La parole est aux speakers : Sonia Seddiki
Jusqu’au Forum PHP 2025, retrouvez nos interviews de speakers pour mieux comprendre leur parcours et le sujet qu’ils ou elles aborderont lors de leur conférence !
La conférence
WannaCry : les dessous d'un ransomware dévastateurSi WannaCry n'est pas le premier ransomware, il est au moins celui qui a causé le plus de dégâts dans toute l'histoire d'Internet. Infectant plusieurs centaines de milliers d'ordinateurs grâce à une faille présente sur des systèmes Windows obsolètes, il contraindra même Microsoft à publier un patch de sécurité pour des OS qui n'étaient alors plus maintenus. Devant l'ampleur de cette cyberattaque, plusieurs équipes se sont mobilisées afin de freiner sa propagation et d'aider les victimes à récupérer leurs fichiers. Retour sur cette traque de longue haleine, entre cryptographie, rétro-ingénierie et analyse forensique. |
Olivier MANSOUR - G 10/10/2025 10:30-11:10 |
Qu’est-ce qui t’a incité à creuser le cas de WannaCry ?
J’ai fait une formation d’analyste malware l’an dernier, et WannaCry était le « boss final » à analyser ! Le cours ne couvrait que le tout début de l’analyse, mais WannaCry comporte beaucoup de modules et peut s’avérer assez complexe à analyser quand on débute. Ça m’a donné envie d’en savoir plus, alors je suis allée lire des rapports plus détaillés, et j’ai aussi découvert des outils qui avaient été développés pour essayer de récupérer les données chiffrées. Je me suis dit que c’était un exemple très riche pour aborder deux sujets que j’adore : la rétro-ingénierie et l’analyse forensique 😁.
Pour un public plutôt dev, as-tu quelques ressources papier ou numérique à recommander autour de la sécurité dans le code ?
C’est un vaste sujet, la sécurité dans le code ! Pour tout ce qui est Web, le site de l’OWASP (et plus particulièrement l’OWASP Top Ten) est une référence assez complète pour se renseigner sur les vulnérabilités les plus courantes. Ils donnent aussi des pistes de résolution à chaque fois, mais ne rentrent pas trop dans les détails d’implémentation. Côté pratique, je suis totalement fan des labs PortSwigger (https://portswigger.net/web-security) qui permettent de s’entraîner à exploiter des failles et qui expliquent très clairement leur fonctionnement.
Une autre ressource gratuite que j’adore est pwn college (https://pwn.college/), qui va couvrir un peu de sécurité Web également, mais qui a surtout un focus sur l’exploitation de binaires (corruption de mémoire, rétro-ingénierie de programmes, etc). La courbe d’apprentissage est vraiment agréable, et même si tout n’est pas immédiatement applicable dans un contexte de dev, je trouve que ça permet d’augmenter notre compréhension des systèmes sur lesquels vivent les applications qu’on développe.
Quelle serait ta première recommandation pour la sécurité informatique en entreprise ?
C’est difficile d’en placer une au-dessus des autres, et je ne pense pas avoir assez d’expérience professionnelle pour en dériver une recommandation concrète applicable dans tous les cas. Mais de manière générale, je dirais que ramener la question de la sécurité informatique bien plus en amont dans les discussions tech/produit ne peut pas faire de mal. Cela pousse les équipes à se réapproprier le sujet plutôt qu’à le confier entièrement à des prestataires externes. Ça permet de réduire l’introduction de failles dès les phases de conception, car ça encourage à se poser les bonnes questions au bon moment, et pas après, une fois que tout est livré. Et surtout, ça oblige à en faire l’affaire de toutes et tous : avoir plusieurs personnes sensibles au sujet est toujours plus efficace que de faire reposer toute la responsabilité sur une personne qui, même experte, laissera inévitablement passer plus de choses seule.
Une conférence présentée par
 Sonia SEDDIKI |
Développeuse backend passionnée d'investigation numérique, Sonia aime comprendre le fonctionnement des systèmes. |
Autres interviews
- La parole est aux speakers : Derick Rethans
- La parole est aux speakers : Jonathan Van Belle
- La parole est aux speakers : Benjamin Rambaud
- La parole est aux speakers : Mathias Arlaud
- La parole est aux speakers : Aurélie Vache
- La parole est aux speakers : Gilles Fevrier
- La parole est aux speakers : Antoine Bluchet
- La parole est aux speakers : Eric Courtial
- La parole est aux speakers : Mathieu Desnouveaux
- La parole est aux speakers : James Titcumb
- La parole est aux speakers : Jean-François Lépine
- La parole est aux speakers : Lætitia Avrot
- La parole est aux speakers : Felix Eymonot
- La parole est aux speakers : Houleymatou Baldé
- La parole est aux speakers : Gina Banyard
- La parole est aux speakers : Maxime Huran
- La parole est aux speakers : Clément Talleu
- La parole est aux speakers : Jori Stein
- La parole est aux speakers : Baptiste Langlade
- La parole est aux speakers : Thibaut Soulcié
- La parole est aux speakers : Olivier Mairet
- La parole est aux speakers : Amaury Bouchard
- La parole est aux speakers : François Zaninotto
- La parole est aux speakers : Damien Alexandre
- La parole est aux speakers : Louis Vareille