La parole est aux speakers : Mathieu Passenaud
Jusqu’à l’AFUP Day 2021, retrouvez nos interviews de speakers pour mieux comprendre leur parcours et le sujet qu’ils ou elles aborderont lors de leur conférence !
La conférence
Authentification : peut-on se passer du mot de passe ?webauthn, certificat, biométrie, clé privée, lien authentifié... Il existe plein d'autres manières de s'authentifier qu'avec l'éternel mot de passe que nous détestons tant. Par un ensemble de démonstrations, nous allons voir comment on peut lier fortement sécurité et expérience utilisateur, tout en les faisant aller dans la même direction. Nous allons aussi couper court à certaines théories ou croyances erronnées afin de convaincre vos utilisateurs d'utiliser des méthodes d'authentification alternatives moins pénibles. |
Toulouse 11/06/2021 14:00-14:40 |
Quelles sont les bonnes pratiques de sécurité que tout développeur•euse web devrait implémenter dans les solutions qu’il/elle développe ?
N’oublions pas que nous faisons du code dans le but qu’il soit exécuté, et donc utilisé (majoritairement par des humains). J’aime rappeler aux étudiants que « Votre code n’a aucune valeur, seule son exécution rapporte de l’argent ».
Faire de la sécurité extrême, nous savons parfaitement faire à partir du moment où on ne fait pas rentrer l’humain dans la boucle. La première bonne pratique que je donnerais à n’importe quel dev, c’est de penser pour qui et pour quoi il fait son code. Faire rentrer l’UX dans la boucle de bonnes pratiques me parait primordial.
Ne vous croyez jamais plus malin que les autres, plus vous allez en faire plus allez avoir à en maintenir (machine, OS, environnements, librairies…). Dans la mesure du possible passez le plus possible par des services managés, vous gagnerez énormément de temps ce qui compensera à coup sûr le surcoût.
Ensuite faites le service minimum. N’exposez pas inutilement les choses qui n’ont pas lieu d’être.
Gardez tous vos systèmes à jour. Ne permettez jamais de l’exécution de code externe (XSS, upload de script etc…)
Et pour terminer « LISEZ LES NOTICES !!! ».
Un mot de passe par défaut, des failles de sécurité connues… Ça se trouve dans la documentation, les changelog… Étudiez un peu ce qu’il s’est passé chez TV5 monde en 2015, vous risquez fort de tomber des nues.
La sécurité parfaite d’un développement logiciel est-elle envisageable/réalisable ? Ou bien y a t-il toujours une faille que l’on ne peut pas anticiper ?
« Dans le jeu vidéo, un générateur de chaos on en a un qu’on se passe de génération en génération depuis des années, il est parfait, il vous fout la merde dans n’importe quel système ça s’appelle le joueur ». Je reprendrais cette phrase de Laurent Victorino et j’étendrais ça au logiciel en général. Vous savez que vous allez passer votre temps à développer des choses pour cadrer les utilisateurs, essayer d’imaginer tout ce qu’il pourra faire.
Certains persistent à croire qu’on ne pourra jamais rien faire contre l’utilisateur qui marquera son mot de passe sur un post-it à côté de son écran. En fait si, il suffit de ne pas lui demander de mot de passe (et vous creuser la tête pour proposer autre chose).
Si vous faites un logiciel qui n’a pas de vocation à être utilisé, qu’il tourne sur une machine dans son coin non connectée au réseau, oui vous arriverez peut être à une sécurité presque parfaite (peut-on voler et partir avec la machine ?).
Plus vous allez utiliser de composants, de librairies et de programmes tiers, plus vous allez vous exposer. Encore une fois, il est important de savoir ce que l’on fait. L’intérêt notamment de l’open source c’est de voir comment c’est fait, pas que c’est gratuit. La sécurité parfaite existe en théorie, en pratique elle n’existe pas.
Nous croyons savoir que tu donnes des cours sur la sécurité des applications. Est-ce pour toi important de sensibiliser les futures générations de développeurs et développeuses sur ces problématiques?
Vous croyez bien 🙂 Au-delà de sensibiliser de futurs développeurs, je le fais aussi pour tous les utilisateurs des systèmes informatiques. Qu’ils comprennent les enjeux derrière tous les piratages et demandes de rançons, et arrêtons de pleurer un peu ceux qui se font casser leurs systèmes parce que leur déploiement ou leur sécurité relève à peine de l’amateurisme.
La sécurité pour les développeurs, c’est beaucoup de bonnes pratiques, d’observation, quelques outils et beaucoup de malice. La sécurité à destination des utilisateurs, c’est énormément de psychologie.
« La sécurité réelle VS la sécurité ressentie ».
Une conférence présentée par
Mathieu PASSENAUD |
DevOps (Teevity, Berger Levrault, OVH, Connit, Ubleam) depuis 10 ans maintenant sur Toulouse. Il a monté la société please-open.it il y a un peu plus de 2 ans pour accompagner les grosses structures dans la mise en place de leur authentification logicielle. Cette expertise acquise au fil des années, please-open.it la met en oeuvre sur des plateformes diverses chez leurs clients, certains ayant plusieurs dizaines de millions d'utilisateurs. |