La parole est aux speakers : Sylvain Combraque
Jusqu’au mois de mai 2026, retrouvez nos interviews de speakers pour mieux comprendre leur parcours et le sujet qu’ils ou elles aborderont lors de leur conférence !
La conférence
Mots de passe, SSO et Passkeys : l’authentification moderne en PHPComment sécuriser correctement l’authentification dans nos applications en 2026 ? Nous ferons le point sur ce qu’il faut encore (et ne faut plus) faire avec les mots de passe, l’usage approprié de l’authentification déléguée (OAuth2 / OpenID Connect), puis nous regarderons comment WebAuthn et les Passkeys changent complètement le paradigme. Une conférence pragmatique, avec des recommandations, des architectures types et des exemples concrets dans l’écosystème PHP. |
E.S.G.I. 22/05/2026 12:20-12:40 |
On déteste tous gérer nos mots de passe. Est-ce qu’on peut enfin espérer, dans un avenir proche, la mort définitive du mot de passe grâce aux technos dont tu vas parler ?
Les mots de passe, c’est un calvaire. On a créé des pansements avec les gestionnaires de mots de passe mais trop peu de personnes les utilisent et ils sont contraignants (extensions tierces dans les navigateurs ou sur le téléphone). Certaines personnes utilisent le même mot de passe mais en changeant quelques caractères pour avoir quelque chose d’unique, mais avec la montagne de leaks qui sortent chaque semaine et l’accélération de l’IA, un hacker pourrait trouver le pattern et générer les mots de passe probables d’une personne. Alors que sans mot de passe, le hacker n’aura qu’un nom d’utilisateur et une clé publique.
En sécurité, on dit souvent que la protection ajoute de la complexité. Est-ce que les technos dont tu vas parler permettent enfin de réconcilier « forteresse imprenable » et « expérience utilisateur fluide » ?
Je pense tout d’abord qu’il n’y a pas de forteresse imprenable. Ce que l’on peut faire c’est de faire perdre du temps aux hackers au maximum pour qu’ils se lassent et attaquent d’autres plateformes (les concurrents par exemple). J’espère que les gens prendront conscience qu’en effet l’expérience fluide est importante (et qu’ils arrêteront de demander de s’authentifier en deux temps avec email, puis afficher le champ mot de passe). De même que devoir aller regarder ses mails pour recopier un code.
On connaît la règle d’or ‘Don’t roll your own crypto’. Qu’en penses-tu ? Est-ce qu’on ne devrait pas appliquer la même logique aux processus de sécurité : arrêter le ‘fait-maison’ et se fier aux standards ?
Le « fait-maison » est bien quand on n’a pas d’utilisateurs 😅. Je pense que les personnes qui font les standards ont réfléchi à comment faire les choses proprement et sécurisées.
L’avantage des standards c’est aussi l’interopérabilité des services (par exemple l’authentification oauth qui est supporté par beaucoup de projets par défaut) et on évite les moments on l’on doit expliquer à l’équipe comment fonctionne l’outil.
Je ne vois que deux intérêts de faire une solution « maison ». La première serait de réduire la connaissance des hackers, mais potentiellement avoir mis un gros cadenas sur la porte d’entrée tout en laissant la baie vitrée grande ouverte. La seconde serait pour comprendre le fonctionnement sous-jacent, ce qui est très bien pour la connaissance/culture G. Pour faire le parallèle, personne ne fait sa propre serrure mais c’est intéressant de savoir comment elle fonctionne.
Une conférence présentée par
 Sylvain COMBRAQUE |
Développeur Go et PHP, créateur d'un système de cache utilisé par Caddy et Træfik, Sylvain fait énormément d'open-source, aime la bonne bière et adore parler pour ne rien dire. |