Wargan Solutions: Publications.

Offres d'emploi

Consultant en sécurité informatique

Wargan Solutions est un cabinet de consultants en sécurité informatique. Nous réalisons des tests d'intrusion et des audits de sécurité. Ayant comme politique d'offrir à ses clients des prestations de très haute qualité, Wargan Solutions travaille actuellement avec des sociétés de toutes envergures: côtés en bourse, PMI/PME, et de tous secteurs (Ntech, Banque, Laboratoire pharmaceutique, Médias, ...)

Diplomé d'une école d'ingénieur ou titulaire d'un BAC+5, vous devez avoir une expérience de plus de trois années en audits de code, tests d'intrusions (interne / externe) et audits de sécurité.

Nous offrons la possibilité de travailler en télétravail pour les audits de code et les tests d'intrusion externe. Néanmoins, le candidat peut choisir de venir s'intégrer à l'équipe d'Amiens où règnent bonne ambiance et qualité de vie confortable. A l'évidence, le candidat devra parfois se déplacer pour les tests d'intrusions interne et les restitutions client.

Le candidat doit:

  • réaliser une veille personnelle pointue en matière de sécurité informatique
  • maîtriser les méthodes et outils de tests d’intrusion, que ce soit dans le contexte d’un réseau interne ou dans celui d’applications Web (injections SQL, XSS/CSRF...); La méthodologie OWASP lui est par exemple familière
  • être très à l'aise avec les systèmes d’exploitation Microsoft Windows, Linux ou différents Unix et connaître les moyens permettant de les sécuriser
  • posséder de très bonnes connaissances sur les protocoles réseau classiques (TCP/IP, mécanismes de routage, IPSec et VPN) et sur les protocoles applicatifs les plus courants (HTTP, SMTP,LDAP, SSH, etc.)
  • avoir des connaissances en programmation et en écriture de scripts, applicables d’une part dans la conception d’outils d’audit et d’autre part lors de la réalisation d’audits de code
  • connaître les principaux protocoles de voix sur IP et les moyens de sécuriser une infrastructure de téléphonie sur IP
  • être idéalement à l'aise avec les référentiels PCI-DSS et les diverses normes de type ISO 27*.


Wargan Solutions proposera selon le profil l'obtention de certaines certifications.
Le salaire proposé sera complété par diverses primes selon les projets (il débute à 45k€ hors primes et atteint généralement 55k€).

Le candidat doit disposer d'importantes capacités relationnelles. Si les audits de code ou les tests d'intrusions externe peuvent se réaliser "décontracte", les restitutions et les tests d'intrusions interne nécessitent des qualités relationnelles et une tenue irréprochable. Le candidat doit également disposer d'excellentes qualités rédactionnelles. Nos clients ont pour habitude de bénéficier d'une rigueur exemplaire sur les préconisations qui leur sont établies dans le rapport. Une bonne maîtrise de la langue anglaise serait un plus. Le candidat est enfin capable de travailler seul ou en équipe et sait surtout se montrer particulièrement rigoureux et autonome.

Vulnérabilités

05/10/2010 - - Facebook - Multiples vulnérabilités au sein du réseau social (FR) - John JEAN

05/10/2010 - - Facebook - Multiple vulnerabilities in the social networking website (EN) - John JEAN

Laboratoire R&D

Dossier: Facebook - Multiples vulnérabilités au sein du réseau social - John JEAN - 05/10/2010

...ou comment deux failles sur Facebook permettaient de récupérer l’intégralité des données personnelles des utilisateurs mais également de modifier et de détruire leur profil. Facebook souffrait jusqu’à la semaine dernière d’une série de failles de type XSS et CSRF découvertes par notre équipe. Situées pour la plupart sur les versions mobiles de Facebook (m.facebook.com et touch.facebook.com), ces failles pouvaient être utilisées pour lancer des attaques extrêmement dangereuses pour les données des utilisateurs. Nous avons élaboré un scénario au cours duquel un attaquant pouvait, au moyen d’une simple application Facebook, créer un véritable ver tirant partie de ces failles pour se propager et causer des dégâts importants sur les comptes des utilisateurs. Dans le meilleur des cas, toutes les informations personnelles des utilisateurs étaient récupérées silencieusement sur un serveur externe. Dans le pire des cas, l’accès au compte était modifié par l’attaquant, et toutes les données personnelles du compte étaient entièrement détruites.

