Quelques réflexions sur les risques inhérents à l'utilisation de packages managers tels que npm ou autres.

Retour sur l'attaque très sophistiquée de social engineering contre axios.

La très populaire librairie axios (téléchargée environ 100 000 000 de fois par semaine !) a été victime d'un hack (supply chain attack), heureusement détecté relativement rapidement.

Protection anti CSRF à l'aide du header Sec-Fetch-Site.

Un excellent et relativement long article (mais très complet) qui détaille comment limiter le risque qu'un attaquant accède à tout le système de fichier de votre serveur Node.js lors de l'upload d'un fichier.

Les conseils prodigués sont validé de manière générale, pas uniquement pour Node.

Différents systèmes de gestion des permissions et les compromis qu'ils impliquent. Comme souvent il n'y a pas de solution unique qui marche pour tous les cas possibles.

Petit tour d'horizon du niveau de sécurité qui sous-tend l'architecture de Signal.

Une analyse du ver qui a causé une importante attaque sur l'écosystème npm le 24 novembre.

Le top 10 2025 des vulnérabilités liées au web.

Un type d'attaque propre à JavaScript, et qu'il est important de comprendre pour écrire du code sécurisé.

Quelques pistes pour se protéger des supply chain attacks.

Proton liste les fuites de données personnelles majeures.

Les dernières recommandations du NIST en matière de choix de mot de passe.

En résumé :

1. Utiliser des phrases de passe suffisamment longues
2. Ne plus demander de complexité type 1 lettre, 1 numéro, 1 caractère spécial, etc.
3. Ne plus imposer de renouveler son mot de passe régulièrement, sauf en cas compromission identifiée bien sûr
4. Empêcher les mots de passe connus pour être faibles (coucou "123456") ou figurant sur des listes de comptes compromis
5. Ne plus utiliser les méthodes de récupération de type questions personnelles ("Quel est le nom de votre premier animal de compagnie ?") dont les réponses sont trop facilement trouvables
6. Encourager l'usage méthodes du MFA (authentification multi-facteur) et des gestionnaires de mot de passe

Un moteur de recherche pour trouver rapidement des exploits, des proof-of-concepts et des outils de hacking.

Via https://korben.info/sploitus-google-exploits-outils-hacking.html

Une API native arrive pour "nettoyer" une chaîne de caractères non-sure avant de l'injecter dans une page web. Les librairies de type DOMPurify seront bientôt optionnelles.

Un ensemble de bonnes pratiques pour limiter les risques d'attaque par chaîne d'approvisionnement (supply chain attacks) avec npm.

Quelques mesures pour éviter les supply chain attacks comme on en a vu quelques-unes dernièrement dans l'écosystème npm.

Article d'utilité publique qui explique de manière intelligible et en limitant les aspects techniques pourquoi il est essentiel de bloquer la pub sur le web et comment faire.

Des packages npm très largement utilisés (plus de 2 milliards de téléchargements par semaine au total !) ont été compromis. Pensez à vérifier si vous êtes impacté.

La façon de se protéger contre les attaques de type CSRF se sont diversifiées.

Voir aussi https://web.dev/articles/fetch-metadata#how_to_use_fetch_metadata_to_protect_against_cross-origin_attacks