La parole est aux speakers : Mathieu Passenaud

Publié le

Jusqu’à l’AFUP Day 2021, retrouvez nos interviews de speakers pour mieux comprendre leur parcours et le sujet qu’ils ou elles aborderont lors de leur conférence !

La conférence

Authentification : peut-on se passer du mot de passe ?

webauthn, certificat, biométrie, clé privée, lien authentifié... Il existe plein d'autres manières de s'authentifier qu'avec l'éternel mot de passe que nous détestons tant.

Par un ensemble de démonstrations, nous allons voir comment on peut lier fortement sécurité et expérience utilisateur, tout en les faisant aller dans la même direction.

Nous allons aussi couper court à certaines théories ou croyances erronnées afin de convaincre vos utilisateurs d'utiliser des méthodes d'authentification alternatives moins pénibles.

Toulouse
11/06/2021
14:00-14:40

Quelles sont les bonnes pratiques de sécurité que tout développeur•euse web devrait implémenter dans les solutions qu’il/elle développe ?

N’oublions pas que nous faisons du code dans le but qu’il soit exécuté, et donc utilisé (majoritairement par des humains). J’aime rappeler aux étudiants que « Votre code n’a aucune valeur, seule son exécution rapporte de l’argent ».
Faire de la sécurité extrême, nous savons parfaitement faire à partir du moment où on ne fait pas rentrer l’humain dans la boucle. La première bonne pratique que je donnerais à n’importe quel dev, c’est de penser pour qui et pour quoi il fait son code. Faire rentrer l’UX dans la boucle de bonnes pratiques me parait primordial.
Ne vous croyez jamais plus malin que les autres, plus vous allez en faire plus allez avoir à en maintenir (machine, OS, environnements, librairies…). Dans la mesure du possible passez le plus possible par des services managés, vous gagnerez énormément de temps ce qui compensera à coup sûr le surcoût.

Ensuite faites le service minimum. N’exposez pas inutilement les choses qui n’ont pas lieu d’être.
Gardez tous vos systèmes à jour. Ne permettez jamais de l’exécution de code externe (XSS, upload de script etc…)
Et pour terminer « LISEZ LES NOTICES !!! ».
Un mot de passe par défaut, des failles de sécurité connues… Ça se trouve dans la documentation, les changelog… Étudiez un peu ce qu’il s’est passé chez TV5 monde en 2015, vous risquez fort de tomber des nues.

La sécurité parfaite d’un développement logiciel est-elle envisageable/réalisable ? Ou bien y a t-il toujours une faille que l’on ne peut pas anticiper ?

« Dans le jeu vidéo, un générateur de chaos on en a un qu’on se passe de génération en génération depuis des années, il est parfait, il vous fout la merde dans n’importe quel système ça s’appelle le joueur ». Je reprendrais cette phrase de Laurent Victorino et j’étendrais ça au logiciel en général. Vous savez que vous allez passer votre temps à développer des choses pour cadrer les utilisateurs, essayer d’imaginer tout ce qu’il pourra faire.
Certains persistent à croire qu’on ne pourra jamais rien faire contre l’utilisateur qui marquera son mot de passe sur un post-it à côté de son écran. En fait si, il suffit de ne pas lui demander de mot de passe (et vous creuser la tête pour proposer autre chose).
Si vous faites un logiciel qui n’a pas de vocation à être utilisé, qu’il tourne sur une machine dans son coin non connectée au réseau, oui vous arriverez peut être à une sécurité presque parfaite (peut-on voler et partir avec la machine ?).
Plus vous allez utiliser de composants, de librairies et de programmes tiers, plus vous allez vous exposer. Encore une fois, il est important de savoir ce que l’on fait. L’intérêt notamment de l’open source c’est de voir comment c’est fait, pas que c’est gratuit. La sécurité parfaite existe en théorie, en pratique elle n’existe pas.

Nous croyons savoir que tu donnes des cours sur la sécurité des applications. Est-ce pour toi important de sensibiliser les futures générations de développeurs et développeuses sur ces problématiques?

Vous croyez bien 🙂 Au-delà de sensibiliser de futurs développeurs, je le fais aussi pour tous les utilisateurs des systèmes informatiques. Qu’ils comprennent les enjeux derrière tous les piratages et demandes de rançons, et arrêtons de pleurer un peu ceux qui se font casser leurs systèmes parce que leur déploiement ou leur sécurité relève à peine de l’amateurisme.
La sécurité pour les développeurs, c’est beaucoup de bonnes pratiques, d’observation, quelques outils et beaucoup de malice. La sécurité à destination des utilisateurs, c’est énormément de psychologie.
« La sécurité réelle VS la sécurité ressentie ».

