Jusqu’à l’AFUP Day 2025, retrouvez nos interviews de speakers pour mieux comprendre leur parcours et le sujet qu’ils ou elles aborderont lors de leur conférence !

La conférence

Gestion des failles de sécurité dans l'écosystème PHP Avez-vous idée de comment se déroule la correction d'une vulnérabilité dans notre écosystème ? Signalement, discrétion, validation, mesure d'impact, coordination inter-projets ... C'est tout un processus dont chaque étape doit être traîtée minutieusement avant qu'une faille puisse être révélée et son correctif mis à disposition de l'ensemble de la communauté, afin de protéger nos projets. Ça demande beaucoup de travail, génère une pression conséquente, et c'est principalement un effort bénévole pour lequel chaque intervenant•e donne de son temps personnel. Curieux•se d'en savoir plus ? Je vous montre comment ça se passe de l'intérieur avec le cas de Symfony et des nombreux projets communautaires qui en dépendent.

C.P.E. Lyon 16/05/2025 14:00-14:40

Faire partie de la core team Symfony implique de devoir gérer ces failles de sécurité, quelle énergie y consacres-tu ?

Symfony étant un projet Open Source, j’y contribue exclusivement sur mon temps libre. Par conséquent, l’énergie que j’y consacre dépend principalement de facteurs d’ordre personnel, notamment :

• Ma sensibilité pour la partie du code de Symfony qui est impactée par une vulnérabilité donnée
• Ma disponibilité à l’instant où celle-ci est remontée en vue d’être étudiée
• Ma disponibilité à l’instant où elle est dévoilée, accompagnée de son correctif

Si les planètes sont alignées et que je suis bien disposé, alors d’autres facteurs d’ordre plus technique viennent mitiger l’effort que ça va représenter :

• Le niveau de criticité de ladite vulnérabilité
• La nature de ladite vulnérabilité (i.e. zero-day?)
• Sa complexité point de vue évaluation et correction
• La nombre de versions impactées

En d’autres termes, corriger une faille sur Symfony peut aussi bien représenter pour moi un marathon que se faire totalement sans moi. La raison de ça, c’est que je ne suis pas seul : tous les membres de la Core Team ont vocation à participer à la gestion d’une vulnérabilité, et ça ne peut tout bonnement pas se faire seul.

Comment expliquer, après 30 ans d’existence, que des failles de sécurité, parfois anciennes, soient détectées seulement maintenant ?

Très bonne question à laquelle il n’est pas simple de répondre, les raisons étant aussi nombreuses que variées. Une vulnérabilité est par nature un bug. On peut longtemps considérer qu’un bug n’en est pas un (« it’s a feature! ») et le contourner ou juste vivre avec.

Aussi, les pratiques en matière de cybersécurité évoluent plus rapidement qu’on ne le pense, notamment dans le web. C’est à la créativité des hackers qu’on le doit.

Est-ce que cette gestion de failles peut s’appliquer sur des projets de moindre envergure, comme nos projets au quotidien ?

Selon la nature du projet je dirais que oui, ça s’appplique. Au moins dans une certaine mesure.
Plus nos projets comportent des intéractions avec l’utilisateur et plus il y a de données à caractère sensible en jeu, au plus la notion de sécurité est forte et au plus les processus liés doivent être lourds et bien ficelés en conséquence.

Je vous en dit plus le jour J 🙂

Une conférence présentée par

Robin CHALAS

Robin est un architecte logiciel et développeur impliqué dans l'écosystème PHP et Symfony depuis des années. Membre de la Core Team, il contribue à Symfony en corrigeant des bugs et des failles de sécurité ainsi qu'en ajoutant de nouvelles fonctionnalités au framework et autres projets populaires qu'il maintient au quotidien tel que lexik/jwt-authentication-bundle ou league/oauth2-server-bundle. Il a récemment co-fondé la société Baksla.sh qui accompagne les entreprises de toute taille dans la conception et le développement de leurs projets basés sur PHP et Symfony. Il aime également aider et partager ses connaissances avec la communauté en étant actif sur les plateformes de support telles que StackOverflow, en examinant les contributions ou en prenant la parole lors de conférences techniques. Si il n'est pas sur son clavier, il est probablement en train de manger des burgers à Lyon, de caresser ses chats, de jouer à la pétanque ou encore de s'occuper de ses plantes.

Autres intervenants