CSP : la première brique qu'on oublie
Une CSP bien configurée bloque 99% des XSS. Mais ça demande de comprendre nonce vs hash vs strict-dynamic.
> Security_|
// 12 sujets · Pentest, crypto, infosec
TOTP vs WebAuthn pour 2FA
TOTP c'est mieux que rien mais hameçonnable. WebAuthn rend l'hameçonnage impossible. Pas d'excuse en 2026.
WireGuard > OpenVPN, on est d'accord ?
Setup en 10 min, perf x5, conf en 5 lignes. La seule raison de garder OpenVPN c'est si t'as déjà 200 clients déployés.
Supply chain attacks : on est tous nus
npm, PyPI, Docker Hub. Le dernier typo-squat avait 50k downloads en 2 jours. SBOM + lockfile + dependency review = minimum syndical.
Phishing interne : nos résultats
Une campagne par trimestre. Taux de clic : 12% → 4% en 2 ans. Le secret c'est la formation, pas la punition.
Pourquoi je n'utilise plus de password manager cloud
Vaultwarden self-hosted + Yubikey. Plus de SSO, plus de dépendance à un tiers. C'est plus de boulot mais ça vaut le coup.
Bug bounty : mon premier 5k€
Une SSRF dans une intégration Slack. 3 jours de bidouille, 5000€. Récap du PoC (sanitized).
Burp Suite Community ou Caido en 2026 ?
Caido est plus rapide, plus moderne. Burp a 15 ans d'extensions. Débutant : Caido. Pro avec écosystème : Burp.
Pentest interne : ma checklist 2026
BloodHound, mitm6, Responder. 90% des AD vulnérables tombent en 30 min. Voici comment se défendre.
Argon2id vs scrypt vs bcrypt en 2026
bcrypt reste OK pour des sites legacy mais Argon2id est le standard moderne. Params recommandés par OWASP en commentaire.
Mon serveur s'est fait défoncer par un bot crypto
Postmortem : SSH password (faute), root activé. 15 min pour devenir un miner Monero. Désactivez password auth, c'est pas négociable.
Pourquoi Signal > tout le reste
Cross-platform, code open, sealed sender. Manque juste la résolution par username au lieu de numéro.