Lire la suite de: Facebook - Multiples vulnérabilités au sein du réseau social...

Report: Facebook - Multiple vulnerabilities in the social networking website - John JEAN - 05/10/2010

...or how two vulnerabilities on Facebook could have allowed to retrieve all the users personal data, and destroy completely their profile. Until last week, Facebook was plagued with a series of XSS and CSRF vulnerabilities which have been discovered by our team. Most of them were located on the mobile versions of Facebook (m.facebook.com and touch.facebook.com), and these flaws could have been used to launch very powerful and dangerous attacks. We have built a scenario in which an attacker could use a simple Facebook application to create a genuine worm, taking advantage of these vulnerabilities to spread all over the social network and cause serious damages to the victims accounts. At best, all the victims personal datas were silently stolen and stored on an external server. At worse, the account access was modified by the attacker, and all the account personal data were completely destroyed.

Read: Facebook - Multiple vulnerabilities in the social networking website

Implémentation d'une table de hachage parallèle - Raphael Prevost - 22/07/2010

Une table de hachage est une structure de données généralement utilisée pour implémenter tableaux associatifs, caches, ou plus généralement associer une clé à une valeur. Dans le cadre de notre projet, nous avons choisi de réaliser un cache de données reposant sur cette structure, particulièrement intéressante dans notre cas pour ses temps d'accès relativement constants par rapport au nombre d'entrées dans la table. Cependant, la majorité des implémentations libres ne sont pas optimisées pour une utilisation parallèle. Nous avons donc décidé de programmer cette structure nous-mêmes, en nous basant sur les travaux publiés sur le sujet. Nous décrirons dans cet article le cheminement que nous avons suivi afin de mener à bien cette implémentation.
Une table de hachage n'est pas une structure complexe: c'est en réalité un vulgaire tableau. Tout l'art et la difficulté de son implémentation se résume à deux problèmes principaux:

  • Le premier consiste à trouver une fonction injective (fonction de hachage) associant efficacement à toute clé un emplacement quelconque dans le tableau.
  • Le second est plus subtil et procède directement du premier: notre tableau ne disposant que d'un nombre fini d'emplacements, il est nécessaire de gérer le cas où la fonction de hachage attribue le même emplacement à plusieurs clés différentes (collision). C'est le problème de la gestion de ces collisions qui est le plus ardu, et il existe de nombreuses façons de le traiter. Nous allons les passer en revue concisément dans les paragraphes suivants.

Lire la suite de "Implémentation d'une table de hachage parallèle".



Optimiser l'allocation mémoire avec le Thread Local Storage (TLS) - Raphael Prevost - 19/07/2010

Les allocations mémoire sont généralement plus coûteuses que d'ordinaire en environnement multi-thread. En effet, la majorité des algorithmes d'allocation en usage dans les systèmes d'exploitation actuels implémentent le tas à l'aide d'un ou plusieurs pool de mémoire protégés par des mécanismes de synchronisation à exclusion mutuelle. Cela induit de la contention lorsque plusieurs threads ont besoin de mémoire simultanément. De plus, les primitives de verrouillage introduisent bien souvent une perte de performance même lorsqu'un seul processus les utilise.

A cela s'ajoute l'éventualité plus fourbe d'obtenir dans deux threads différents des blocs mémoire partageant la même ligne de cache processeur. Dans un tel cas de figure, si deux processeurs utilisent ces blocs mémoire indépendants simultanément, le mécanisme de cohérence du cache provoquera une importante perte de performance en le rafraîchissant à chaque accès. Nous avons donc étudié la possibilité de limiter le nombre d'allocations concurrentes pour augmenter les performances tout en continuant d'utiliser l'allocateur du système à l'aide du mécanisme de Thread Local Storage (TLS).

Lire la suite de "Optimiser l'allocation mémoire avec le Thread Local Storage (TLS)".