de validité de 3 mois.
Afin de pouvoir obtenir un certificat, un des prérequis essentiels est que le domaine et/ou alias pointe au niveau DNS sur l’IP de la machine réalisant la demande d’acquisition.

lets_encrypt

Pages