Une conférence présentée par

Mathieu PASSENAUD
Mathieu PASSENAUD
DevOps (Teevity, Berger Levrault, OVH, Connit, Ubleam) depuis 10 ans maintenant sur Toulouse. Il a monté la société please-open.it il y a un peu plus de 2 ans pour accompagner les grosses structures dans la mise en place de leur authentification logicielle. Cette expertise acquise au fil des années, please-open.it la met en oeuvre sur des plateformes diverses chez leurs clients, certains ayant plusieurs dizaines de millions d'utilisateurs.

Autres interviews

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation des cookies pour améliorer votre navigation. plus d'infos

1. Qu’est-ce qu’un cookie?

Un Cookie est un petit fichier texte enregistré sur votre terminal (ordinateur, tablette, smartphone, etc.), à l’occasion de la consultation d’un service en ligne grâce à votre logiciel de navigation. Il permet à son émetteur d’identifier le terminal dans lequel il est enregistré, pendant la durée de validité ou d’enregistrement du Cookie. Lors de la consultation de notre site Internet, des informations relatives à la navigation de votre terminal sont susceptibles d'être enregistrées dans ces fichiers dits "Cookies". Ces derniers sont installés sur votre terminal, sous réserve des choix que vous auriez exprimés concernant les Cookies et que vous pouvez modifier à tout moment.

2. A quoi servent les cookies émis sur notre site ?

Seul l’émetteur d’un cookie est susceptible de lire ou de modifier les informations qui y sont contenues.
Les cookies utilisés sur notre site permettent :

3. Vos choix concernant les cookies

Vous disposez de différents moyens pour gérer les cookies. Tout paramétrage que vous pouvez entreprendre sera susceptible de modifier votre navigation sur notre site et sur Internet en général et vos conditions d'accès à certains services de notre site nécessitant l'utilisation de cookies. Vous pouvez à tout moment exprimer et modifier vos souhaits en matière de cookies, par les moyens décrits ci-dessous. L'accord sur les cookies L'enregistrement d'un cookie dans un terminal est essentiellement subordonné à la volonté de l'utilisateur du terminal, que celui-ci peut exprimer et modifier à tout moment et gratuitement à travers les choix qui lui sont offerts par son logiciel de navigation. Si vous avez accepté dans votre logiciel de navigation l'enregistrement de cookies dans votre terminal, les cookies intégrés dans les pages et contenus que vous avez consultés pourront être stockés temporairement dans un espace dédié de votre terminal. Ils y seront lisibles uniquement par leur émetteur.

Le refus des cookies Si vous refusez l'enregistrement de cookies dans votre terminal, ou si vous supprimez ceux qui y sont enregistrés, vous ne pourrez plus bénéficier d'un certain nombre de fonctionnalités qui sont néanmoins nécessaires pour naviguer dans certains espaces de notre site. Tel serait le cas si vous tentiez d'accéder à votre compte ou à votre abonnement qui nécessite de vous identifier. Tel serait également le cas lorsque nous, ou nos prestataires, ne pourrions pas reconnaître, à des fins de compatibilité technique, le type de navigateur utilisé par votre terminal, ses paramètres de langue et d'affichage ou le pays depuis lequel votre terminal semble connecté à Internet. Le cas échéant, nous déclinons toute responsabilité pour les conséquences liées au fonctionnement dégradé de nos services résultant de l'impossibilité pour nous d'enregistrer ou de consulter les cookies nécessaires à leur fonctionnement et que vous auriez refusés ou supprimés. Les choix offerts par votre logiciel de navigation Vous pouvez configurer votre logiciel de navigation de manière à ce que des cookies soient enregistrés dans votre terminal ou, au contraire, qu'ils soient rejetés, soit systématiquement, soit selon leur émetteur. Vous pouvez également configurer votre logiciel de navigation de manière à ce que l'acceptation ou le refus des cookies vous soient proposés ponctuellement, avant qu'un cookie soit susceptible d'être enregistré dans votre terminal. Pour la gestion des cookies et de vos choix, la configuration de chaque navigateur est différente. Elle est décrite dans le menu d'aide de votre navigateur, qui vous permettra de savoir de quelle manière modifier vos souhaits en matière de cookies. Selon votre navigateur, consultez le lien ci-dessous pour configurer votre navigateur et refuser les cookies :